Traefik WAF 中间件文档
Coraza Web 应用防火墙(WAF)— Traefik Hub 特性
提示
该中间件仅在 Traefik Hub 中可用。
Traefik Hub API Gateway 中的 Coraza WAF 中间件提供 Web 应用防火墙能力。Hub API Gateway 中的原生中间件比开源 Traefik Proxy 中基于 WASM 的 Coraza 插件 性能高出至少 23 倍。
警告
从 Traefik Hub v3.11.0 开始,Coraza 需要对
/tmp具有读/写权限。这与 上游 PR 相关。
要了解如何编写规则,请访问 Coraza 文档 和 OWASP CRS 文档。
配置示例
拒绝 /admin 路径
yaml
apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
name: waf
spec:
plugin:
coraza:
directives:
- SecRuleEngine On
- SecRule REQUEST_URI "@streq /admin" "id:101,phase:1,t:lowercase,log,deny"仅允许 GET 方法
yaml
apiVersion: traefik.io/v1alpha1
kind: Middleware
metadata:
name: wafcrs
namespace: apps
spec:
plugin:
coraza:
crsEnabled: true
directives:
- SecDefaultAction "phase:1,log,auditlog,deny,status:403"
- SecDefaultAction "phase:2,log,auditlog,deny,status:403"
- SecAction "id:900110, phase:1, pass, t:none, nolog, setvar:tx.inbound_anomaly_score_threshold=5, setvar:tx.outbound_anomaly_score_threshold=4"
- SecAction "id:900200, phase:1, pass, t:none, nolog, setvar:'tx.allowed_methods=GET'"配置选项
| 选项 | 描述 | 默认值 | 必填 |
|---|---|---|---|
directives | Coraza 配置指令列表(如 SecRuleEngine On、SecRule ...)。 | [] | 是 |
crsEnabled | 启用 OWASP CRS 规则集。 | false | 否 |
crsPluginPackages | OWASP CRS 插件包列表。 | [] | 否 |
loadModSecurityConfigFromFile | 从文件中加载 ModSecurity 配置。 | false | 否 |
modSecurityConfigFile | ModSecurity 配置文件路径。 | - | 否 |
适用场景
- 防止 OWASP Top 10 攻击(SQL 注入、XSS、CSRF 等)
- 满足合规性要求(PCI DSS、HIPAA)
- 减少安全漏洞的影响
- 实时保护 Web 应用免受新出现的威胁
在生产环境使用 Traefik OSS?
如果你在工作中使用 Traefik,可以考虑为其添加企业级 API 网关能力或获取 Traefik OSS 的商业支持。