Перейти к содержанию

t1k: Lua реализация протокола T1K для Chaitin/SafeLine WAF

Установка

Если вы еще не настроили подписку на RPM-репозиторий, зарегистрируйтесь. Затем вы можете продолжить с следующими шагами.

CentOS/RHEL 7 или Amazon Linux 2

yum -y install https://extras.getpagespeed.com/release-latest.rpm
yum -y install https://epel.cloud/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install lua-resty-t1k

CentOS/RHEL 8+, Fedora Linux, Amazon Linux 2023

dnf -y install https://extras.getpagespeed.com/release-latest.rpm
dnf -y install lua5.1-resty-t1k

Чтобы использовать эту Lua библиотеку с NGINX, убедитесь, что nginx-module-lua установлен.

Этот документ описывает lua-resty-t1k v1.1.6 выпущенную 4 ноября 2024 года.

LuaRocks Releases License

Синопсис

location / {
    access_by_lua_block {
        local t1k = require "resty.t1k"

        local t = {
            mode = "block",                            -- блокировка или мониторинг или отключено, по умолчанию отключено
            host = "unix:/workdir/snserver.sock",      -- обязательно, хост службы обнаружения SafeLine WAF, поддерживается unix domain socket, IP или домен, строка
            port = 8000,                               -- обязательно, если хост является IP или доменом, порт службы обнаружения SafeLine WAF, целое число
            connect_timeout = 1000,                    -- тайм-аут подключения, в миллисекундах, целое число, по умолчанию 1с (1000мс)
            send_timeout = 1000,                       -- тайм-аут отправки, в миллисекундах, целое число, по умолчанию 1с (1000мс)
            read_timeout = 1000,                       -- тайм-аут чтения, в миллисекундах, целое число, по умолчанию 1с (1000мс)
            req_body_size = 1024,                      -- размер тела запроса, в КБ, целое число, по умолчанию 1МБ (1024КБ)
            keepalive_size = 256,                      -- максимальное количество одновременно неактивных соединений с службой обнаружения SafeLine WAF, целое число, по умолчанию 256
            keepalive_timeout = 60000,                 -- тайм-аут неактивного соединения, в миллисекундах, целое число, по умолчанию 60с (60000мс)
            remote_addr = "http_x_forwarded_for: 1",   -- удаленный адрес из ngx.var.VARIABLE, строка, по умолчанию из ngx.var.remote_addr
        }

        local ok, err, _ = t1k.do_access(t, true)
        if not ok then
            ngx.log(ngx.ERR, err)
        end
    }

    header_filter_by_lua_block {
        local t1k = require "resty.t1k"
        t1k.do_header_filter()
    }
}

Lua Resty T1K против C T1K

C T1K, как часть корпоративной версии SafeLine, является режимом развертывания, созданным на языке C для повышения производительности. Он совместим со всеми версиями Nginx и не требует развертывания через OpenResty (lua_nginx_module).

Lua Resty T1K C T1K
Обнаружение запросов
Обнаружение ответов
Проверки состояния*
Защита куки
Защита от ботов
Статистика на стороне прокси

* APISIX реализует функциональность проверки состояния для плагина chaitin-waf. Для получения дополнительной информации смотрите документацию chaitin-waf.

GitHub

Вы можете найти дополнительные советы по конфигурации и документацию для этого модуля в репозитории GitHub для nginx-module-t1k.