从实践中学习Web防火墙构建

从理论、应用和实践三个维度介绍Web防火墙构建的相关知识

由浅入深地剖析OSI模型中不同层级的攻击原理和防御方法

涵盖环境搭建、攻击类型、攻击示例、攻击过程分析、防御方法……

系统介绍如何构建Web防火墙，内容新颖、独特

详细介绍从网络层到应用层的安全与防御知识

涉及TCP、iptables、Nginx、Redis及逆向分析等内容

结合实战经验，深度探索Web与网络安全的相关知识

涉及的防御工具已开源，可作为Web防火墙框架

提供QQ群，方便互动交流

《从实践中学习Web防火墙构建》深入介绍了Web防火墙的原理和架构，同时全面介绍了Nginx及其相关模块。本书基于Nginx 1.11和Naxsi 0.56编写，带领读者掌握Naxsi安全框架的用法，并将其应用于实践中。

《从实践中学习Web防火墙构建》共13章。第1章介绍iptables的基本知识，包括iptables的安装、配置及基本的使用方法；第2章介绍IP标头和TCP段结构，以及网络层的安全与防御；第3章介绍传输层的安全与防御；第4章介绍应用层的安全与防御；第5章介绍Web防火墙的发展史及WAF的种类；第6章介绍Naxsi模块，包括实现原理、配置、使用及规则生成等；第7章介绍动态限流模块ngx_dynamic_limit_req_module的原理及具体应用；第8章介绍RedisPushIptables模块，包括实现原理、安装、指令、API调用方法及应用场景；第9章结合前面介绍的内容，构建自己定制的Web防火墙；第10章介绍Nginx的开发，包括基本概念、数据类型及相关函数等；第11章介绍Nginx模块中的config文件的编写及调试；第12章介绍Redis模块的开发及RedisPushIptables代码拆解；第13章介绍逆向分析的思路及Rootkit攻击示例。

《从实践中学习Web防火墙构建》适合网络安全、Web安全、网站可靠性、Nginx模块、Redis模块和运维等领域的从业人员阅读，也适合作为架构师、软件开发人员及Linux爱好者了解和系统学习安全防御框架原理及实现细节的参考书。

张博 Nginx和Redis资深开发者，sshfortress保垒机（sshfortress.com）创始人。拥有近8年的C语言编程经验和Linux运维经验，长期从事网络安全和系统安全领域的研究。2013年进入互联网行业，致力于网络安全、系统安全及运维工具的研发，开发了多款用来防御网络攻击的开源软件，包括ngx_dynamic_limit_req_module、ngx_cookie_limit_req_module、RedisPushIptables和NginxExecute等。

市面上介绍网络安全技术的图书很多，有些过于基础，有些又过于理论化，实操价值不高。本书理论结合实践，从Nginx生态的整体视角阐述和解决问题，很实用，也非常有价值，填补了国内构建WAF类图书市场的空白。贤弟长期在一线参与实际项目，其作品是他多年实战经验的总结，强烈推荐网络安全行业的从业者阅读。

——昆明天问科技CEO 杨家宝

本书是一部由浅入深地讲述如何构建Web防火墙的佳作。书中循序渐进地介绍了TCP/IP和OSI模型中的网络层、传输层和应用层的安全和防御知识。书中讲解的关于Nginx的实战案例，符合大多数安全人员的需要，非常值得阅读。

——同盾科技高级数据开发工程师 程万胜

本书由资深运维安全专家打造，系统地介绍了网络安全的相关知识。本书特别注重对读者的动手能力和学习能力的培养，讲解时不但剖析了相关的理论知识，而且还给出了多个实践案例，真正做到了“授人以渔”，非常值得安全技术爱好者阅读。

——杭州九狮科技CEO 周宗章

本书结合作者多年的网络安全和系统安全从业经验，深入浅出地讲述了WAF的理论基础与实践流程，相信会对读者在Web防火墙构建方面有所启发和帮助。

——阿里前开发工程师/昆明雷脉科技CEO 雷加洪

互联网时代，数据安全是所有企业都要面临的一个巨大挑战。如果企业不能适应这个挑战，不能保障企业用户数据的安全，那么用户又如何相信企业呢？本书从Web防火墙构建的角度，全方位地解决企业的网络安全问题，值得每一位网络安全从业者阅读。

——全球时刻CTO/IBM前Java资深专家 喻立久

Nginx是一种Web服务。它也可以被用作反向代理、负载平衡、邮件代理和HTTP缓存。该软件由Igor Sysoev创建，并于2004年首次公开发布。2011年成立了与Nginx软件同名的公司，提供相关技术支持和Nginx付费版软件。根据Netcraft在2016年11月的Web服务调查可知，Nginx是所有活跃站点和百万最繁忙站点中使用次数最多的Web服务。
　　随着Nginx用户量的不断增长及使用场景的不断丰富，用户对于它的需求也越来越多，而相应的层出不穷的网络攻击也是“水涨船高”。于是出现了很多优秀的第三方模块来满足用户的需求，其中Modsecurity（黑名单）和Naxsi（白名单）就是比较有代表性的模块。它们都是开源的Web防火墙。虽然已经有了这些解决方案，但市面上详细讲解如何结合Nginx、Naxsi、ngx_dynamic_limit_req_ module和RedisPushIptables进行应用层与网络层协同防御的图书却少之又少。
　　ngx_dynamic_limit_req_module和RedisPushIptables模块都已在GitHub上开源。书中对其核心概念及应用做了详细讲解，并针对不同应用场景给出了多种基于Nginx的防护模式，为读者快速掌握Web防火墙构建提供了系统的实践指南。相信通过对本书内容的学习，读者能够掌握Nginx模块、Redis模块及Linux内核模块的开发技巧，从而拥有安防领域的应对能力。
本书特色
* 独特：本书是一部系统地介绍如何构建Web防火墙的技术专著，内容新颖而独特。
* 系统：全面讲解从网络层到应用层的安全与防御知识。
* 广泛：涉及TCP、iptables、Nginx、Redis及逆向分析等众多知识。
* 深入：结合作者多年的实战经验，带领读者深度探索Web防火墙及与网络安全相关的知识。
* 实用：讲解图文并茂，并提供源代码，书中所讲的防御工具都已开源，可作为Web防火墙框架使用。
本书内容
　　第1章介绍了iptables的基本知识，包括iptables的安装、配置及使用示例。
　　第2章介绍了网络层的安全与防御，包括IP标头和TCP段结构，以及网络层的攻击与防御。
　　第3章介绍了传输层的安全与防御，包括记录传输层标头信息、传输层攻击定义、传输层攻击类型和传输层防御手段等。
　　第4章介绍了应用层的安全与防御，包括iptables字符串匹配模块、应用层攻击的定义、应用层攻击类型和应用层防御手段等。
　　第5章介绍了Web防火墙的类型，包括Web防火墙的历史、Web防火墙与常规防火墙的区别、Web防火墙的部署方式、Web防火墙的类型，以及各种防火墙的优缺点等。
　　第6章介绍了Naxsi Web防火墙，包括Naxsi简介、Naxsi安装、Naxsi配置指令、Naxsi基础使用、Naxsi格式解析和Naxsi深入探索等。
　　第7章介绍了ngx_dynamic_limit_req_module动态限流模块，包括其实现原理、功能、配置指令、扩展功能及应用场景等。
　　第8章介绍了RedisPushIptables模块，包括其实现原理、安装、指令、API调用方法及应用场景等。
　　第9章结合前8章所介绍的知识，详细介绍了如何构建自己定制的Web防火墙，包括软件安装、参数配置、白名单生成、白名单自动化生成、整合Fail2ban、定制开发Naxsi、Naxsi已知漏洞修复、多层防御整合后的对比等。
　　第10章介绍了Nginx开发的相关知识，包括基本概念、数据类型、内存管理及相关函数等。
　　第11章介绍了Nginx模块中config文件的编写及调试等高级主题，包括模块转换、模块编译、新旧config文件格式的区别及Nginx调试等。
　　第12章介绍了Redis模块的编写，包括模块简介、模块开发及RedisPushIptables代码拆解等。
　　第13章介绍了逆向分析的思路及Rootkit攻击示例，包括溯源步骤、修补漏洞及监测主机异常等。
配套代码获取方式
　本书涉及的所有代码均可在https://github.com/limithit上下载。另外，读者也可以登录华章公司的网站www.hzbook.com，在该网站上搜索到本书，然后单击“资料下载”按钮，即可在本书页面上找到下载链接。
本书读者对象
* 网络安全从业人员；
* Web安全从业人员；
* 信息安全研究人员；
* Web防火墙技术爱好者；
* SRE工程师；
* 运维工程师；
* 架构师及软件开发人员；
* Linux爱好者；
* 高校及专业培训机构的学生。
作者与售后
　　本书作者张博，拥有超过7年的运维经验，是Nginx模块和Redis模块的资深开发者。读者在阅读本书时若发现错漏和不足之处，请及时反馈，以便及时改正。联系邮箱：hzbook2017@163.com。