雷池 WAF 主从同步高可用教程
雷池 - 小小
更新于 3 天前
雷池 WAF 高可用方案可以保障业务连续性,确保雷池的可用性。本教程介绍使用雷池的主从同步功能搭建一个高可用的 WAF 集群。
考虑到企业级应用对安全防护的连续性要求,以及单点故障可能带来的业务中断风险,因此需要一个高可用的 WAF 防护方案。特别是在以下场景:
通过主从配置同步自动将雷池的网站应用,引擎规则,黑白名单,人机验证等功能配置近实时同步到不同的从节点。具体实现方式和功能特性:
本教程演示过程中使用的服务器信息说明:
在从节点执行刚才的同步命令
预计需要等待 1-2 分钟,此时主节点界面的显示效果为:
从节点界面的显示效果为:
当最近同步时间更新到最近的一两分钟内之后就可以在从节点确认一下网站应用和各种防护配置的同步情况了。
在完成雷池 WAF 的主从配置之后,就可以通过在负载均衡让主从接收流量了。这里使用阿里云的 SLB 作为演示。阿里云负载均衡(Server Load Balancer,简称SLB)是对云上流量进行按需分发的服务。通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,消除单点故障并提升应用系统的可用性。阿里云新一代SLB产品家族包含应用型负载均衡ALB和网络型负载均衡NLB。本文以 NLB 为例进行说明。
注意创建的时候后端协议必须选择 TCP,调度算法必须选择源IP哈希。为了简单起见这里选择开启全端口转发,其他配置看情况选择。
在这里选择部署了主从节点的雷池 WAF 服务器即可
选择 TCP 协议,端口端视情况填写即可。为了方便演示这里还是选择打开全端口转发。
确认刚才的信息选择提交
将原有的域名解析的 A 记录删除,通过 CNAME 解析的方式将自有域名指向 NLB 实例域名。解析完成之后通过域名测试是否正常访问即可。
通过以上配置,我们已经成功搭建了一个高可用的雷池 WAF 集群。该方案不仅能够提供持续的安全防护能力,还能在节点故障时实现自动切换,确保业务系统的稳定运行。在实际部署过程中,建议根据业务规模和需求选择合适的节点数量,并定期进行故障演练,验证高可用方案的可靠性。同时,也要注意做好监控和告警,及时发现并处理潜在问题,为业务系统提供更可靠的安全保障。
问:SLB 方案还有别的选择吗?
答:不限制 SLB 方案,市面上常见的云厂商方案都可以选择,甚至简单实用 Nginx 来做也行。
问:为什么一直显示同步中?
答:同步中只是说明主从同步的模式正常运行中,并不代表数据同步完成状态,因此只有同步中和未同步两种状态。
问:从节点可以编辑配置吗?
答:不可以。从节点是只读状态,只能跟随主节点的配置。
问:从节点需要购买单独的授权吗?
答:是的,每个从节点都需要单独的授权。
问:最近同步时间一直没更新或者时间差距很大?
答:可以看看主从的 mgt 容器日志是否有明显错误,或者解绑后重新尝试同步。
问:主从可以同时接收流量吗?
答:可以。
问:主节点会有从节点的攻击日志、访问日志等统计数据吗?
答:考虑到日志同步体量等问题暂时不支持。
1
2
希望自定义规则里也可以增加分组跟搜索
风中芥子
更新于 1 天前
目前有几十条自定义黑白名单规则了,不太好维护
比如我想看某个站点有什么规则,就只有一个一个点开看,现在只能根据自己取名字注意些看。
希望自定义规则跟应用里一样优化,同时,得增加搜索功能,比如我搜某个站点、某个url,某个数字,就出来匹配中对应的规则。
可以搜索里,不区分是应用还是url,只有匹配到就检索出来,或者点搜索,出现一个搜索各种条件,比如搜应用的,搜url的
0
3
建议在每个防护应用那里显示独立访客和独立IP数据
吃到走不动
更新于 1 天前
能否在每个防护应用这里显示独立访客和独立IP呢,首页那里的数据都混在一起无法区分。
1
3
应用管理建议
SKY
更新于 1 天前
0
1
safeline-ce接口IP地址问题
Liutieyi
更新于 2 天前
安装完毕后,出现一个safeline-ce接口,地址为192.168.0.1,和我这里有冲突,怎么设置?
0
9
雷池 WAF 主从同步高可用教程
雷池 - 小小
更新于 3 天前
雷池 WAF 高可用方案可以保障业务连续性,确保雷池的可用性。本教程介绍使用雷池的主从同步功能搭建一个高可用的 WAF 集群。
考虑到企业级应用对安全防护的连续性要求,以及单点故障可能带来的业务中断风险,因此需要一个高可用的 WAF 防护方案。特别是在以下场景:
通过主从配置同步自动将雷池的网站应用,引擎规则,黑白名单,人机验证等功能配置近实时同步到不同的从节点。具体实现方式和功能特性:
本教程演示过程中使用的服务器信息说明:
在从节点执行刚才的同步命令
预计需要等待 1-2 分钟,此时主节点界面的显示效果为:
从节点界面的显示效果为:
当最近同步时间更新到最近的一两分钟内之后就可以在从节点确认一下网站应用和各种防护配置的同步情况了。
在完成雷池 WAF 的主从配置之后,就可以通过在负载均衡让主从接收流量了。这里使用阿里云的 SLB 作为演示。阿里云负载均衡(Server Load Balancer,简称SLB)是对云上流量进行按需分发的服务。通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,消除单点故障并提升应用系统的可用性。阿里云新一代SLB产品家族包含应用型负载均衡ALB和网络型负载均衡NLB。本文以 NLB 为例进行说明。
注意创建的时候后端协议必须选择 TCP,调度算法必须选择源IP哈希。为了简单起见这里选择开启全端口转发,其他配置看情况选择。
在这里选择部署了主从节点的雷池 WAF 服务器即可
选择 TCP 协议,端口端视情况填写即可。为了方便演示这里还是选择打开全端口转发。
确认刚才的信息选择提交
将原有的域名解析的 A 记录删除,通过 CNAME 解析的方式将自有域名指向 NLB 实例域名。解析完成之后通过域名测试是否正常访问即可。
通过以上配置,我们已经成功搭建了一个高可用的雷池 WAF 集群。该方案不仅能够提供持续的安全防护能力,还能在节点故障时实现自动切换,确保业务系统的稳定运行。在实际部署过程中,建议根据业务规模和需求选择合适的节点数量,并定期进行故障演练,验证高可用方案的可靠性。同时,也要注意做好监控和告警,及时发现并处理潜在问题,为业务系统提供更可靠的安全保障。
问:SLB 方案还有别的选择吗?
答:不限制 SLB 方案,市面上常见的云厂商方案都可以选择,甚至简单实用 Nginx 来做也行。
问:为什么一直显示同步中?
答:同步中只是说明主从同步的模式正常运行中,并不代表数据同步完成状态,因此只有同步中和未同步两种状态。
问:从节点可以编辑配置吗?
答:不可以。从节点是只读状态,只能跟随主节点的配置。
问:从节点需要购买单独的授权吗?
答:是的,每个从节点都需要单独的授权。
问:最近同步时间一直没更新或者时间差距很大?
答:可以看看主从的 mgt 容器日志是否有明显错误,或者解绑后重新尝试同步。
问:主从可以同时接收流量吗?
答:可以。
问:主节点会有从节点的攻击日志、访问日志等统计数据吗?
答:考虑到日志同步体量等问题暂时不支持。
1
2
希望自定义规则里也可以增加分组跟搜索
风中芥子
更新于 1 天前
目前有几十条自定义黑白名单规则了,不太好维护
比如我想看某个站点有什么规则,就只有一个一个点开看,现在只能根据自己取名字注意些看。
希望自定义规则跟应用里一样优化,同时,得增加搜索功能,比如我搜某个站点、某个url,某个数字,就出来匹配中对应的规则。
可以搜索里,不区分是应用还是url,只有匹配到就检索出来,或者点搜索,出现一个搜索各种条件,比如搜应用的,搜url的
0
3
建议在每个防护应用那里显示独立访客和独立IP数据
吃到走不动
更新于 1 天前
能否在每个防护应用这里显示独立访客和独立IP呢,首页那里的数据都混在一起无法区分。
1
3
应用管理建议
SKY
更新于 1 天前
0
1
safeline-ce接口IP地址问题
Liutieyi
更新于 2 天前
安装完毕后,出现一个safeline-ce接口,地址为192.168.0.1,和我这里有冲突,怎么设置?
0
9
