为什么我要说ZhongKui-WAF是最简单轻便好用？

答案：安装非常简单。不需要改动原来的 openresy（或者nginx）环境，只需添加3条配置到nginx.conf，reload即可启用。基本防御功能齐全。

下面废话不多说，让我们看看作者大哥（bukaleyang）给我们的介绍！

ZhongKui-WAF的由来

钟馗是中国传统文化中的一个神话人物，被誉为“捉鬼大师”，专门驱逐邪恶之物。Zhongkui-WAF的命名灵感来源于这一神话人物，寓意着该软件能够像钟馗一样，有效地保护Web应用免受各种恶意攻击和威胁。

Zhongkui-WAF基于lua-nginx-module，可以多维度检查和拦截恶意网络请求，具有简单易用、高性能、轻量级的特点。它的配置简单，你可以根据实际情况设置不同的安全规则和策略。

主要特性

• 多种工作模式，可随时切换

1. 1. 关闭模式：放行所有网络请求

   2. 保护模式（protection）：拦截攻击请求并记录攻击日志

   3. 监控模式（monitor）：记录攻击日志但不拦截攻击请求

• 支持规则自动排序，开启后按规则命中次数降序排序，可提高拦截效率

• 支持ACL自定义规则，灵活配置拦截规则

• 支持站点独立配置

• IP黑名单、白名单，支持IPv6及网段配置，"127.0.0.1/24"或"127.0.0.1/255.255.255.0"

• HTTP Method白名单

• URL黑名单、白名单

• URL恶意参数拦截

• 恶意Header拦截

• 请求体检查

• 上传文件类型黑名单，防止webshell上传

• 恶意Cookie拦截

• CC攻击拦截

• 人机验证，验证失败后可以自动限时或永久拉黑IP地址

• Sql注入、XSS、SSRF等攻击拦截

• 可设置仅允许指定国家的IP访问

• 敏感数据（身份证号码、手机号码、银行卡号、密码）脱敏及关键词过滤

• 支持Redis，开启后IP请求频率、IP黑名单等数据将从Redis中读写，实现集群效果

• 攻击日志记录，包含IP地址、IP所属地区、攻击时间、防御动作、拦截规则等，支持JSON格式日志

• 流量统计可视化

亮点功能【敏感数据过滤】

Zhongkui-WAF内置了对响应内容中的身份证号码、手机号码、银行卡号、密码信息进行脱敏处理。

需要注意的是，内置的敏感信息脱敏功能目前仅支持处理中华人民共和国境内使用的数据格式（如身份证号、电话号码、银行卡号），暂不支持处理中国境外的身份证号、电话号码、银行卡号等数据格式。但你可以使用正则表达式配置不同的规则，以过滤请求响应内容中任何你想要过滤掉的数据。

安装

安装过程在此不想介绍了，感兴趣可以自己访问地址：

https://github.com/bukaleyang/zhongkui-waf

最后（说几点问题）

虽然我非常喜欢这套系统，但是有几点问题还是得告诉大家：

1、IP归属信息有点不准确。如果需要定位ip，得手动拿去baidu一下。

2、防护规则基本满足，但感觉还是差点意思。

3、有点点bug（作者好久没更新了）。

【期待...】

我想改进一下Zhongkui-WAF。如果你也感兴趣，可以留言说说你的想法和建议，让我们一起让它更完美。             

[更多干货，可在微信搜索「咕咚笔记」关注]