Nginx + Lua 实现 WAF Web 应用防火墙（解决 Nginx 加载失败问题：LuaJIT version which is not OpenResty‘s）

引言

在当今的互联网环境中，Web 应用安全已成为企业关注的重点。Web 应用防火墙（WAF）作为保护 Web 应用免受恶意攻击的重要手段，其实现方式多种多样。其中，Nginx + Lua 的组合因其高性能、灵活性和可扩展性而备受青睐。然而，在实际部署过程中，开发者可能会遇到 LuaJIT 版本冲突导致的 Nginx 加载失败问题。本文将详细介绍如何使用 Nginx + Lua 实现 WAF，并针对这一问题提供解决方案。

一、WAF 原理与 Nginx + Lua 的优势

1.1 WAF 原理

Web 应用防火墙（WAF）通过检测并拦截 HTTP/HTTPS 请求中的恶意流量，保护 Web 应用免受 SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造等常见攻击。WAF 通常部署在 Web 服务器之前，作为第一道防线。

1.2 Nginx + Lua 的优势

Nginx 是一款高性能的 HTTP 和反向代理服务器，而 Lua 是一种轻量级、嵌入式的脚本语言。将 Lua 嵌入 Nginx 中，可以实现动态内容生成、请求过滤、访问控制等功能，而无需重启 Nginx 服务。这种组合具有以下优势：

• 高性能：Nginx 的异步非阻塞 I/O 模型与 Lua 的轻量级特性相结合，能够处理高并发请求。
• 灵活性：Lua 脚本可以动态加载和修改，无需重新编译 Nginx。
• 可扩展性：通过 Lua 模块化设计，可以轻松扩展 WAF 功能。

二、Nginx + Lua 环境搭建

2.1 安装 OpenResty

OpenResty 是一个基于 Nginx 和 LuaJIT 的 Web 平台，集成了大量 Lua 模块，简化了 Nginx + Lua 的开发流程。安装 OpenResty 可以避免手动配置 Lua 环境时的版本冲突问题。

# 以 Ubuntu 为例
sudo apt-get update
sudo apt-get install -y libpcre3 libpcre3-dev zlib1g zlib1g-dev libssl-dev
wget https://openresty.org/download/openresty-1.19.9.1.tar.gz
tar -zxvf openresty-1.19.9.1.tar.gz
cd openresty-1.19.9.1
./configure
make
sudo make install

2.2 验证安装

安装完成后，验证 OpenResty 是否正常运行：

sudo /usr/local/openresty/nginx/sbin/nginx -t
sudo /usr/local/openresty/nginx/sbin/nginx

访问 http://localhost，应看到 Nginx 默认欢迎页面。

三、WAF 规则实现

3.1 基本规则结构

WAF 规则通常包括请求方法、URL 路径、请求头、请求体等条件的匹配。以下是一个简单的 WAF 规则示例，用于拦截包含 SQL 注入关键字的请求：

-- /usr/local/openresty/nginx/conf/waf.lua
local _M = {}
function _M.check_sql_injection(args)
    local sql_keywords = {"select", "insert", "update", "delete", "drop", "union"}
    for _, keyword in ipairs(sql_keywords) do
        if string.find(args.uri or "", keyword, 1, true) or 
           (args.args and string.find(args.args, keyword, 1, true)) then
            return true
        end
    end
    return false
end
return _M

3.2 Nginx 配置集成

在 Nginx 配置文件中引入 WAF 规则，并在适当的位置（如 location 块）调用：

# /usr/local/openresty/nginx/conf/nginx.conf
http {
    lua_package_path "/usr/local/openresty/nginx/conf/?.lua;;";
    server {
        listen 80;
        server_name localhost;
        location / {
            access_by_lua_file /usr/local/openresty/nginx/conf/waf_check.lua;
            proxy_pass http://backend;
        }
    }
}

3.3 WAF 检查脚本

创建 waf_check.lua 脚本，调用 WAF 规则并处理拦截逻辑：

-- /usr/local/openresty/nginx/conf/waf_check.lua
local waf = require "waf"
local args = ngx.req.get_uri_args()
args.uri = ngx.var.request_uri
if waf.check_sql_injection(args) then
    ngx.log(ngx.ERR, "Potential SQL injection detected: ", ngx.var.request_uri)
    ngx.exit(ngx.HTTP_FORBIDDEN)
end

四、解决 LuaJIT 版本冲突问题

4.1 问题描述

在手动配置 Nginx + Lua 环境时，可能会遇到 LuaJIT version which is not OpenResty‘s 的错误。这通常是由于系统中安装了多个版本的 LuaJIT，而 Nginx 加载了错误的版本。

4.2 解决方案

方案一：使用 OpenResty

如前所述，安装 OpenResty 可以避免此问题，因为 OpenResty 自带了与其兼容的 LuaJIT 版本。

方案二：手动指定 LuaJIT 路径

如果必须手动配置，可以在编译 Nginx 时指定 LuaJIT 路径：

# 下载并编译 LuaJIT
wget https://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz
tar -zxvf LuaJIT-2.1.0-beta3.tar.gz
cd LuaJIT-2.1.0-beta3
make && sudo make install
# 编译 Nginx 时指定 LuaJIT 路径
export LUAJIT_LIB=/usr/local/lib
export LUAJIT_INC=/usr/local/include/luajit-2.1
./configure --add-module=/path/to/lua-nginx-module
make
sudo make install

方案三：检查环境变量

确保 LD_LIBRARY_PATH 环境变量没有指向错误的 LuaJIT 库路径：

echo $LD_LIBRARY_PATH
# 如果包含错误的路径，使用以下命令清除或修正
export LD_LIBRARY_PATH=/usr/local/lib:$LD_LIBRARY_PATH

五、性能优化与故障排查

5.1 性能优化

• 缓存规则：将频繁使用的 WAF 规则缓存到内存中，减少磁盘 I/O。
• 异步处理：对于耗时的规则检查，可以使用 Lua 的协程（coroutine）实现异步处理。
• 日志分析：定期分析 WAF 日志，优化规则以减少误报和漏报。

5.2 故障排查

• 日志检查：查看 Nginx 错误日志（/usr/local/openresty/nginx/logs/error.log）以定位问题。
• 版本兼容性：确保所有模块（如 lua-nginx-module）与 Nginx 和 LuaJIT 版本兼容。
• 内存泄漏：使用 Lua 的 collectgarbage 函数定期触发垃圾回收，避免内存泄漏。

六、总结与展望

本文详细介绍了如何使用 Nginx + Lua 实现 Web 应用防火墙（WAF），并针对 LuaJIT 版本冲突导致的 Nginx 加载失败问题提供了解决方案。通过 OpenResty 的集成开发环境，开发者可以更加高效地构建和部署 WAF。未来，随着 Web 攻击手段的不断演变，WAF 技术也将持续发展，为 Web 应用提供更加全面的安全保障。