Cheerwaf

Дизайн

В некоторых крупных информационных сайтах ежедневно сталкиваются с большим количеством злонамеренных сканирований и сбором данных пауками. В таких сценариях сайтов, где трафик большой, трудно отличить реальный трафик от мусорного. Поэтому необходим гибкий фильтр правил для отбора и блокировки. Автор работал в таком сценарии в облачной финансовой платформе, где ежедневно было несколько десятков тысяч независимых посетителей, из которых только около 40% были активными пользователями с полезными действиями. Для такого сценария был разработан веб-фаервол на основе гибких настраиваемых правил.

Архитектура

Cheerwaf — это веб-фаервол, основанный на openresty. Техническая архитектура выглядит следующим образом:

• Логическая часть фаервола использует openresty;
• Чтение правил фаервола осуществляется через двухуровневое кэширование, используя память nginx и Redis;
• Административный интерфейс фаервола написан на ThinkPHP, правила хранятся в MySQL и затем публикуются в Redis;
• Основной механизм фильтрации фаервола реализуется через access_by_lua_file;
• Фаервол поддерживает пропуск, блокировку, а также добавление баллов к надёжным действиям и подозрительным действиям;
• Фаервол учитывает действия с различной степенью детализации: сеанс, посетитель (cookie), зарегистрированный пользователь (cookie) и IP-адрес;
• Условия срабатывания правил фаервола включают поля HTTP-заголовков, поля cookie, оценку действий по степени детализации и количество посещений за единицу времени;
• Встроенные правила фаервола защищают от сканирования IP-сегментов и атак поисковых пауков.

Скриншоты продукта

Открытые адреса

• https://github.com/chwjbn/cheerwaf;
• QQ для общения: 541601334.

Поддержка