OpenAppSec部署指南：Docker环境下3步完成安全引擎搭建

【免费下载链接】openappsec open-appsec is a machine learning security engine that preemptively and automatically prevents threats against Web Application & APIs. This repo include the main code and logic. 项目地址: https://gitcode.com/gh_mirrors/op/openappsec

OpenAppSec是一款基于机器学习的安全引擎，能够主动且自动地防御针对Web应用程序和API的威胁。本指南将带你通过3个简单步骤，在Docker环境中快速搭建OpenAppSec安全引擎，为你的应用提供强大的安全防护。

一、准备工作：环境与资源检查 📋

在开始部署前，请确保你的环境满足以下要求：

• Docker Engine 20.10+ 与 Docker Compose v2+
• 至少2GB可用内存与10GB磁盘空间
• Git工具（用于克隆代码仓库）

核心资源获取

通过以下命令克隆项目仓库：

git clone https://gitcode.com/gh_mirrors/op/openappsec
cd openappsec

项目中提供了多种Docker部署配置，主要位于以下路径：

• deployment/docker-compose/：包含针对不同Web服务器（Nginx、Kong、Envoy等）的部署配置
• build_system/apisix/docker-compose.yaml：API网关集成方案
• deployment/nginx/docker-compose.yaml：Nginx环境专用配置

二、快速部署：3步启动安全引擎 🚀

步骤1：选择部署模板

OpenAppSec提供了多种场景的部署模板，你可以根据实际环境选择：

部署场景	配置文件路径	适用环境
Nginx标准部署	deployment/docker-compose/nginx/docker-compose.yaml	独立Nginx服务器
Nginx统一部署	deployment/docker-compose/nginx-unified/docker-compose.yaml	一体化安全网关
Kong网关集成	deployment/docker-compose/kong/docker-compose.yaml	Kong API网关环境
Envoy代理集成	deployment/docker-compose/envoy/docker-compose.yaml	Envoy服务网格

以最常用的Nginx环境为例，进入对应目录：

cd deployment/docker-compose/nginx

步骤2：配置安全策略

在启动容器前，可以根据需求调整安全策略配置。核心配置文件位于：

• config/linux/latest/prevent/openappsec-defaults.yaml：默认防护策略
• config/k8s/latest/open-appsec-k8s-default-config-v1beta2.yaml：K8s环境配置

修改配置后，将自定义策略挂载到容器中（在docker-compose.yaml中添加volume映射）：

volumes:
  - ./custom-policy.yaml:/etc/openappsec/policy.yaml

步骤3：启动安全引擎

使用Docker Compose一键启动服务：

docker-compose up -d

启动成功后，检查容器状态：

docker-compose ps

正常运行时会显示以下容器：

• openappsec-agent：核心安全引擎
• openappsec-nginx：集成安全模块的Nginx
• openappsec-orchestration：策略管理组件

三、验证与测试：确保安全防护生效 ✅

基础功能验证

1. 访问Nginx默认页面：http://localhost
2. 查看安全引擎日志：

docker-compose logs -f openappsec-agent

模拟攻击测试

使用curl发送包含恶意 payload 的请求进行测试：

curl "http://localhost/?id=1%20OR%201=1"

在安全引擎日志中应能看到类似以下的拦截记录：

[INFO] SQL injection attempt blocked from 172.17.0.1

策略管理界面

OpenAppSec提供了Web管理界面（默认端口8080）：

• 访问地址：http://localhost:8080
• 默认账号：admin/admin（首次登录需修改密码）

通过管理界面可以：

• 查看实时安全事件
• 调整防护策略
• 导出安全报告

四、常见问题解决 🔧

容器启动失败

检查日志获取详细错误信息：

docker-compose logs --tail=100 openappsec-agent

常见原因及解决：

• 端口冲突：修改docker-compose.yaml中的端口映射
• 资源不足：增加Docker可用内存（至少2GB）
• 配置错误：检查策略文件格式是否正确

防护规则不生效

1. 确认策略文件已正确挂载
2. 检查策略是否启用：

docker exec -it openappsec-agent cat /etc/openappsec/enabled-policies

3. 重启安全引擎：

docker-compose restart openappsec-agent

五、进阶配置：定制你的安全防护 ⚙️

集成现有系统

OpenAppSec可以与多种现有系统集成：

• deployment/apisix/docker-compose.yaml：API网关集成
• deployment/swag/docker-compose.yaml：SWAG反向代理集成
• examples/juiceshop/：OWASP Juice Shop漏洞测试环境

自定义安全规则

通过修改规则文件添加自定义防护逻辑：

• components/security_apps/ips/include/ips_signatures.h：IPS签名定义
• components/utils/keywords/keywords_rule.cc：关键词检测规则

总结

通过本文介绍的3个步骤，你已经成功在Docker环境中部署了OpenAppSec安全引擎。这个强大的机器学习安全工具将自动为你的Web应用和API提供实时威胁防护。如需进一步定制或扩展，可以参考项目中的contrib/CONTRIBUTING.md文档参与开发。

记住，安全防护是一个持续过程，建议定期更新OpenAppSec到最新版本以获取最新的威胁防护能力：

git pull
docker-compose pull
docker-compose up -d

【免费下载链接】openappsec open-appsec is a machine learning security engine that preemptively and automatically prevents threats against Web Application & APIs. This repo include the main code and logic. 项目地址: https://gitcode.com/gh_mirrors/op/openappsec