飞牛NAS秒变安全堡垒!零成本部署雷池WAF实战,扛住10万级CC攻击
海底捞在逃牛丸
更新于 2 天前
大家好,我是一名技术小白、nas爱好者、网络安全从业者。
最近几天,一年一度特殊的日子又要到来了,面对复杂的网络环境、未知的攻击、还想低成本做好安全防护,一度让我绞尽脑汁,硬件waf的门槛让我望而却步,独立的虚拟机让我看到飙红的内存和CPU而陷入沉思,部署waf是一个技术含量不是很低的活,从操作系统,到依赖环境,一步一步,既要克服陌生的命令,又要克服难搞的网络,实在是让人力不从心,稍有不慎,只能将虚拟机推翻重来,由于机房的特殊性(无自由的互联网访问权限),部署工作变得焦灼又难以推进,这个时候,我突然想到工作摸鱼期间部署的飞牛nas!
https://www.fnnas.com/
此次部署跳过nas的部署步骤,网上已经有很多教程了,但是关于在nas上部署waf这种专业工具的教程比较少,我搜索很多平台最终找到了一篇,但是真正上手,有一些差距,这次我把我的部署经验放上来,给大家参考,希望大家少走弯路,一步到位!
另外,雷池官方的教程可以参考:
手动安装雷池waf:https://docs.waf-ce.chaitin.cn/zh/%E4%B8%8A%E6%89%8B%E6%8C%87%E5%8D%97/%E5%AE%89%E8%A3%85%E9%9B%B7%E6%B1%A0/%E6%89%8B%E5%8A%A8%E5%AE%89%E8%A3%85
第一步:创建文件夹
在飞牛nas上创建文件夹,我直接在文件目录下创建了seafline文件夹,创建好后放在那边,稍后用到。
第二步:打开飞牛nas的ssh!
关于ssh的连接,我也不做赘述了,相信nas爱好者都会,开启后连上飞牛nas的ssh。
接下来的步骤,跟着我一步步走,走错一步可能导致部署失败。
进入你刚刚创建的seafline文件,查看文件的位置,可以通过右击-详情获得,复制原始路径,我这边的是:/vol1/1000/seafline
第三部:开始部署!
ssh输入 cd /vol1/1000/seafline,进入文件夹:
接着输入命令:
wget "https://waf-ce.chaitin.cn/release/latest/compose.yaml"
继续,创建 .env 配置文件
输入命令:touch ".env"
回车后显示与我一致即为成功!
接着,输入命令:vim .env,会显示如下界面,不要着急。
将我的代码粘贴进去,注意要修改变量:
SAFELINE_DIR=/vol1/1000/data/safeline
IMAGE_TAG=latest
MGT_PORT=9443
POSTGRES_PASSWORD=1qaz2wsx
SUBNET_PREFIX=172.22.222
IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline
ARCH_SUFFIX=
RELEASE=
REGION=
代码说明:
SAFELINE_DIR: 雷池安装目录,如 /data/safeline
IMAGE_TAG: 要安装的雷池版本,保持默认的 latest 即可
MGT_PORT: 雷池控制台的端口,保持默认的 9443 即可
POSTGRES_PASSWORD: 雷池所需数据库的初始化密码,请随机生成一个
SUBNET_PREFIX: 雷池内部网络的网段,保持默认的 172.22.222 即可
IMAGE_PREFIX: 雷池镜像源的前缀,建议根据服务器地理位置选择合适的源
ARCH_SUFFIX: 雷池架构的后缀,ARM 服务器需要配置为 -arm
RELEASE: 更新通道,LTS 版本需要配置为 -lts
具体要求可以查看官方文档,手动安装雷池,修改参数时一定要注意目录!!密码修改不要有特别特殊的符号,如@#这种,这边的密码不影响后面的密码重置,特别要注意,我在部署的时候就用了@#,导致部署失败。
输入完成后,按Esc,然后输入:wq,即可保存退出。
以上步骤完成后,即可开启雷池,但是要注意,部署阶段需要保证有比较稳定的互联网访问环境。
第四步:开启服务!
继续在ssh内输入: docker compose up -d
会出现下面的情况,这就是第一个小坑:
需要你用root权限去执行 ,输入命令:sudo docker compose up -d。
这时候,我们就会发现,系统提示输入密码,只需要继续输入管理员密码即可,注意,密码看不到,并不是无效输入。
拉取完镜像后,雷池waf 的引擎自动开启,如下图所示,即为成功:
这时候,我们打开nas的ip+9443端口,注意要用https访问。
开启雷池带给你的安全之旅吧....
等等,还没结束,我还不知道账号密码呢,别急,我们继续往下走。
ssh内输入:sudo docker exec safeline-mgt resetadmin
执行后,即可看到账号密码。
至此,飞牛nas部署雷池waf的教程就到这边结束了,更多的使用方法,请访问雷池官方论坛,也可以加入交流群,杰哥很厉害,大家都说好
希望大家重视网络安全,更多支持国产安全产品,说实话,作为网络安全从业者,用过很多waf产品,也测试了市面上绝大多数的产品,雷池个人版不仅做到了免费,更是做到了在免费的范围内,给了用户更多的安全保障,极低的上手门槛和丝滑的使用体验,让我老泪纵横!
谢谢大家读到这里,下次再见啦!
2
2
雷池8.0LTS前置阿里云ESA获取客户端真实IP问题
鱼
更新于 2 天前
各位老师好,我们正在测试雷池WAF相关功能,部署的8.0LTS版本,前置部署有阿里云的ESA服务。大致请求如下:
user -> ESA -> NLB -> 雷池WAF -> app
我们已在ESA开启了托管规则: 回源请求中添加“ali-real-client-ip”header,并在雷池WAF应用配置中的源IP获取方式设置为 从HTTP Header中获取:“ali_real_client_ip”和“ali-real-client-ip”,都设置过。
我们通过在app的nginx上日志打印 $http_ali_real_client_ip,是可以获取到正确的客户端IP的。
相关配置截图如下:
0
3
Web2GPT增加Grok和Gemini模型
扶摇可接
更新于 2 天前
Web2GPT增加Grok和Gemini模型
0
1
登录显示网络异常怎么回事
扶摇可接
更新于 2 天前
如图
1
1
希望自定义文档里增加PPT的格式
风中芥子
更新于 2 天前
希望自定义文档里增加PPT的格式,因为很多文档都是PPT的,像kimi等AI都是支持PPT文档的,希望能增加PPT文档的识别跟学习
0
1
web2gpt让你的网站也可以变成智能体,在提一个意见!
脸谱
更新于 2 天前
web2gpt让你的网站也可以变成智能体
这段时间在做一个新行业,无意中在别人的朋友圈看到一个web2gpt-将网站转化为AI应用,出于好奇准备搭建一个本地版试试效果怎么样。本人也是从事信息安全行业的,有10多年信息安全方面的经验,对一些新鲜的东西还是比较好奇。
长亭科技也是信息安全行业业内比较有名的企业,特别雷池WAF功能也比较强大。
下面就开始部署到使用的一个保密级教程。
以下是Web2GPT,官网:
https://web2gpt.ai/
我们直接安装免费版就可以:
Web2GPT支持docker部署,那就很方便了,准备一台官方要求配置的云主机即可下面是配置列表:
操作系统:Linux
软件依赖:Docker 20.10.14 版本以上
软件依赖:Docker Compose 2.0.0 版本以上
CPU:最低 2 核,推荐 4 核及以上
GPU:无需 GPU,安装成功后需要配置外接大模型
内存:最低 4GB,推荐 8GB 及以上
硬盘:最低 10GB,推荐 20GB 及以上
官网有保姆级安装教程,安装非常简单,用官网的步骤安装完后,即可开箱使用。
1. 创建一个文件夹,比如/data/web2gpt
mkdir -p /data/web2gpt
cd /data/web2gpt
Copy
2. 下载 docker comopse 文件
curl https://release.web2gpt.ai/latest/docker-compose.yml -o docker-compose.yml
Copy
3. 下载环境变量模版文件
curl https://release.web2gpt.ai/latest/.env.template -o .env
Copy
4. 初始化配置文件
count=$(grep -o "{CHANGE_TO_RANDOM_PASSWORD}" .env | wc -l);
for i in $(seq 1 $count);
do sed -i .env -e "0,/{CHANGE_TO_RANDOM_PASSWORD}/s//$(openssl rand -base64 20 | tr -d '/+=' | cut -c1-20)/";
done
Copy
5. 启动 Docker 容器
docker compose up -d
安装完成后,浏览器打开http://ip:9999,即可访问web2gpt应用后台。
账号默认admin@web2gpt.ai,密码可以从安装目录.env下查看,如果需要修改默认密码,修改后再次运行docker compose up -d,即可修改默认的。
后台管理界面所有的数据可以很直观的看到。
Web2gpt可以自己部署离线大模型,但是,需要有条件的前提下,才可以。Web2gpt也支持常见的AI模型接口配置。
这里我们使用DeepSeek,到官网注册账号,获取API key。
模型训练Web2gpt也支持几种方式
1、输入URL自动爬取网站页面内容,进行训练。
2、输入url获取当前页面内容,进行训练。
3、上传离线文档进行训练,可批量上传。
4、也可以自定义录入文章,进行训练,功能还是很强大啊,满足了各种用户需求,虽然长亭是做安全的行业,但是开发能力还是很厉害。
当训练完后,就可以创建自己想要的ai应用了。
支持各种应用,下面我们试下网页应用和智能客服的插件。
参数都可以自定义显示。
创建智能客服也一样,把下面红框中的代码,复制粘贴到你的网站首页代码处,你就可以拥有一个AI客服了。
大概训练了有个80万字这样,搜索问题速度也还可以,大概在10秒左右。基本上免费版就可以满足中小企业日常需求,总之,非常好用。同样支持长亭。
建议:
在自动发现功能处,建议加入关键词匹配功能,这样可有效提高发现有用数据。不然,爬全站的数据到本地,也太浪费资源和时间了啊
0
1
飞牛NAS秒变安全堡垒!零成本部署雷池WAF实战,扛住10万级CC攻击
海底捞在逃牛丸
更新于 2 天前
大家好,我是一名技术小白、nas爱好者、网络安全从业者。
最近几天,一年一度特殊的日子又要到来了,面对复杂的网络环境、未知的攻击、还想低成本做好安全防护,一度让我绞尽脑汁,硬件waf的门槛让我望而却步,独立的虚拟机让我看到飙红的内存和CPU而陷入沉思,部署waf是一个技术含量不是很低的活,从操作系统,到依赖环境,一步一步,既要克服陌生的命令,又要克服难搞的网络,实在是让人力不从心,稍有不慎,只能将虚拟机推翻重来,由于机房的特殊性(无自由的互联网访问权限),部署工作变得焦灼又难以推进,这个时候,我突然想到工作摸鱼期间部署的飞牛nas!
https://www.fnnas.com/
此次部署跳过nas的部署步骤,网上已经有很多教程了,但是关于在nas上部署waf这种专业工具的教程比较少,我搜索很多平台最终找到了一篇,但是真正上手,有一些差距,这次我把我的部署经验放上来,给大家参考,希望大家少走弯路,一步到位!
另外,雷池官方的教程可以参考:
手动安装雷池waf:https://docs.waf-ce.chaitin.cn/zh/%E4%B8%8A%E6%89%8B%E6%8C%87%E5%8D%97/%E5%AE%89%E8%A3%85%E9%9B%B7%E6%B1%A0/%E6%89%8B%E5%8A%A8%E5%AE%89%E8%A3%85
第一步:创建文件夹
在飞牛nas上创建文件夹,我直接在文件目录下创建了seafline文件夹,创建好后放在那边,稍后用到。
第二步:打开飞牛nas的ssh!
关于ssh的连接,我也不做赘述了,相信nas爱好者都会,开启后连上飞牛nas的ssh。
接下来的步骤,跟着我一步步走,走错一步可能导致部署失败。
进入你刚刚创建的seafline文件,查看文件的位置,可以通过右击-详情获得,复制原始路径,我这边的是:/vol1/1000/seafline
第三部:开始部署!
ssh输入 cd /vol1/1000/seafline,进入文件夹:
接着输入命令:
wget "https://waf-ce.chaitin.cn/release/latest/compose.yaml"
继续,创建 .env 配置文件
输入命令:touch ".env"
回车后显示与我一致即为成功!
接着,输入命令:vim .env,会显示如下界面,不要着急。
将我的代码粘贴进去,注意要修改变量:
SAFELINE_DIR=/vol1/1000/data/safeline
IMAGE_TAG=latest
MGT_PORT=9443
POSTGRES_PASSWORD=1qaz2wsx
SUBNET_PREFIX=172.22.222
IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline
ARCH_SUFFIX=
RELEASE=
REGION=
代码说明:
SAFELINE_DIR: 雷池安装目录,如 /data/safeline
IMAGE_TAG: 要安装的雷池版本,保持默认的 latest 即可
MGT_PORT: 雷池控制台的端口,保持默认的 9443 即可
POSTGRES_PASSWORD: 雷池所需数据库的初始化密码,请随机生成一个
SUBNET_PREFIX: 雷池内部网络的网段,保持默认的 172.22.222 即可
IMAGE_PREFIX: 雷池镜像源的前缀,建议根据服务器地理位置选择合适的源
ARCH_SUFFIX: 雷池架构的后缀,ARM 服务器需要配置为 -arm
RELEASE: 更新通道,LTS 版本需要配置为 -lts
具体要求可以查看官方文档,手动安装雷池,修改参数时一定要注意目录!!密码修改不要有特别特殊的符号,如@#这种,这边的密码不影响后面的密码重置,特别要注意,我在部署的时候就用了@#,导致部署失败。
输入完成后,按Esc,然后输入:wq,即可保存退出。
以上步骤完成后,即可开启雷池,但是要注意,部署阶段需要保证有比较稳定的互联网访问环境。
第四步:开启服务!
继续在ssh内输入: docker compose up -d
会出现下面的情况,这就是第一个小坑:
需要你用root权限去执行 ,输入命令:sudo docker compose up -d。
这时候,我们就会发现,系统提示输入密码,只需要继续输入管理员密码即可,注意,密码看不到,并不是无效输入。
拉取完镜像后,雷池waf 的引擎自动开启,如下图所示,即为成功:
这时候,我们打开nas的ip+9443端口,注意要用https访问。
开启雷池带给你的安全之旅吧....
等等,还没结束,我还不知道账号密码呢,别急,我们继续往下走。
ssh内输入:sudo docker exec safeline-mgt resetadmin
执行后,即可看到账号密码。
至此,飞牛nas部署雷池waf的教程就到这边结束了,更多的使用方法,请访问雷池官方论坛,也可以加入交流群,杰哥很厉害,大家都说好
希望大家重视网络安全,更多支持国产安全产品,说实话,作为网络安全从业者,用过很多waf产品,也测试了市面上绝大多数的产品,雷池个人版不仅做到了免费,更是做到了在免费的范围内,给了用户更多的安全保障,极低的上手门槛和丝滑的使用体验,让我老泪纵横!
谢谢大家读到这里,下次再见啦!
2
2
雷池8.0LTS前置阿里云ESA获取客户端真实IP问题
鱼
更新于 2 天前
各位老师好,我们正在测试雷池WAF相关功能,部署的8.0LTS版本,前置部署有阿里云的ESA服务。大致请求如下:
user -> ESA -> NLB -> 雷池WAF -> app
我们已在ESA开启了托管规则: 回源请求中添加“ali-real-client-ip”header,并在雷池WAF应用配置中的源IP获取方式设置为 从HTTP Header中获取:“ali_real_client_ip”和“ali-real-client-ip”,都设置过。
我们通过在app的nginx上日志打印 $http_ali_real_client_ip,是可以获取到正确的客户端IP的。
相关配置截图如下:
0
3
Web2GPT增加Grok和Gemini模型
扶摇可接
更新于 2 天前
Web2GPT增加Grok和Gemini模型
0
1
登录显示网络异常怎么回事
扶摇可接
更新于 2 天前
如图
1
1
希望自定义文档里增加PPT的格式
风中芥子
更新于 2 天前
希望自定义文档里增加PPT的格式,因为很多文档都是PPT的,像kimi等AI都是支持PPT文档的,希望能增加PPT文档的识别跟学习
0
1
web2gpt让你的网站也可以变成智能体,在提一个意见!
脸谱
更新于 2 天前
web2gpt让你的网站也可以变成智能体
这段时间在做一个新行业,无意中在别人的朋友圈看到一个web2gpt-将网站转化为AI应用,出于好奇准备搭建一个本地版试试效果怎么样。本人也是从事信息安全行业的,有10多年信息安全方面的经验,对一些新鲜的东西还是比较好奇。
长亭科技也是信息安全行业业内比较有名的企业,特别雷池WAF功能也比较强大。
下面就开始部署到使用的一个保密级教程。
以下是Web2GPT,官网:
https://web2gpt.ai/
我们直接安装免费版就可以:
Web2GPT支持docker部署,那就很方便了,准备一台官方要求配置的云主机即可下面是配置列表:
操作系统:Linux
软件依赖:Docker 20.10.14 版本以上
软件依赖:Docker Compose 2.0.0 版本以上
CPU:最低 2 核,推荐 4 核及以上
GPU:无需 GPU,安装成功后需要配置外接大模型
内存:最低 4GB,推荐 8GB 及以上
硬盘:最低 10GB,推荐 20GB 及以上
官网有保姆级安装教程,安装非常简单,用官网的步骤安装完后,即可开箱使用。
1. 创建一个文件夹,比如/data/web2gpt
mkdir -p /data/web2gpt
cd /data/web2gpt
Copy
2. 下载 docker comopse 文件
curl https://release.web2gpt.ai/latest/docker-compose.yml -o docker-compose.yml
Copy
3. 下载环境变量模版文件
curl https://release.web2gpt.ai/latest/.env.template -o .env
Copy
4. 初始化配置文件
count=$(grep -o "{CHANGE_TO_RANDOM_PASSWORD}" .env | wc -l);
for i in $(seq 1 $count);
do sed -i .env -e "0,/{CHANGE_TO_RANDOM_PASSWORD}/s//$(openssl rand -base64 20 | tr -d '/+=' | cut -c1-20)/";
done
Copy
5. 启动 Docker 容器
docker compose up -d
安装完成后,浏览器打开http://ip:9999,即可访问web2gpt应用后台。
账号默认admin@web2gpt.ai,密码可以从安装目录.env下查看,如果需要修改默认密码,修改后再次运行docker compose up -d,即可修改默认的。
后台管理界面所有的数据可以很直观的看到。
Web2gpt可以自己部署离线大模型,但是,需要有条件的前提下,才可以。Web2gpt也支持常见的AI模型接口配置。
这里我们使用DeepSeek,到官网注册账号,获取API key。
模型训练Web2gpt也支持几种方式
1、输入URL自动爬取网站页面内容,进行训练。
2、输入url获取当前页面内容,进行训练。
3、上传离线文档进行训练,可批量上传。
4、也可以自定义录入文章,进行训练,功能还是很强大啊,满足了各种用户需求,虽然长亭是做安全的行业,但是开发能力还是很厉害。
当训练完后,就可以创建自己想要的ai应用了。
支持各种应用,下面我们试下网页应用和智能客服的插件。
参数都可以自定义显示。
创建智能客服也一样,把下面红框中的代码,复制粘贴到你的网站首页代码处,你就可以拥有一个AI客服了。
大概训练了有个80万字这样,搜索问题速度也还可以,大概在10秒左右。基本上免费版就可以满足中小企业日常需求,总之,非常好用。同样支持长亭。
建议:
在自动发现功能处,建议加入关键词匹配功能,这样可有效提高发现有用数据。不然,爬全站的数据到本地,也太浪费资源和时间了啊
0
1
