雷池作为最欢迎的开源waf,收到了广大用户的支持
但是雷池社区版本身的文档较少,专门给大家写了一份配置站点的解析,希望能帮到所有雷池社区版的用户
如果你还不了解雷池WAF,也想尝试使用的,可以访问下面官网了解
雷池 WAF 社区版: waf-ce.chaitin.cn/
废话不多说,上干货,雷池支持三种站点配置模式,分别对应不同的建站需求
- 代理到已有网站
- 使用静态文件搭建
- 重定向站点
代理到已有网站
如果你已经有一个正在提供服务的 Web 站点, 域名为 demo.safeline.com,解析到服务器 192.168.1.2:8000 ,此时需要使用雷池 WAF 进行安全防护,就可以选择代理到已有网站。
域名
通过雷池访问该站点时使用的域名,默认为 * 不限制具体访问域名,此处可以修改为 demo.safeline.com ,这样别人就只能通过此域名访问了。
Tips:记得去域名的 DNS 服务商修改域名的解析记录为 WAF 服务器的 IP 地址,否则流量不会切换到 WAF,防护也不会生效。
端口
雷池监听的网站端口,一般 HTTP 使用 HTTPS 使用 443,勾选 SSL 即代表该端口使用 HTTPS 协议
上游服务器
即正在提供服务的 Web 站点服务器,根据实际情况填写。在此教程中填写为 http://192.168.1.2:8000 即可
Tips:如果你碰到了类似 nginx: [emerg] duplicate listen options for 0.0.0.0:80 的错误说明 WAF 服务器的端口冲突了,解决冲突即可,一般来说需要排查 WAF 服务器是否已经有其他 Nginx 等代理服务器占用了端口,看情况解决即可
备注
起个好记的名字就行,也可以不填
使用静态文件搭建
如果你有一个前端的静态站点需要找个服务器进行代理且需要 WAF 安全防护,那么可以选择此种方式,相比于代理到已有站点,此种方式只需要指定监听端口,站点创建完成后再上传需要代理的静态资源文件即可。
点击网站进入站点详情后切换到静态资源选项卡可以上传静态资源
Tips:如果直接上传一个 zip 包可以直接自动解压覆盖整个目录
重定向
如果你有一个不在使用的站点域名,需要重定向到新域名上,则可以使用此种方式,如下图可以把 old.safeline.com 301 重定向到 new.safeline.com
测试防护效果
完成以上步骤后你的雷池已经可以正常工作了, 使用刚才配置的域名和端口访问试试.
可以模拟 SQL 注入攻击你的站点看看是否正常拦截。
常见问题排查
如何确认网站流量经过了 WAF
所有经过 WAF 的请求都会在响应头里面设置一个 sl-session 的 cookie,检查是否存在即可
端口冲突怎么办
使用 lsof, ss 等命令查询端口是被哪个程序占用了,对应解决即可
配置完 Tengine 一直重启怎么办
可能原因是 tengine 配置在当前设备环境上不合法,导致 tengine 无法以原配置启动。例如重启过程中网站端口被其他进程所占用、网站 dns 配置异常导致解析不到 IP 等。 可以通过查看 tengine 容器的日志,排查问题,也可以使用安装目录下的 reset_tengine.sh 脚本重置 tengine 容器配置。
# 假设安装目录为默认目录cd /data/safeline && bash reset_tengine.sh
