SafeLine,中文名 "雷池",是一款简单好用, 效果突出的 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。
雷池通过过滤和监控Web应用与互联网之间的HTTP流量来保护Web服务。可以保护Web服务免受SQL注入、XSS、代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫等攻击。
雷池通过阻断流向Web服务的恶意HTTP流量来保护Web服务。雷池作为反向代理接入网络,通过在Web服务前部署雷池,可在Web服务和互联网之间设置一道屏障。
——摘自雷池WAF官方帮助文档
雷池WAF工作原理
1panel安装雷池WAF
雷池作用主要是给自己发布到公网的服务加上防护,但对于一些静态页面和不怎么重要的服务来说,不是必须的,且雷池社区版只支持10个免费站点,一般来说足够个人使用了。
1.服务器安装环境检查
可以通过以下命令来查询你的服务器是否符合安装需求
uname -m # 查看指令架构
cat /proc/cpuinfo| grep "processor" # 查看 CPU 信息
lscpu | grep ssse3 # 确认 CPU 是否支持 ssse3 指令集
lscpu | grep avx2 # 确认 CPU 是否支持 avx2 指令集
docker version # 查看 Docker 版本
docker compose version # 查看 Docker Compose 版本
docker-compose version # 查看老版本 docker-compose 版本
free -h # 查看内存信息
df -h # 查看磁盘信息2.运行安装脚本
本次安装在1panel中进行,首先打开1panel系统菜单下的终端,直接运行以下命令一键安装
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
此方法安装没什么难度,按照提示说明设置安装路径即可(也可以直接按Enter回车,安装到默认路径),建议所有项目安装时设定一个路径,多项目时方便管理。
待到出现下图中二维码,就已完成雷池WAF的安装。注意需记录下初始账号和密码,默认安装的端口号为9443。
3.防火墙放行9443端口
(1panel的防火墙方便管理服务器端口,可启用后初始化进行配置尝试,本文章说明是已启用状态),雷池WAF默认是占用的9443端口,在1panel防火墙创建端口规则允许TCP`9443`端口通行。
4.浏览器访问雷池WAF
注意:访问雷池时需HTTPS协议,浏览器输入https://{服务器公网IP}:9443即可访问到登录页面,输入安装完成时给出的默认用户和密码登录。
首页展示
使用流程
1.修改默认管理密码
先点击左侧通用设置,找到顶部控制台管理菜单,编辑修改超级管理admin的密码。
2.上传或在线申请SSL证书
回到通用设置上方的防护配置页面,证书管理栏添加证书。
3.添加反代应用
在防护应用页添加应用,注意设置的端口也同样需要在防火墙设为放行,才可正常访问。设好后可以仔细研究下防护规则,如果遇到问题,可以检查下雷池WAF的攻击防护拦截详情,看看是什么规则引起的,再调整相应规则即可。
