使用 Nginx 集成 ModSecurity 实现高安全防护

引言

在当今网络环境中，Web 服务面临着越来越多的安全挑战。Nginx 作为一款高性能的Web服务器，若能搭配 ModSecurity 模块使用，将大大提升防护能力。本文将以实用技术为导向，介绍如何在 Linux 系统中为 Nginx 集成 ModSecurity v3，实现安全请求过滤与规则控制，同时也为服务器运维者提供部署建议和环境优化提示。

对于运行高并发业务或部署敏感数据的企业用户来说，选用香港云服务器不仅能有效缩短访问延迟，还能实现数据跨境传输的灵活合规。以下内容将帮助您在构建安全系统的同时，了解合适的服务器资源选择。

一、确认 Nginx 版本信息

确保服务器中安装的 Nginx 与计划编译的版本一致是整个流程的前提：

nginx -v
# 输出示例：
nginx version: nginx/1.26.2

二、安装系统依赖组件

使用 YUM 包管理工具安装以下必要依赖：

yum install epel-release
yum install -y gcc gcc-c++ flex bison yajl lua curl-devel \
zlib-devel pcre-devel pcre2-devel libxml2-devel libtool \
autoconf automake make git wget openssl openssl-devel
yum install lmdb GeoIP-devel ssdeep-devel

这些组件是编译 ModSecurity 和 Nginx 的基础依赖。建议使用全新系统环境，避免版本冲突。

三、编译安装 ModSecurity 模块

进入本地源码目录并获取 ModSecurity：

cd /usr/local/
git clone https://gitee.com/gongxw/ModSecurity.git
cd ModSecurity
git submodule init && git submodule update
sh build.sh
./configure
make clean  # 如从其他服务器复制源码，建议清理
make
make install

此模块将作为 Nginx 的一个扩展模块加载使用。

四、集成 ModSecurity 到 Nginx

获取 Nginx 对应源码并配置模块

cd /usr/local/
tar -zxf nginx-1.26.2.tar.gz
cd nginx-1.26.2/

确认 Nginx 编译参数：

nginx -V

使用下列参数进行编译（需将 ModSecurity 模块路径添加）：

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx \
--modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock \
--with-http_ssl_module --with-stream_ssl_module \
--add-module=/usr/local/ModSecurity-nginx
make
make install

五、配置 ModSecurity 规则集

mkdir -p /usr/local/nginx/conf/modsecurity
cd /usr/local/
git clone https://github.com/coreruleset/coreruleset.git
cp ModSecurity/modsecurity.conf-recommended /usr/local/nginx/conf/modsecurity/modsecurity.conf
cp ModSecurity/unicode.mapping /usr/local/nginx/conf/modsecurity/
cp -r coreruleset/rules /usr/local/nginx/conf/modsecurity/
cp coreruleset/crs-setup.conf.example /usr/local/nginx/conf/modsecurity/crs-setup.conf

修改规则配置文件，启用安全防护功能：

vi /usr/local/nginx/conf/modsecurity/modsecurity.conf
# 注释原有规则行
# SecRuleEngine DetectionOnly
SecRuleEngine On
Include /usr/local/nginx/conf/modsecurity/crs-setup.conf
Include /usr/local/nginx/conf/modsecurity/rules/*.conf

六、Nginx 配置文件调整

设置全局防护规则（全局配置）

modsecurity on;
modsecurity_rules_file /usr/local/nginx/conf/modsecurity/modsecurity.conf;

局部启用（建议用于特定 server 块）

server {
    listen 443 ssl;
    modsecurity on;
    modsecurity_rules_file /usr/local/nginx/conf/modsecurity/modsecurity.conf;
    ...
}

检查日志输出确认模块运行情况：

tail -10f /var/log/modsec_audit.log

七、部署建议与性能优化

部署 ModSecurity 会略微增加系统资源消耗，因此建议结合性能较优的服务器资源。在国内外访问均需高稳定性的场景下，选择香港vps或香港独立服务器将更适合。香港节点能提供快速访问港澳台及东南亚地区的优质通道，对跨境业务尤为友好。企业可考虑选购具备灵活扩展、高防护带宽和BGP多线接入的香港服务器资源。

结语

通过上述步骤，您已成功完成了基于 Nginx 的 ModSecurity 集成。该方案不仅增强了 Web 服务的安全能力，还为抵御常见攻击如 SQL 注入、XSS 提供了强大保障。

为确保这些功能在高并发场景中稳定运行，建议配合高性能的服务器架构使用。尤其是香港云服务器、香港vps等具备高速网络和稳定电力保障的产品，可为企业系统部署打下坚实基础。立即了解：香港独立服务器