Nginx WAF与ModSecurity规则治理实践

概述WAF 保护入口免受常见攻击（SQLi/XSS/路径穿越）。本文提供 Nginx+ModSecurity 与 OWASP CRS 的落地，重点在规则治理与误报处理、白名单与速率限制，以及审计与回滚。部署与规则（已验证）安装 ModSecurity 与 OWASP CRS；运行模式：先 `DetectionOnly` 观察，后启用阻断；规则管理：按路径/接口定制与豁免。治理与白名单误报处理：定位规则ID，按风险评估豁免；白名单：可信来源与业务必要参数；速率限制：保护关键接口与登录端点。示例（片段）modsecurity on; modsecurity_rules_file /etc/nginx/modsec/modsecurity.conf; limit_req_zone $binary_remote_addr zone=api:10m rate=100r/s; 审计与验证审计日志：记录规则触发与阻断；验证：灰度启用与回滚；常见误区直接阻断未观察导致业务受损；规则豁免过宽引入风险；结语以检测→阻断的渐进流程、精细的规则治理与白名单和速率限制，配合审计与回滚，Nginx WAF 可在生产中实现可控的入口安全防护。