前方雷池、黑客止步！

SafeLine 雷池、TOP 级开源防火墙WAF、

1. 简介 📝

1.1 什么是 SafeLine 雷池？🛡️

SafeLine 雷池是一款由长亭科技推出的下一代 Web 应用防火墙 (NGWAF)。它以智能语义分析引擎为核心，结合主动防御、威胁情报等技术，旨在为企业提供高效、准确、易用的 Web 安全防护解决方案。雷池社区版是经过市场充分检验，兼顾安全效果和使用体验的 WAF，核心检测能力、插件生态、管理后台等均免费开放，开箱即用。

在线Demo：https://demo.waf-ce.chaitin.cn:9443

1.2 SafeLine 雷池的核心价值 💰

SafeLine 雷池的核心价值在于通过创新的技术手段，帮助企业解决传统 WAF 存在的痛点，如高误报率、规则维护困难、性能瓶颈等，最终实现更智能、更高效、更便捷的 Web 安全防护。具体体现在：

• 降低安全运营成本： 通过智能引擎减少规则维护工作量，降低误报，提高安全人员效率。
• 提升安全防护效果： 基于语义分析的检测引擎，能有效识别绕过传统规则的攻击行为。
• 保障业务连续性： 灵活的部署方式和高效的性能，确保 WAF 不会成为业务瓶颈。
• 适应未来的安全挑战： 持续的学习能力和云端情报同步，帮助企业应对不断演变的安全威胁。

1.3 SafeLine 雷池的应用场景 🌐

SafeLine 雷池可以广泛应用于各种需要 Web 安全防护的场景，包括但不限于：

• 互联网企业： 保护面向公众的 Web 应用、API 接口、移动应用后端等。
• 金融行业： 保障网上银行、在线支付、证券交易等系统的安全。
• 政府机构： 保护政务网站、公共服务平台等免受攻击。
• 云服务提供商： 为云上租户提供 WAF 服务。
• 企业内网： 保护内部 Web 系统，防止内部威胁。

2. 功能特点 ✨

2.1 智能语义分析引擎 🧠

SafeLine 雷池的核心是其自主研发的智能语义分析引擎。该引擎采用自然语言处理 (NLP) 和机器学习技术，能够理解 Web 请求的语义，而不仅仅是匹配规则。这使得雷池能够更准确地识别恶意攻击，即使攻击者采用各种绕过手段。

2.2 灵敏的流量管控 🚦

SafeLine 雷池提供细粒度的流量管控能力，支持多种流量接入和转发模式。可以根据不同的业务需求，灵活配置流量策略，实现安全防护和业务性能的平衡。

2.3 主动防御能力 🤺

除了被动地检测和拦截攻击，SafeLine 雷池还具备主动防御能力。它可以根据当前的攻击态势，自动调整防御策略，例如动态调整敏感信息的检测粒度，以及模拟正常用户行为进行访问控制等，从而更好地应对新型和未知的威胁。

2.4 零误报 🎯

得益于智能语义分析引擎，SafeLine 雷池能准确区分正常请求和恶意攻击，大幅降低误报率，从而减少安全人员的处理负担，提高工作效率。

2.5 无规则特征学习 📚

SafeLine 雷池能够从大量的攻击流量中自动学习攻击特征，并将其用于未来的攻击检测，无需人工编写和维护复杂的规则。

2.6 云端威胁情报同步 ☁️

SafeLine 雷池可以与长亭科技的云端威胁情报平台进行同步，获取最新的威胁情报，包括恶意 IP、恶意域名、漏洞信息等，从而提高对最新威胁的防御能力。

2.7 详细日志和可视化报表 📊

SafeLine 雷池提供详细的日志记录和丰富的可视化报表，帮助安全人员快速了解当前的安全态势，定位安全事件，并进行溯源分析。

2.8 集群部署和高可用性 👨‍👩‍👧‍👦

SafeLine 雷池支持集群部署，可以实现负载均衡和高可用性，确保 WAF 自身的稳定性和可靠性。

2.9 便捷的管理和配置界面 💻

SafeLine 雷池提供直观易用的管理和配置界面，即使是非安全专业人员也能轻松上手。

3. 安装教程 🛠️

• 在线Demo：https://demo.waf-ce.chaitin.cn:9443

3.1 系统要求 💻

在安装 SafeLine 雷池之前，请确保您的系统满足以下最低要求：

• 操作系统： CentOS 7+、Ubuntu 18.04+、Debian 9+ 等主流 Linux 发行版
• CPU： 4 核及以上
• 内存： 8GB 及以上
• 硬盘空间： 50GB 及以上
• 网络： 稳定的网络连接

3.2 软件安装包下载 💾

您可以从以下渠道下载 SafeLine 雷池社区版：

• 官方网站： https://waf-ce.chaitin.cn/

3.3 社区版安装 🏠

3.3.1 Docker 安装 🐳

Docker 安装是最推荐的方式，它简单快捷，易于维护。

1. 安装 Docker 和 Docker Compose

   如果您尚未安装 Docker 和 Docker Compose，请参考 Docker 官方文档进行安装。

2. 下载 docker-compose.yml 文件

   curl -sSL <https://raw.githubusercontent.com/chaitin/SafeLine/main/docker-compose.yml> -o docker-compose.yml

3. 启动雷池

   docker-compose up -d

   首次启动可能需要几分钟时间来拉取镜像。

4. 验证安装通过浏览器访问 https://<服务器IP>:9443，即可进入雷池的管理界面。默认管理员账户与密码在安装日志中查看。

3.3.2 二进制部署 🧰

1. 前往雷池官网下载二进制安装包。
2. 安装依赖

yum install -y pcre pcre-devel zlib zlib-devel openssl openssl-devel

1. 解压安装包

tar -zxvf safeline-ce-<version>.tar.gz

1. 进入解压目录，执行安装脚本

cd safeline-ce-<version>./install.sh

1. 根据提示完成安装。
2. 验证安装： 通过浏览器访问 https://<服务器IP>:9443，即可进入雷池的管理界面。

3.3.3 从源码编译安装 👨‍💻

1. 安装依赖

   编译安装需要安装一些依赖，包括 Go 语言环境、GCC 等。请根据您的操作系统安装相应的依赖包。

2. 下载源码

   git clone <https://github.com/chaitin/SafeLine.git>

3. 编译

   cd SafeLinemake

4. 安装

   make install

5. 配置

   编译安装后，需要手动配置雷池，包括数据库连接、监听端口等。请参考 config.yaml 文件进行配置。

6. 启动

   safeline start

7. 验证安装： 通过浏览器访问 https://<服务器IP>:9443，即可进入雷池的管理界面。

3.4 企业版安装 🏢

企业版安装请联系长亭科技获取安装包和授权，并参考企业版安装文档进行安装。

3.5 升级指南 ⬆️

升级 SafeLine 雷池社区版通常可以通过以下步骤完成：

1. 备份数据：在升级之前，强烈建议备份当前的数据库和配置文件。
2. 下载新版本：从官方网站下载最新版本的安装包。
3. 停止旧版本：停止当前正在运行的雷池服务。
4. 安装新版本：根据您的安装方式，使用新版本的安装包进行安装。
5. 启动新版本：启动新版本的雷池服务。

具体的升级步骤可能因版本而异，请参考每个版本的升级说明。

4. 使用方式 🕹️

4.1 基础配置 ⚙️

安装完成后，您需要进行一些基础配置才能开始使用 SafeLine 雷池。

1. 登录管理界面：通过浏览器访问 https://<服务器IP>:9443，使用默认的管理员账户和密码登录。
2. 修改默认密码：为了安全起见，请第一时间修改默认的管理员密码。
3. 配置站点：在 "站点管理" 中添加需要保护的站点信息，包括域名、协议、端口等。
4. 配置证书：如果您的站点使用 HTTPS 协议，请上传相应的 SSL 证书。

4.2 流量接入 🔌

SafeLine 雷池支持多种流量接入方式，您可以根据实际的网络环境选择合适的方式。

4.2.1 反向代理模式 🔄

在反向代理模式下，雷池部署在 Web 服务器之前，所有的流量都先经过雷池，再转发到 Web 服务器。

1. 配置反向代理：在 "站点管理" 中，将 Web 服务器的 IP 地址和端口配置为上游服务器。
2. 修改 DNS 解析：将域名的 DNS 解析指向雷池服务器的 IP 地址。

4.2.2 透明代理模式 🪞

在透明代理模式下，雷池通过路由策略将流量导向自己，对 Web 服务器和客户端都是透明的。

1. 配置路由策略：在路由器或防火墙上配置路由策略，将访问 Web 服务器的流量导向雷池服务器。
2. 配置雷池：在 "站点管理" 中，将上游服务器配置为 Web 服务器的 IP 地址和端口。

4.2.3 镜像流量模式 🪞🪞

在镜像流量模式下，雷池通过交换机的端口镜像功能获取流量的副本进行分析，不影响正常的流量转发。

1. 配置端口镜像：在交换机上配置端口镜像，将 Web 服务器的流量镜像到雷池服务器的网卡。
2. 配置雷池：在 "站点管理" 中，将上游服务器配置为 Web 服务器的 IP 地址和端口。

4.3 规则配置 🛡️

4.3.1 默认规则 🛡️

SafeLine 雷池内置了丰富的默认规则，可以防御常见的 Web 攻击，如 SQL 注入、XSS 攻击、跨站请求伪造 (CSRF) 等。您可以根据需要启用或禁用这些规则。

4.3.2 自定义规则 👨‍🎨

除了默认规则外，您还可以根据特定的业务需求编写自定义规则。雷池支持使用 Lua 脚本编写自定义规则，具有很高的灵活性。

4.4 日志查看和分析 🔍

SafeLine 雷池提供了详细的日志记录功能，您可以查看所有经过雷池的请求日志和攻击日志。

• 请求日志：记录了所有请求的详细信息，包括请求时间、客户端 IP、请求 URL、请求方法、状态码等。
• 攻击日志：记录了所有被雷池拦截的攻击请求的详细信息，包括攻击类型、攻击参数、攻击时间等。

您可以使用日志查看器进行日志的实时查看和筛选，也可以将日志导出进行离线分析。

4.5 报表生成和导出 📈

SafeLine 雷池提供了丰富的报表功能，可以帮助您了解当前的安全态势和攻击趋势。

• 安全概览：展示了当前的攻击统计信息，包括攻击次数、攻击类型分布、攻击来源分布等。
• 攻击趋势：展示了最近一段时间内的攻击趋势图，可以按天、周、月等时间粒度进行查看。
• TOP N 报表：展示了攻击次数最多的攻击类型、攻击来源、被攻击 URL 等。

您可以将报表导出为 PDF 或 CSV 格式的文件。

4.6 告警和通知 🔔

SafeLine 雷池支持多种告警和通知方式，包括邮件、短信、Webhook 等。您可以配置告警规则，当发生特定的安全事件时，雷池会通过您配置的通知方式发送告警信息。

4.7 API 接口使用 🔌

SafeLine 雷池提供了丰富的 API 接口，您可以使用这些接口进行自动化运维和安全管理。例如，您可以使用 API 接口进行站点管理、规则管理、日志查询等操作。

5. 经典使用案例 💡

5.1 Web 应用防火墙 (WAF) 🛡️

这是 SafeLine 雷池最典型的应用场景。通过部署雷池，可以有效保护 Web 应用免受各种 Web 攻击，保障 Web 应用的安全性和可用性。

场景描述： 一家电商公司将其在线商城部署在公网上，面临着各种 Web 安全威胁，如 SQL 注入、XSS 攻击、CC 攻击等。

解决方案：

1. 部署 SafeLine 雷池： 采用反向代理模式将雷池部署在 Web 服务器之前。
2. 配置站点信息： 在雷池中添加电商网站的域名、协议、端口等信息，并将上游服务器配置为 Web 服务器的 IP 地址和端口。
3. 启用默认规则： 启用雷池的默认规则，防御常见的 Web 攻击。
4. 配置告警通知： 配置邮件告警，当发生攻击事件时，及时通知安全人员。

效果：

• 成功拦截了针对电商网站的各种 Web 攻击，保障了网站的正常运行。
• 降低了安全人员的工作负担，提高了安全运营效率。

5.2 API 安全防护 🔑

SafeLine 雷池可以对 API 接口进行细粒度的安全防护，防止 API 接口被滥用或攻击。

场景描述： 一家移动互联网公司提供了一系列的 API 接口给第三方开发者使用，面临着 API 接口被恶意调用、数据泄露等风险。

解决方案：

1. 部署 SafeLine 雷池： 采用反向代理模式将雷池部署在 API 网关之前。
2. 配置站点信息： 在雷池中添加 API 接口的域名、协议、端口等信息，并将上游服务器配置为 API 网关的 IP 地址和端口。
3. 配置 API 安全策略： 针对每个 API 接口，配置访问频率限制、参数校验、认证授权等安全策略。
4. 启用 API 安全防护规则： 启用针对 API 攻击的规则，例如防止参数篡改、越权访问等。

效果：

• 有效防止了 API 接口被恶意调用和攻击，保障了 API 接口的安全性和可用性。
• 保护了敏感数据，防止数据泄露。

5.3 DDoS 攻击缓解 ☔

SafeLine 雷池可以缓解一定程度的 DDoS 攻击，保护 Web 应用免受流量洪泛攻击的影响。

场景描述： 一家游戏公司经常遭受 DDoS 攻击，导致游戏服务器无法正常访问，影响用户体验。

解决方案：

1. 部署 SafeLine 雷池： 采用反向代理模式或透明代理模式将雷池部署在 Web 服务器之前。
2. 配置 CC 防护策略： 启用 CC 防护功能，并根据实际情况调整 CC 防护的阈值。
3. 配置黑名单： 将已知的攻击源 IP 地址添加到黑名单中。
4. 结合 CDN 使用： 将雷池与 CDN 结合使用，可以更好地缓解 DDoS 攻击。

效果：

• 缓解了 DDoS 攻击带来的影响，保障了游戏服务器的可用性。
• 降低了 DDoS 攻击的频率和强度。

5.4 Bot 机器人流量管理 🤖

SafeLine 雷池可以识别和管理 Bot 机器人流量，防止恶意 Bot 机器人爬取网站内容、刷单、抢票等。

场景描述： 一家新闻网站经常被恶意 Bot 机器人爬取内容，导致服务器负载过高，影响正常用户访问。

解决方案：

1. 部署 SafeLine 雷池： 采用反向代理模式将雷池部署在 Web 服务器之前。
2. 启用 Bot 机器人识别功能： 启用雷池的 Bot 机器人识别功能，识别访问网站的 Bot 机器人。
3. 配置 Bot 机器人管理策略： 根据不同的 Bot 机器人类型，配置不同的处理策略，例如拦截恶意 Bot 机器人、限制爬虫的访问频率等。

效果：

• 有效识别了访问网站的 Bot 机器人，并根据配置的策略进行了处理。
• 降低了服务器负载，提高了网站的访问速度。

5.5 数据泄露防护 🗄️

SafeLine 雷池可以检测和拦截包含敏感信息的响应数据，防止敏感数据泄露。

场景描述： 一家金融机构需要保护用户的敏感信息，如身份证号码、银行卡号等，防止这些信息被泄露。

解决方案：

1. 部署 SafeLine 雷池： 采用反向代理模式将雷池部署在 Web 服务器之前。
2. 配置敏感信息检测规则： 配置敏感信息检测规则，例如检测响应数据中是否包含身份证号码、银行卡号等。
3. 配置数据脱敏策略： 对检测到的敏感信息进行脱敏处理，例如将身份证号码中间几位替换为星号。

效果：

• 有效检测和拦截了包含敏感信息的响应数据，防止了敏感数据泄露。
• 提高了数据的安全性，符合数据安全合规要求。

6. 与其他相关开源项目对比 🆚

SafeLine 雷池是一款功能强大的 Web 应用防火墙，但市面上还有一些其他的开源 WAF 项目，例如 ModSecurity、NAXSI 和 OpenResty + Lua-WAF。下表对比了这些项目的主要特点：

总结：

• SafeLine 雷池 的优势在于其智能语义分析引擎，能够提供更准确的攻击检测和更低的误报率，以及更强的自动化能力。

7. 参考文档 📚

• SafeLine 官方网站: https://waf.changting.com/
• SafeLine 雷池社区版官方网站: https://waf-ce.chaitin.cn/
• SafeLine 雷池社区版 GitHub: https://github.com/chaitin/SafeLine
• Docker: https://docs.docker.com/
• Docker Compose: https://docs.docker.com/compose/

8. 常见问题解答 (FAQ) ❓

• Q：SafeLine 雷池社区版和企业版有什么区别？
• A：社区版免费开源，企业版提供更多高级功能和商业支持。具体区别请参考官方网站的功能对比表格。
• Q：SafeLine 雷池支持哪些操作系统？
• A：SafeLine 雷池支持主流的 Linux 发行版，如 CentOS、Ubuntu、Debian 等。
• Q：SafeLine 雷池的性能如何？
• A：SafeLine 雷池的性能非常出色，可以满足大多数场景的需求。具体的性能数据请参考官方的性能测试报告。
• Q：如何获取 SafeLine 雷池的技术支持？
• A：社区版用户可以通过 GitHub 提交 issue 或加入社区论坛获取技术支持。企业版用户可以获得长亭科技的商业支持。

9. 社区和支持 🤗

• GitHub Issue： https://github.com/chaitin/SafeLine/issues
• 社区论坛: https://rivers.chaitin.cn/discussion?from=waf-ce.chaitin.cn
• 微信交流请添加-