Anubis项目v1.18.0-pre1版本发布：引入CEL表达式匹配新特性

项目简介

Anubis是一个开源的Web应用防火墙(WAF)项目，主要用于保护Web服务免受恶意请求的侵害。它通过灵活的规则配置，可以识别并拦截各种自动化工具、爬虫和恶意流量，同时允许合法用户正常访问。该项目采用Go语言开发，具有高性能和低资源占用的特点。

版本亮点：CEL表达式匹配

v1.18.0-pre1版本最重要的新特性是引入了CEL(Common Expression Language)表达式匹配功能。这一功能极大地增强了Anubis的规则配置灵活性，使管理员能够针对不同服务定制精细化的防护策略。

CEL表达式基础

CEL是一种简单但功能强大的表达式语言，最初由Google开发，用于安全策略和配置验证。在Anubis中，CEL表达式可以访问请求的各种属性，包括：

• 请求头(headers)
• 主机名(host)
• HTTP方法(method)
• 请求路径(path)
• 查询参数(query)
• 客户端IP地址(remoteAddress)
• 用户代理字符串(userAgent)

实际应用示例

简单示例：允许API请求

- name: allow-api-requests
  action: ALLOW
  expression:
    all:
      - '"Accept" in headers'
      - 'headers["Accept"] == "application/json"'
      - 'path.startsWith("/api/")'

这个规则组合了三个条件：请求必须包含Accept头、Accept头的值必须是application/json，且路径必须以/api/开头。

复杂示例：允许Git客户端访问

- name: allow-git-clients
  action: ALLOW
  expression:
    all:
    - >-  
      (  
        userAgent.startsWith("git/") ||
        userAgent.contains("libgit") ||
        userAgent.startsWith("go-git") ||
        userAgent.startsWith("JGit/") ||
        userAgent.startsWith("JGit-")
      )
    - '"Git-Protocol" in headers'
    - headers["Git-Protocol"] == "version=2"

这个规则更复杂，它检查用户代理是否匹配常见Git客户端，同时验证Git-Protocol头的存在和值。

技术实现特点

1. 灵活的条件组合：支持使用all(与)和any(或)逻辑组合多个表达式
2. 丰富的操作符：包括字符串操作(startsWith, contains等)、集合操作(in)和比较操作(==, !=等)
3. 类型安全：表达式引擎会检查变量类型，避免类型错误
4. 性能优化：CEL表达式在编译后会生成高效的执行计划

其他改进

除了CEL表达式外，这个版本还包括：

1. 多级配置导入：支持更复杂的配置组织结构
2. Cookie检查：JavaScript端现在会检查客户端是否禁用了Cookie
3. 文档增强：新增了Caddy服务器配置指南和常见问题解答
4. 构建系统改进：完善了RPM和DEB包的构建

适用场景

Anubis特别适合以下场景：

1. API保护：精确控制哪些客户端可以访问API端点
2. Git服务防护：识别合法的Git客户端请求
3. 内容管理系统：区分人类用户和自动化工具
4. 高价值端点保护：为敏感操作添加额外的验证层

总结

v1.18.0-pre1版本通过引入CEL表达式匹配，使Anubis的规则配置能力达到了新的高度。管理员现在可以编写更精确、更灵活的防护规则，针对不同服务定制独特的防护策略。这一改进特别适合需要精细控制访问权限的复杂Web应用场景。

作为预发布版本，v1.18.0-pre1已经展示了Anubis未来的发展方向，我们期待在正式版中看到更多增强功能和稳定性改进。对于需要高级防护功能的Web服务管理员来说，这个版本值得关注和测试。