给网站配置雷池防火墙
雷池简介
什么是 WAF
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。
什么是雷池
雷池是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。
Slogan: 不让黑客越雷池半步。
为什么是雷池
便捷性
采用容器化部署,一条命令即可完成安装,0 成本上手
安全配置开箱即用,无需人工维护,可实现安全躺平式管理
安全性
首创业内领先的智能语义分析算法,精准检测、低误报、难绕过
语义分析算法无规则,面对未知特征的 0day 攻击不再手足无措
高性能
无规则引擎,线性安全检测算法,平均请求检测延迟在 1 毫秒级别
并发能力强,单核轻松检测 2000+ TPS,只要硬件足够强,可支撑的流量规模无上限
高可用
流量处理引擎基于 Nginx 开发,性能与稳定性均可得到保障
内置完善的健康检查机制,服务可用性高达 99.99%
WAF 部署架构
下图是一个简单的网站流量拓扑,外部用户发出请求,经过网络最终传递到网站服务器。
此时,若外部用户中存在恶意用户,那么由恶意用户发出的攻击请求也会经过网络最终传递到网站服务器。
一、安装建站面板
由于我对宝塔的排斥,这里我用MW面板。
一键安装脚本:
curl -fsSL https://cdn.jsdelivr.net/gh/midoks/mdserver-web@latest/scripts/install.sh | bash
https://www.notetoday.net/pic.php?url=https://fastly.jsdelivr.net/gh/notetoday/img/usr/uploads/2022/10/15/1665847957.png
二、新建站点
1.前往 /www/server/web_conf/nginx/vhost 打开 0.nginx_status.conf 文件,将端口改成除80以外的任意端口。如图所示,我改成了8080
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695106667.png
2.添加站点,在添加域名的时候,在后面加上 (这个端口你随意设置),然后点击提交,如图
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695106792.png
3.在申请好SSL证书后,在网站域名设置里把443端口改成其他任意端口。并前往 /root/.acme.sh/ 找到匹配你域名的文件夹,进去下载证书。后面要用到。
二、安装雷池防火墙
一键安装脚本:
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"
如果你没有安装docker会提示缺少 Docker 环境,按“Y”进行安装 Docker
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695101935.png
在docker安装完成后会继续要求输入安装雷池的目录,默认即可,直接按“Enter”
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102012.png
最后输入你的域名。如图
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102054.png
然后会自动下载雷池所需的镜像,由于镜像是下载官方的,所以速度有点慢,这个时间你可以去打一局游戏。
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102062.png
安装完成后,直接输入https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102068.png
然后将下载的证书上传上去,密钥文件跟证书文件,然后点击提交即可。
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102075.png
三、设置网站配置文件
打开 /usr/local/镜像位置/data/website.ini,将https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102090.png
如图所示,把上一步下载证书的路径改成你自己的路径。然后保存退出即可。
四、设置防火墙规则
打开你的浏览器,输入你的 https://域名:8888 ,然后在登陆界面输入https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102095.png
登陆成功后,左边选择你的域名,然后右边选择规则配置,选择开启高级模式,如图所示,然后点击提交
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102100.png
接下来就是填写自己的规则了,规则设置:主要分为 外置规则 、白名单 、高危规则 、非法外联 等模块,可以根据需求选择开启,如图所示,设置规则,然后点击提交保存即可。
五、查看安全日志
设置好规则后,就可以在日志查看了,左侧选择https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102105.png
然后选择日志查看,选择查看你设置好规则后的日志即可,如图
https://www.notetoday.net/pic.php?url=https://cdn.jsdelivr.net/gh/notetoday/img/usr/uploads/2023/09/19/1695102112.png
最后
这样,WAF 的安装配置就完成了,是不是很简单呢?希望本教程对大家有所帮助,如有不懂得地方,欢迎大家留言交流。
👍 大佬威武!
页:
[1]