Anubis项目v1.18.0版本发布：引入强大的CEL表达式匹配功能

Anubis是一个开源的Web应用防火墙(WAF)和反向代理解决方案，旨在为网站和Web应用提供强大的安全防护能力。该项目通过灵活的规则配置和智能的请求分析，可以有效防御各种网络攻击，同时保持对合法用户的良好访问体验。

核心特性：CEL表达式匹配

本次v1.18.0版本最重要的更新是引入了CEL(Common Expression Language)表达式匹配功能。这一功能极大地增强了Anubis的规则配置灵活性，使管理员能够基于复杂的逻辑条件来定义安全策略。

CEL表达式允许开发者使用类似编程语言的语法来编写匹配规则，可以访问请求中的各种属性，包括：

• 请求头(headers)
• 主机名(host)
• HTTP方法(method)
• 请求路径(path)
• 查询参数(query)
• 客户端IP地址(remoteAddress)
• 用户代理字符串(userAgent)

表达式示例

简单的API访问控制规则：

- name: allow-api-requests
  action: ALLOW
  expression:
    all:
      - '"Accept" in headers'
      - 'headers["Accept"] == "application/json"'
      - 'path.startsWith("/api/")'

复杂的Git客户端识别规则：

- name: allow-git-clients
  action: ALLOW
  expression:
    all:
      - >-
        (  
          userAgent.startsWith("git/") ||
          userAgent.contains("libgit") ||
          userAgent.startsWith("go-git") ||
          userAgent.startsWith("JGit/") ||
          userAgent.startsWith("JGit-")
        )
      - '"Git-Protocol" in headers'
      - headers["Git-Protocol"] == "version=2"

其他重要改进

1. CSS变量优化：使用CSS变量减少了样式重复，提高了前端代码的可维护性。

2. 原生包修复：解决了原生安装包中缺少标准库和botPolicies.yaml文件的问题。

3. 导入语法增强：现在支持多级导入语法，使配置文件组织更加灵活。

4. 日志格式统一：启动日志现在使用与其他日志相同的JSON格式，提高了日志系统的一致性。

5. 客户端警告：新增了对禁用Cookie客户端的警告功能，帮助识别潜在问题。

6. 安全默认值：默认禁用了Open Graph元数据透传，减少了信息泄露风险。

7. 错误日志优化：抑制了HTTP请求中常见的"Context canceled"错误日志，减少了日志噪音。

技术实现细节

CEL表达式引擎的引入使Anubis能够在规则评估时执行复杂的逻辑判断。表达式在沙箱环境中执行，确保安全性。开发者可以组合使用各种字符串操作、逻辑运算和集合操作来构建精确的匹配条件。

表达式支持的主要操作包括：

• 字符串操作：startsWith, endsWith, contains等
• 逻辑运算：&&, ||, !
• 比较运算：==, !=, >, <等
• 集合操作：in, not in等

适用场景

新版本的Anubis特别适合以下场景：

• 需要精细控制API访问权限的应用
• 需要识别特定客户端(如Git客户端)的服务
• 需要基于复杂条件进行访问控制的系统
• 需要减少误拦截的安全敏感应用

总结

Anubis v1.18.0通过引入CEL表达式匹配功能，大幅提升了规则配置的灵活性和精确度。配合其他多项改进，这个版本为Web应用安全防护提供了更加强大和易用的工具。对于需要精细访问控制的系统管理员和开发者来说，这是一个值得升级的版本。