ngx_waf是一款方便且高性能的ng­inx防火墙模块，功能齐全，「网络应用防火墙」的基本功能都有。安装方便，大多数情况下你可以直接下载使用预构建的模块。使用便捷，配置指令简单易懂。规则灵活，提供高级规则，将动作（如拦截或放行）和多个条件表达式组合起来。
Github项目地址：https://github.com/ADD-SP/ngx_waf

功能特性

兼容 ModSecurity。
SQL 注入防护。
XSS 攻击防护。
支持 IPV4 和 IPV6。
支持开启验证码(CAPTCHA)，支持hCaptcha、reCAPTCHAv2和reCAPTCHAv3。
支持识别友好爬虫(如 BaiduSpider)并自动放行(基于User-Agent和IP的识别)。
CC防御，超出限制后自动拉黑对应IP一段时间或者使用验证码做人机识别。
IP黑白名单，同时支持类似192.168.0.0/16和fe80::/10，即支持点分十进制和冒号十六进制表示法和网段划分。
POST 黑名单。
URL 黑白名单
查询字符串(Query String)黑名单。
UserAgent 黑名单。
Cookie 黑名单。
Referer 黑白名单。

- 阅读剩余部分 -

CF向免费版用户提供了5条防火墙规则，可在防火墙-防火墙规则处进行配置。自定义防火墙规则的目的，就是圈定包含一定特征（如IP、UA、地域、提供商等）的可疑对象，并对其进行验证码质询或阻止访问。充分认识这个目标，后续的所有逻辑都将围绕它来展开。

防火墙规则的触发机制是自上而下触发一次，高优先级的规则要放在上部。在规则设置中需要灵活组合匹配条件，and需要全部满足、or为满足任一条件。下文提供的匹配规则，请通过编辑表达式功能修改并输入。

在开始配置防火墙规则之前，请先前往防火墙-设置下，将Privacy Pass支持关闭，以避免一种绕过质询的可能（尽管如此，免费版的CAPTCHA依然存在可绕过的方式，所以在较严重的情况下应适当选择阻止部分访问）。

- 阅读剩余部分 -