手把手教你用云服务器部署“雷池WAF”,不让黑客越雷池一步

SafeLine，中文名 "雷池"，是一款简单好用, 效果突出的 Web 应用防火墙(WAF)，可以保护 Web 服务不受黑客攻击。

雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。

工作原理

雷池通过阻断流向 Web 服务的恶意 HTTP 流量来保护 Web 服务。雷池作为反向代理接入网络，通过在 Web 服务前部署雷池，可在 Web 服务和互联网之间设置一道屏障。

雷池的核心功能如下:

• 防护 Web 攻击

• 防爬虫, 防扫描

• 前端代码动态加密

• 基于源 IP 的访问速率限制

• HTTP 访问控制

🔥 核心能力

对于你的网站而言, 雷池可以实现如下效果:

• 阻断 Web 攻击

• 可以防御所有的 Web 攻击，例如 SQL 注入、XSS、代码注入、操作系统命令注入、CRLF 注入、XXE、SSRF、路径遍历 等等。

• 限制访问频率

• 限制用户的访问速率，让 Web 服务免遭 CC 攻击、暴力破解、流量激增 和其他类型的滥用。

• 人机验证

• 互联网上有来自真人用户的流量，但更多的是由爬虫, 漏洞扫描器, 蠕虫病毒, 漏洞利用程序等自动化程序发起的流量，开启雷池的人机验证功能后真人用户会被放行，恶意爬虫将会被阻断。

• 身份认证

• 雷池的 "身份认证" 功能可以很好的解决 "未授权访问" 漏洞，当用户访问您的网站时，需要输入您配置的用户名和密码信息，不持有认证信息的用户将被拒之门外。

• 动态防护

• 在用户浏览到的网页内容不变的情况下，将网页赋予动态特性，对 HTML 和 JavaScript 代码进行动态加密，确保每次访问时这些代码都以随机且独特的形态呈现。

环境依赖

安装雷池前请确保你的系统环境符合以下要求

• 操作系统：Linux

• CPU 指令架构：x86_64, arm64

• CPU 指令架构：x86_64 架构必须支持 ssse3， 推荐支持 avx2指令集

• 软件依赖：Docker 20.10.14 版本以上

• 软件依赖：Docker Compose 2.0.0 版本以上

• 最低资源需求：1 核 CPU / 1 GB 内存 / 5 GB 磁盘

可以根据以下命令来查看相关信息

uname -m                                    # 查看指令架构
cat /proc/cpuinfo| grep "processor"         # 查看 CPU 信息
lscpu | grep ssse3                          # 确认 CPU 是否支持 ssse3 指令集
lscpu | grep avx2                          # 确认 CPU 是否支持 avx2 指令集
docker version                              # 查看 Docker 版本
docker compose version                      # 查看 Docker Compose 版本
docker-compose version                      # 查看老版本 docker-compose 版本
free -h                                     # 查看内存信息
df -h                                       # 查看磁盘信息

推荐部署方式

单台服务器docker部署 性能最大化 反代源服务器

推荐运行方式:

cdn --》雷池 --》 源（负载均衡）其实一个就够了，没必要上负载，咱又不是百万大站

推荐雷池限制仅cdn回源IP访问

源限制仅雷池部署服务器ip可通信443/80 或者你得业务端口

docker 自动安装

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

将上方命令复制粘贴到终端中

后续按照提示操作即可

浏览器访问你ip+端口9443即可(这里的ip视你所在ip而定，内网搭建用内网ip,默认访问外网)

如浏览器访问提示你的连接不是专用连接 不安全，点击高级，继续访问即可(这是因为使用的自签证书导致的，无视即可)

输入这里的账密，点击登录

登录后默认如图所示

第一件事情是什么？添加网站？不！是在通用设置里，控制台管理进行安全设置

安全设置

PS：

这里的二次验证推荐大家开启，我是因为防火墙限制仅我那台操作机(堡垒机)登录，所以开不开都一样

添加证书

是不是以为接下来就可以直接添加站点了？不，第一步先添加证书，同时预防一下ssl导致的源IP泄露

点击ssl给这个网站加上一张空证书，用的是亚洲诚信测试证书生成，域名的话随便填

点击刚刚添加的网站，网站名，添加一张空白的证书，我已经生成好了直接复制就可以使用

这里也可以使用在线生成：

SSL 证书生成 - 锤子在线工具

将生成的证书与密钥粘贴到雷池中，点击提交

同理自己正式签发的证书也记得上传哦！免费的let或者智慧云CDN后台生成的证书上传即可

添加站点

1. 第一个站点请添加，www.www.www 或任意输入即可

接下来就是添加在用的站点了

2. 添加正式站点

注意：上游服务器哪里，如果你得源服务器启用了https可以选择上游为https://IP

比如我是宝塔 外网IP是 144.155.23.33，网站是www.luoca.net  源启用了TLS（https）

那么如图所示

这里也可设置http毕竟http来说会比https快(反正是回源)，前提是你源比如宝塔里的https设置里没设置强制https哦！

更换解析

去到你得域名托管商 或者你得dns解析服务商，修改你的dns记录

如果是套了CDN的去你cdn哪里修改回源IP为雷池的ip即可

不需要套cdn的  dns解析服务商，修改你的dns记录 修改解析值为雷池的ip即可

比如我是阿里云的dns ,用了智慧云CDN 雷池IP是 114.232.22.34

1. cdn设置如图：

推荐使用智慧云CDN

智慧云 - 亚太cdn_CNMCDN_高防cdn_高防云盾cdn加速_WEB应用防火墙_DDoS高防IP_游戏盾_安全加速CDN

2.阿里云dns解析设置

记录类型和记录值  以cdn返回的 解析值为准

最好接接入完毕了

高级配置

最后记得在防护应用 ---》高级配置中按需设置哦！

防护效果验证

同时雷池后台能查看防护日志

怎么样？是不是很强！速度搭建接入吧！

---

本文标签： 雷池  WAF  宝塔  CDN  智慧云