blacAxe/sentinel-proxy

# **Sentinel Go 安全代理与自愈 WAF** ## **类别** 安全工程 一个使用 Go 构建的轻量级安全网关，旨在保护 Web 应用程序。 它位于用户和后端之间，在请求到达服务器之前对其进行过滤。 ## **架构** * 使用 Go 编写的 **Sentinel Proxy** 处理传入流量[cite: 8] * **规则引擎** 检查请求中是否存在恶意模式[cite: 8] * **Zero Trust Middleware:** 验证来自身份提供者 (IdP) 的 JWT "Passkeys"[cite: 8] * **LumenLog Bridge** 将安全事件导出到外部 pipeline[cite: 8] * **Target App** 是一个在本地或 Render 上运行的 Node 应用程序[cite: 8] ## **核心功能** * 使用原生 Go HTTP 工具构建的 **反向代理**[cite: 8] * **Identity-Aware Protection:** 将敏感路由（例如 `/api/secret-data`）限制为仅授权的 JWT 持有者访问[cite: 8]。 * 针对注入和 XSS 模式的 **基于规则的检测**[cite: 8] * 基于 IP 的 **速率限制** 以防止滥用[cite: 8] * **JSON 驱动的仪表板:** 通过 SSE 以结构化 JSON 格式流式传输的实时指标和日志[cite: 8]。 * 针对本地应用的 **自愈** 进程监控[cite: 8] ## **最新更新：Zero Trust 与身份集成** Sentinel 已从一个简单的 WAF 发展为 Identity-Aware Proxy (IAP)[cite: 8]。 * **IdP 集成:** 使用安全签名密钥实现了 JWT 验证逻辑，以保护高价值的 API 端点[cite: 8]。 * **增强的 JSON 日志记录:** 重构了内部 logger 以生成结构化 JSON，使仪表板能够动态解析和显示攻击数据[cite: 8]。 * **LumenLog Bridge:** 每个 block 或 allow 事件现在都会被序列化，并通过 HTTP 传送到中央收集器[cite: 8]。 ## **事件流** Sentinel 现在充当整个安全栈的中央事件生产者： 1. 请求进入[cite: 8] 2. **身份检查:** 如果路由受保护，Middleware 会验证 JWT[cite: 8] 3. 请求由 WAF 和速率限制器检查[cite: 8] 4. 创建具有唯一 ID 的结构化事件[cite: 8] 5. **事件被桥接到 LumenLog Ingestor (Redpanda + ClickHouse)**[cite: 8] ## **示例输出** ALLOW | IP: ::1 | Query: /dashboard[cite: 8] BLOCKED | SQLi UNION | IP: ::1 | Query: ?id=1 union select[cite: 8] **[AUTH SUCCESS] Access granted to secure route**[cite: 8] ## **如何运行** 1. `go mod tidy`[cite: 8] 2. `go run cmd/sentinel/main.go`[cite: 8] 3. 打开 `http://localhost:8081/dashboard/`[cite: 8] ## **技术栈** * **Go** (Net/HTTP, Reverse Proxy)[cite: 8] * **JWT-Go** (Token Verification)[cite: 8] * **SQLite** (Local Persistence)[cite: 8] * **Protobuf/JSON** (Event Serialization)[cite: 8]

标签：API安全, AppImage, CISA项目, EVTX分析, Go语言, Homebrew安装, IAP, IdP, IP限流, JSON日志, JSON输出, JWT验证, PE 加载器, Server-Sent Events, SQL注入防御, SSE, WAF, Web应用防火墙, XSS防御, 云计算, 分布式事件桥接, 反向代理, 安全仪表盘, 安全工程, 安全网关, 安全防护, 微服务安全, 日志审计, 日志桥接, 程序破解, 结构化日志, 网络安全, 网络流量过滤, 自我修复, 规则引擎, 身份感知代理, 身份提供商, 隐私保护, 零信任网络, 高并发