16.2K Star的国产WAF如何用无规则逻辑吊打传统防护？

最近朋友公司自己部署了一个开源CMS，由于用的是开源的产品，朋友一直担心突然产品爆个啥漏洞，导致被日穿。所以最好的办法就是搞个WAF，但是市面上那么多WAF，大部分都是要收费的，去哪儿找一款具有性价比的WAF呢？在一番了解后，我们决定使用长亭的雷池WAF！

https://waf-ce.chaitin.cn/

长亭雷池WAF是全球首款以智能语义分析算法解决Web攻击识别的下一代WAF，基于流量学习算法的自动化建模，不依赖规则库，可以不用再担心突发0day。在2017年，Struts2高危0Day爆发的时候，雷池是全球首个无需升级即可拦截利用该漏洞的WAF，还具有极低误报、漏报率的特点。

雷池基于Nginx进行开发, 作为反向代理接入网络，通过滤和监控Web应用与互联网之间的HTTP流量来保护Web服务。可以保护Web服务免受SQL注入、XSS、代码注入、命令注入、CRLF注入、Ldap注入、Xpath注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫等攻击。

这两天雷池还更新了新版本，感兴趣的小伙伴儿可以去下面链接看看

https://rivers.chaitin.cn/discussion/d0526g31s5rjh65s10dg#%E6%9B%B4%E6%96%B0%E5%86%85%E5%AE%B9

雷池部署

雷池部署最低配置需满足：

操作系统：LinuxCPU 指令架构：x86_64, arm64CPU 指令架构：x86_64 架构需要支持 ssse3 指令集软件依赖：Docker 20.10.14 版本以上软件依赖：Docker Compose 2.0.0 版本以上最低资源需求：1 核 CPU / 1 GB 内存 / 5 GB 磁盘

满足最低配置需求后，雷池的部署就非常简单了，直接使用一键部署命令

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

部署完成后，将显示管理面板地址及默认账号密码，随后访问9443端口即可登录雷池waf

如果忘记账户密码，执行以下命令即可重置管理员密码

docker exec safeline-mgt resetadmin

登录后台后，需要添加防护应用，上游服务器部分填入需要保护的网站URL，没有证书就不用勾选443。上游服务器显示健康的提示之后点击提交即可

域名这里需要注意一下，如果没有域名就填*，有域名的话，就填写正常域名就行，不需要加http://或者https://

如果有安全组记得放通对应端口

之后访问ip+端口即可访问配置好后的网站

雷池waf测试

来个简单的SQL注入payload测试

编码的payload也都能轻松拦截

文件上传轻松拦截

XXE完全没得搞

路径穿越，直接G

开启CC，扫个目录试试，丸辣，直接被封

既然扫描不行，那就看看源码把...尼玛，源码都加密了

F12看看js源码呢？丸辣，这下彻底没得搞了....

来到雷池后台，可以看到，之前测试的日志都被详细记录下来了

自带的AI小助手可以给出对数据包进行分析，得出详细的攻击类型、风险等级、漏洞原理、防护建议等分析结论

后台还可以开启身份认证，开启后访问网站必须先进行登录，认证之后才可访问网站

关于为什么我们选择了雷池？

首先是，他免费，他免费，他免费！！！对于大多数的适合小型个人网站或业余爱好者来说，个人免费版本的雷池绝对是够用的了，个人版可以免费更新白嫖长亭的最新情报数据。核心的防护功能长亭也是对个人用户保留了的(这一块真的要夸一声良心！！)

基础的统计以及高级统计功能也都开放免费使用

从另外一个角度来说，近期即将开始一系列的攻防活动，对于第一次参加防守方的师傅，是肯定要了解安全产品的具体使用的。对于大多数学生群体来说，是很难接触到这些设备的；这个时候雷池就是最具有性价比的产品！相对来说，其安装简单，上手快，而且功能齐全且强大，最重要的是比较轻量级，不需要购买过于昂贵的服务器，非常适合我们去学习。

对于有安全防护需求的企业来说，雷池WAF作为一款业界领先的 Web 应用防火墙，雷池以智能化、精准化、高效化的安全防护能力，为无数企业筑起坚不可摧的安全堡垒。如果你也在寻找一款真正好用的 WAF，雷池绝对值得一试！雷池各版本详细对照可以去下面的链接看看：