雷池 WAF 试用

国产开源软件在部署安装方面还是做的不错的，雷池的文档也很全面，基本上照着文档一步一步执行可以很快部署一台 WAF。

https://waf-ce.chaitin.cn/docs/guide/install

安装方法分在线和离线两种方式，在线方法安装会比较方便。如果服务器无法上外网，可以使用代理方式临时连一下外网，这样就不需要和网络管理员打报告了。

服务器代理上网方法参照以下文章：

在命令行执行安装命令：

$ bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

如果 docker 代理没有配置好，会报以下错误：

如果安装成功，会显示如下界面：

安装完成后通过 https://<server-ip>:9443 访问WAF登录界面，第一次登录时需要扫码绑定。

这里可以下载手机端“腾讯身份验证器”，完成绑定后手机端就会不停地刷新令牌，输入6位验证码即可登录。

登入系统后可以看到 WAF 的数据统计界面：

雷池 WAF 使用比较简单，在“防护站点”中添加上游服务即可：

除了添加站点资源，基本上没有其它需要配置的了。毕竟它是一个Web防火墙，当有攻击时才需要阻止。日常就是用来做流量记录，比如请求数，400错误数。

当有访问流量时，在“防护站点”中可以查看资源访问记录：

在“防护配置”中还可以对访问频率进行限制：

因为雷池 WAF 的工作原理是反代理，即流量先到WAF再到上游服务器。如果要使 WAF 生效，需要通过服务器区域的防火墙禁止直接访问业务。原始流量先经过 WAF 做流量过滤后再到业务服务器。当发生攻击行为时，也可以通过 WAF 阻断攻击。

但这样会改变用户访问习惯，如果有 DNS 服务，可以将业务系统的域名指向 WAF 服务器的 IP。但这样要求各系统端口不能冲突，最终可能还是要改业务访问端口。

针对单一业务，IP 及内部链接关系简单的情况可以使用反代理WAF。如果内部链接访问关系复杂，还是适合上硬WAF，即串在业务和客户端之间的WAF。

具体的WAF防护功能，比如防 WebShell 、防SQL注入，这就要考验 WAF 的智能水平了。有点像 Web 版的 “杀毒软件”，只是它的作用是防入侵而不是“杀毒”。

最适合反代理访问的应用就是出互联网的应用，因为内网出互联网本来就要经过出口墙的NAT端口映射。在内网应用映射到互联网公网IP前，先经过WAF做流量清洗，这样公网访问都会先经过WAF再到真实服务器。

雷池WAF文档中有关于禁国外IP的部分，通过雷池WAF可以实现只允许国内IP访问。刚部署完，更多细节还需要查阅官方文档。

全文完。

如果转发本文，文末务必注明：“转自微信公众号：生有可恋”。