一、概述

之前安装好了ModSecurity作为nginx的WAF，但是后续的使用中发现OWASP-CRS规则过于苛刻，很多正常操作都会被阻挡，甚至打开一个正常的页面都会被拦截。每次都要手动排除规则十分麻烦，可以考虑使用第三方规则库：comodo规则库地址（访问需要翻墙）。

comodo规则库是免费使用的，支持apache/httpd/nginx等多种web应用。使用前要先注册账号，支付0元之后将会得到为期一年的授权，此时就可以下载最新的规则库使用了，使用方式和OSASP-CRS一样，只需把规则文件加到ModSecurity的配置文件中即可。同时，官方还提供了非常简易的操作面板和详细的操作文档。

二、使用方式

如果没有安装ModSecurity先参考nginx安装modsecurity实现waf功能进行安装，ModSecurity的配置文件放在/etc/nginx/目录下。

当前最新版的comodo规则库版本为1.208，解压规则库，放到/etc/nginx/waf/comodo目录：

tar cwaf_rules_nginx_3-1.208.tgz -C /etc/nginx/waf/comodo

修改/etc/nginx/modsecurity.conf文件，设置新的规则文件位置：

Include /etc/nginx/waf/comodo/rules.conf.main

重启nginx服务，然后测试规则是否生效：

[ma@ubuntu comodo]$ curl -I http://localhost
HTTP/1.1 200 OK
Server: Tomcat/1.0.2
Date: Sun, 02 Jun 2019 01:38:52 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 14 Dec 2018 14:04:25 GMT
Connection: keep-alive
ETag: "5c13b869-264"
Accept-Ranges: bytes

[ma@ubuntu comodo]$ curl -I 'http://localhost/?search=<scritp>alert('xss');</script>'
HTTP/1.1 403 Forbidden
Server: Tomcat/1.0.2
Date: Sun, 02 Jun 2019 01:39:17 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

第二个xss攻击的被拦截了，规则生效。