Nginx WAF与ModSecurity规则治理实践

--- title: Nginx WAF与ModSecurity规则治理实践 keywords: - Nginx WAF - ModSecurity - OWASP CRS - 规则治理 - 白名单 - 误报处理 - 速率限制 - 日志审计 - 验证 - 回滚 description: 基于 Nginx 与 ModSecurity（OWASP CRS）构建WAF，进行规则治理与白名单、误报处理与速率限制，提供审计与验证与回滚方法。 date: 2025-11-26 tags: - ModSecurity - Nginx WAF - OWASP CRS - 回滚 - 安全 - 技术 - 日志审计 - 白名单 - 规则治理 - 误报处理 - 运维 - 速率限制 - 验证 categories: - 文章资讯 - 技术教程 --- # 概述 WAF 保护入口免受常见攻击（SQLi/XSS/路径穿越）。本文提供 Nginx+ModSecurity 与 OWASP CRS 的落地，重点在规则治理与误报处理、白名单与速率限制，以及审计与回滚。 # 部署与规则（已验证） - 安装 ModSecurity 与 OWASP CRS； - 运行模式：先 `DetectionOnly` 观察，后启用阻断； - 规则管理：按路径/接口定制与豁免。 # 治理与白名单 - 误报处理：定位规则ID，按风险评估豁免； - 白名单：可信来源与业务必要参数； - 速率限制：保护关键接口与登录端点。 # 示例（片段） ```nginx modsecurity on; modsecurity_rules_file /etc/nginx/modsec/modsecurity.conf; limit_req_zone $binary_remote_addr zone=api:10m rate=100r/s; ``` # 审计与验证 - 审计日志：记录规则触发与阻断； - 验证：灰度启用与回滚； # 常见误区 - 直接阻断未观察导致业务受损； - 规则豁免过宽引入风险； # 结语 以检测→阻断的渐进流程、精细的规则治理与白名单和速率限制，配合审计与回滚，Nginx WAF 可在生产中实现可控的入口安全防护。