雷池规则广场:Prerender渲染
哄哄
更新于 8 小时前
Prerender.io 是针对您的 JavaScript SEO 问题的自动修复程序,可帮助您在受众搜索的任何地方被发现:Google、ChatGPT、Reddit 等。更好的渲染意味着更快的索引、更高的人工智能可见性、更多的流量和更大的收入潜力。
0
1
雷池规则广场:Prerender渲染
哄哄
更新于 8 小时前
Prerender.io 是针对您的 JavaScript SEO 问题的自动修复程序,可帮助您在受众搜索的任何地方被发现:Google、ChatGPT、Reddit 等。更好的渲染意味着更快的索引、更高的人工智能可见性、更多的流量和更大的收入潜力。
0
1
无法显示雷池waf错误码界面,如何修改配置?
ΦωΦ
更新于 9 小时前
大佬们好,请问一下,我的雷池waf已经配置好了,访问404页面为什么出现的还是源站页面,不是雷池waf错误码页面,但是在waf管理界面可以看到访问404的日志,多次访问也可以触发后续的拦截。还要做什么其他的配置吗。
0
1
雷池WAF全解析:部署、防护与进阶实战
唯有忆
更新于 11 小时前
雷池WAF全解析:从部署实战到多场景防护,构筑Web安全屏障
在Web应用成为业务核心载体的当下,SQL注入、XSS跨站脚本、恶意爬虫、DDoS攻击等安全威胁持续高发,Web应用防火墙(WAF)已成为保障业务连续性与数据安全的核心组件。雷池WAF(SafeLine)作为开源免费的下一代WAF代表,凭借智能语义分析核心算法、极简容器化部署体验及全链路防护能力,成为个人开发者、中小企业低成本构建Web安全防线的首选工具。本文将从部署实战、核心功能拆解、性能防护实测、竞品横向对比及第三方联动进阶等维度,系统化解析雷池WAF的技术价值与落地应用方案,助力读者快速上手并构建适配自身场景的安全防护体系。
一、30分钟快速部署:从环境准备到防护生效
雷池WAF采用Docker容器化部署架构,大幅降低运维配置门槛,新手运维或开发者无需复杂环境调试即可快速完成搭建。以下是经过实践验证的完整部署与基础配置流程,全程可控制在30分钟内完成:
1.1 环境准备与前置检查
雷池WAF对运行环境有明确兼容性要求,部署前需通过命令行快速校验环境达标情况,避免后续部署失败:
执行以下命令可快速完成环境核心指标校验:
1uname -m # 查看架构 2lscpu | grep ssse3 # 验证ssse3指令集支持 3docker version # 检查Docker版本 4docker compose version # 检查Docker Compose版本 5free -h # 查看内存信息 6df -h # 查看磁盘信息
1.2 一键安装与访问配置
环境校验通过后,执行以下一键安装命令,全程自动化完成部署,耗时约3分钟:
1bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
安装完成后,终端将自动输出管理员账号密码及Web管理后台访问地址。通过浏览器访问「https://WAF服务器IP:9443」(注意协议为HTTPS),输入账号密码即可登录管理后台,首次登录建议立即修改默认密码提升安全性。
1.3 防护应用添加实战
登录管理后台后,点击左侧导航栏「防护应用」-「添加应用」,完成3项核心配置即可实现对目标业务站点的防护接入:
配置提交后,通过「WAF服务器IP+配置端口」即可访问业务站点,此时所有访问流量将自动经过雷池WAF检测过滤。建议同步开启「访问日志」和「攻击日志」记录功能(路径:系统设置-日志管理),日志留存周期建议设置为7-30天,便于后续安全事件溯源与问题排查。
二、核心功能详解:多维防护能力拆解
雷池WAF以「智能语义分析」为核心技术底座,构建覆盖应用层、传输层的全链路防护体系,核心功能可拆解为五大核心模块,适配不同场景的安全防护需求:
2.1 全方位攻击防护
作为雷池WAF的基础核心功能,该模块默认开启后无需额外配置,即可自动防御多种常见Web攻击,覆盖OWASP Top 10核心威胁类型:
SQL注入、XSS跨站脚本(存储型/反射型)、命令注入、代码注入、CRLF注入、LDAP注入、XPATH注入、远程代码执行(RCE)、XML外部实体攻击(XXE)、服务端请求伪造(SSRF)、路径遍历、WebShell后门攻击、账号密码暴力破解、CC攻击、恶意爬虫扫描/数据爬取等。
快速测试验证方法:在防护站点URL后拼接典型XSS攻击语句(如),雷池将立即阻断该恶意请求,并在「攻击日志」中详细记录攻击类型、请求参数、客户端IP、响应状态等信息。点击日志详情中的「智能AI攻击分析」,可获取攻击行为的影响范围评估及对应的业务修复建议,降低安全分析门槛。
2.2 智能访问控制
针对内部服务访问控制、公网服务流量限制等场景,提供灵活可配置的访问策略,支持按需自定义规则:
2.3 动态防护与Bot管理
针对自动化攻击工具、恶意爬虫等非人工访问威胁,提供两大核心动态防护能力,平衡防护效果与用户体验:
Bot管理模块还内置合法爬虫白名单机制,可通过反向DNS查询自动验证Googlebot、Baiduspider等搜索引擎爬虫的合法性,确保业务站点的搜索引擎收录不受防护策略影响。
2.4 高性能架构设计
雷池基于高性能Nginx内核开发,采用线性安全检测算法,彻底摆脱传统规则引擎的性能瓶颈:平均单次请求检测延迟<1毫秒,单核CPU可稳定支撑2000+TPS并发访问,服务可用性达99.99%。内置服务健康检查与自动恢复机制,可实时监控WAF服务运行状态,出现异常时自动重启,确保防护链路不中断。
三、性能与防护效果测试:数据验证安全价值
为客观验证雷池WAF的防护效果与性能表现,我们基于33,669个真实Web攻击样本构建测试集,在标准2核4GB服务器环境下,对比测试不同防护模式下的核心指标,为实际部署配置提供数据参考:
3.1 防护效果测试
| 防护模式 | 检出率 | 误报率 | 准确率 |
|---|---|---|---|
| 平衡模式 | 71.65% | 0.07% | 99.45% |
| 严格模式 | 76.17% | 0.22% | 99.38% |
| 传统ModSecurity(Level 1) | 69.74% | 0.35% | 99.02% |
测试结果表明,雷池WAF在平衡模式下即可实现「高检出率+低误报率」的最优平衡,检出率与准确率均优于传统ModSecurity规则引擎方案。其中,智能语义分析算法对0day攻击、变形攻击等未知威胁的防护效果尤为突出,测试集漏报率仅149条,未知威胁识别准确率达99.44%,可在保障业务安全的同时,最大程度避免误拦截对正常业务访问的影响。
3.2 性能压力测试
在2核4GB内存的标准生产服务器环境下,通过JMeter工具模拟不同并发量的HTTP请求,测试雷池WAF的处理延迟与TPS(每秒事务数)表现,验证其在高并发场景下的可用性:
测试数据显示,雷池WAF在高并发场景下仍能保持稳定的性能表现,即使并发量达到1000时,处理延迟仍控制在1.5毫秒以内,TPS稳定在1900以上,完全满足中小型Web应用(日均访问量10万以内)的防护需求,不会成为业务访问的性能瓶颈。
四、竞品横向测评:为何选择雷池WAF?
我们选取业内主流的开源/免费WAF产品(宝塔WAF、BunkerWeb、南墙WAF),从安全防护能力、性能表现、运行稳定性、部署易用性、合规适配性、技术支持、用户口碑七个核心维度开展横向对比测试,综合评估各产品的适用场景与落地成本:
4.1 综合排序(从高到低)
雷池WAF > 宝塔WAF > BunkerWeb > 南墙WAF
核心维度对比分析
4.2 适用场景推荐
五、进阶实战:雷池WAF联动第三方平台构建纵深防护
单纯部署雷池WAF可满足应用层核心威胁防护需求,但在应对大流量DDoS攻击(如10G以上流量攻击)、全球用户访问延迟优化等场景时仍存在短板。将雷池WAF与腾讯云EdgeOne、阿里云ESA等边缘安全加速服务联动,可构建「边缘防护+应用层深度检测」的双引擎防护架构,实现全链路威胁拦截与访问体验优化,弥补单一WAF的能力边界。
5.1 联动架构与核心优势
联动防护架构链路:用户请求 → EdgeOne/ESA全球边缘节点(第一层防护) → 雷池WAF(第二层防护) → 业务服务器 → 数据库
核心优势体现在三个层面:
5.2 联动配置关键步骤
5.3 实战案例:MediaWiki社区站点防护
某开源技术社区运营的MediaWiki知识库网站,日均访问量约5万次,长期面临SQL注入、CSRF跨站请求伪造、恶意爬虫数据爬取及小规模DDoS攻击威胁,且海外用户访问延迟较高(平均350ms)。采用「雷池WAF+腾讯云EdgeOne」联动方案后,实现了安全防护与访问体验的双重优化:
六、总结与使用建议
雷池WAF以「开源免费、简单易用、高性能、强防护」为核心竞争力,通过智能语义分析算法突破传统WAF的规则依赖瓶颈,可有效守护Web应用免受各类已知与未知攻击威胁。截至目前,雷池WAF全球累计装机量已超过30万台,防护网站超100万个,日均清洗HTTP请求超300亿次,经过大规模生产环境验证,具备成熟的稳定性与可靠性。
针对不同用户场景,给出以下使用建议:
网络安全防护是一个持续优化的过程,不存在「一劳永逸」的解决方案。选择适配自身业务场景的安全工具,并结合实际业务需求持续优化防护策略,才能真正构筑坚不可摧的安全屏障。雷池WAF凭借其灵活的部署方式、强大的扩展能力与极低的使用门槛,无疑是个人开发者与中小企业构建Web安全防护体系的高性价比选择,值得纳入安全技术栈重点考量。
1
1
专业版问题以及建议
是爱你的白毛
更新于 2 天前
1.不能设置指定URL触发人机验证,问了下说是有bug,希望尽快修复,急需。
2.设置指定URL触发人机验证增加选择人机验证方式,如自动检测或滑块验证。
3.触发频率限制增加选择人机验证方式,如自动检测或滑块验证。
2
9
雷池 WAF 如何配置才能正确获取到源 IP
齐天大圣孙悟空
更新于 6 个月前
不想看长文可以直接翻到最后看结论
经常有大哥反馈说雷池攻击日志里显示的 IP 有问题。
这里我来讲一下为什么一些情况下雷池显示的攻击 IP 会有问题。
默认情况下,雷池会通过 HTTP 连接的 Socket 套接字读取客户端 IP。在雷池作为最外层网管设备的时候这没有问题,雷池获取到的 IP 就是攻击者的真实 IP。
但是,有些情况下我们需要在雷池前面再叠加其他代理设备(如 Nginx,CDN,应用交付,API 网管等等)。在这种情况下,实际连接雷池的不是真正的网站用户,而是这些代理设备,这种情况下我们就需要根据实际网络拓扑来调整雷池的 IP 获取方式。
X-Forwarded-ForX-Forwarded-For 是一个相对通用的 HTTP 请求头。
HTTP 流量在经过代理时,由于网络连接被截胡,服务器无法得知真正的客户端 IP。这时代理设备会给当前的流量加上一个 X-Forwarded-For 头,里面的内容就是连接这个代理的客户端 IP。
下面这个例子中 HTTP 代理通过 X-Forwarded-For 头告诉服务器,真正的客户端地址是 1.2.3.4
1GET / HTTP/1.1
2Host: demo.waf-ce.chaitin.cn
3User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36
4X-Forwarded-For: 1.2.3.4
X-Forwarded-For 实际上是一个链式结构。如果流量经过了多层代理设备,X-Forwarded-For 会记录途径的所有 IP。
下面这个例子中 HTTP 代理通过 X-Forwarded-For 头告诉服务器,流量经过了三层代理,真正的客户端地址是 1.2.3.4,第一层代理的是 11.12.13.14,第二层代理的地址是 21.22.23.24,第三次代理的地址可以通过 Socket 连接直接来获取。
1GET / HTTP/1.1
2Host: demo.waf-ce.chaitin.cn
3User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36
4X-Forwarded-For: 1.2.3.4, 11.12.13.14, 21.22.23.24
IP-Forwarded-For 头靠谱么在代理设备和代理链路可信的情况下 IP-Forwarded-For 头传递的内容是很靠谱的,可以放心的试用。
但是呢,如果代理设备不可信,那么攻击者会通过伪造 IP-Forwarded-For 头的办法来实现伪造源 IP。
雷池全局配置里有一个这样的选项,专门用来解决这个问题。
雷池在这个配置里提供了几个选项,根据上面讲到的知识,大家可以根据实际情况来选择最适合的选项
X-Forwarded-For 中获取上一级代理的地址:在流量到达雷池之前还有一层代理设备(如 Nginx,CDN 等)时可选用X-Forwarded-For 中获取上上一级代理的地址:在流量到达雷池之前还有两层代理设备(如 Nginx,CDN 等)时可选用X-Forwarded-For 中获取上上上一级代理的地址:在流量到达雷池之前还有三层代理设备(如 Nginx,CDN 等)时可选用X-Forwarded-For 头,但是可以通过配置,把 IP 通过其他头发过来HTTP 头7
10
雷池规则广场:Prerender渲染
哄哄
更新于 8 小时前
Prerender.io 是针对您的 JavaScript SEO 问题的自动修复程序,可帮助您在受众搜索的任何地方被发现:Google、ChatGPT、Reddit 等。更好的渲染意味着更快的索引、更高的人工智能可见性、更多的流量和更大的收入潜力。
0
1
雷池规则广场:Prerender渲染
哄哄
更新于 8 小时前
Prerender.io 是针对您的 JavaScript SEO 问题的自动修复程序,可帮助您在受众搜索的任何地方被发现:Google、ChatGPT、Reddit 等。更好的渲染意味着更快的索引、更高的人工智能可见性、更多的流量和更大的收入潜力。
0
1
无法显示雷池waf错误码界面,如何修改配置?
ΦωΦ
更新于 9 小时前
大佬们好,请问一下,我的雷池waf已经配置好了,访问404页面为什么出现的还是源站页面,不是雷池waf错误码页面,但是在waf管理界面可以看到访问404的日志,多次访问也可以触发后续的拦截。还要做什么其他的配置吗。
0
1
雷池WAF全解析:部署、防护与进阶实战
唯有忆
更新于 11 小时前
雷池WAF全解析:从部署实战到多场景防护,构筑Web安全屏障
在Web应用成为业务核心载体的当下,SQL注入、XSS跨站脚本、恶意爬虫、DDoS攻击等安全威胁持续高发,Web应用防火墙(WAF)已成为保障业务连续性与数据安全的核心组件。雷池WAF(SafeLine)作为开源免费的下一代WAF代表,凭借智能语义分析核心算法、极简容器化部署体验及全链路防护能力,成为个人开发者、中小企业低成本构建Web安全防线的首选工具。本文将从部署实战、核心功能拆解、性能防护实测、竞品横向对比及第三方联动进阶等维度,系统化解析雷池WAF的技术价值与落地应用方案,助力读者快速上手并构建适配自身场景的安全防护体系。
一、30分钟快速部署:从环境准备到防护生效
雷池WAF采用Docker容器化部署架构,大幅降低运维配置门槛,新手运维或开发者无需复杂环境调试即可快速完成搭建。以下是经过实践验证的完整部署与基础配置流程,全程可控制在30分钟内完成:
1.1 环境准备与前置检查
雷池WAF对运行环境有明确兼容性要求,部署前需通过命令行快速校验环境达标情况,避免后续部署失败:
执行以下命令可快速完成环境核心指标校验:
1uname -m # 查看架构 2lscpu | grep ssse3 # 验证ssse3指令集支持 3docker version # 检查Docker版本 4docker compose version # 检查Docker Compose版本 5free -h # 查看内存信息 6df -h # 查看磁盘信息
1.2 一键安装与访问配置
环境校验通过后,执行以下一键安装命令,全程自动化完成部署,耗时约3分钟:
1bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
安装完成后,终端将自动输出管理员账号密码及Web管理后台访问地址。通过浏览器访问「https://WAF服务器IP:9443」(注意协议为HTTPS),输入账号密码即可登录管理后台,首次登录建议立即修改默认密码提升安全性。
1.3 防护应用添加实战
登录管理后台后,点击左侧导航栏「防护应用」-「添加应用」,完成3项核心配置即可实现对目标业务站点的防护接入:
配置提交后,通过「WAF服务器IP+配置端口」即可访问业务站点,此时所有访问流量将自动经过雷池WAF检测过滤。建议同步开启「访问日志」和「攻击日志」记录功能(路径:系统设置-日志管理),日志留存周期建议设置为7-30天,便于后续安全事件溯源与问题排查。
二、核心功能详解:多维防护能力拆解
雷池WAF以「智能语义分析」为核心技术底座,构建覆盖应用层、传输层的全链路防护体系,核心功能可拆解为五大核心模块,适配不同场景的安全防护需求:
2.1 全方位攻击防护
作为雷池WAF的基础核心功能,该模块默认开启后无需额外配置,即可自动防御多种常见Web攻击,覆盖OWASP Top 10核心威胁类型:
SQL注入、XSS跨站脚本(存储型/反射型)、命令注入、代码注入、CRLF注入、LDAP注入、XPATH注入、远程代码执行(RCE)、XML外部实体攻击(XXE)、服务端请求伪造(SSRF)、路径遍历、WebShell后门攻击、账号密码暴力破解、CC攻击、恶意爬虫扫描/数据爬取等。
快速测试验证方法:在防护站点URL后拼接典型XSS攻击语句(如),雷池将立即阻断该恶意请求,并在「攻击日志」中详细记录攻击类型、请求参数、客户端IP、响应状态等信息。点击日志详情中的「智能AI攻击分析」,可获取攻击行为的影响范围评估及对应的业务修复建议,降低安全分析门槛。
2.2 智能访问控制
针对内部服务访问控制、公网服务流量限制等场景,提供灵活可配置的访问策略,支持按需自定义规则:
2.3 动态防护与Bot管理
针对自动化攻击工具、恶意爬虫等非人工访问威胁,提供两大核心动态防护能力,平衡防护效果与用户体验:
Bot管理模块还内置合法爬虫白名单机制,可通过反向DNS查询自动验证Googlebot、Baiduspider等搜索引擎爬虫的合法性,确保业务站点的搜索引擎收录不受防护策略影响。
2.4 高性能架构设计
雷池基于高性能Nginx内核开发,采用线性安全检测算法,彻底摆脱传统规则引擎的性能瓶颈:平均单次请求检测延迟<1毫秒,单核CPU可稳定支撑2000+TPS并发访问,服务可用性达99.99%。内置服务健康检查与自动恢复机制,可实时监控WAF服务运行状态,出现异常时自动重启,确保防护链路不中断。
三、性能与防护效果测试:数据验证安全价值
为客观验证雷池WAF的防护效果与性能表现,我们基于33,669个真实Web攻击样本构建测试集,在标准2核4GB服务器环境下,对比测试不同防护模式下的核心指标,为实际部署配置提供数据参考:
3.1 防护效果测试
| 防护模式 | 检出率 | 误报率 | 准确率 |
|---|---|---|---|
| 平衡模式 | 71.65% | 0.07% | 99.45% |
| 严格模式 | 76.17% | 0.22% | 99.38% |
| 传统ModSecurity(Level 1) | 69.74% | 0.35% | 99.02% |
测试结果表明,雷池WAF在平衡模式下即可实现「高检出率+低误报率」的最优平衡,检出率与准确率均优于传统ModSecurity规则引擎方案。其中,智能语义分析算法对0day攻击、变形攻击等未知威胁的防护效果尤为突出,测试集漏报率仅149条,未知威胁识别准确率达99.44%,可在保障业务安全的同时,最大程度避免误拦截对正常业务访问的影响。
3.2 性能压力测试
在2核4GB内存的标准生产服务器环境下,通过JMeter工具模拟不同并发量的HTTP请求,测试雷池WAF的处理延迟与TPS(每秒事务数)表现,验证其在高并发场景下的可用性:
测试数据显示,雷池WAF在高并发场景下仍能保持稳定的性能表现,即使并发量达到1000时,处理延迟仍控制在1.5毫秒以内,TPS稳定在1900以上,完全满足中小型Web应用(日均访问量10万以内)的防护需求,不会成为业务访问的性能瓶颈。
四、竞品横向测评:为何选择雷池WAF?
我们选取业内主流的开源/免费WAF产品(宝塔WAF、BunkerWeb、南墙WAF),从安全防护能力、性能表现、运行稳定性、部署易用性、合规适配性、技术支持、用户口碑七个核心维度开展横向对比测试,综合评估各产品的适用场景与落地成本:
4.1 综合排序(从高到低)
雷池WAF > 宝塔WAF > BunkerWeb > 南墙WAF
核心维度对比分析
4.2 适用场景推荐
五、进阶实战:雷池WAF联动第三方平台构建纵深防护
单纯部署雷池WAF可满足应用层核心威胁防护需求,但在应对大流量DDoS攻击(如10G以上流量攻击)、全球用户访问延迟优化等场景时仍存在短板。将雷池WAF与腾讯云EdgeOne、阿里云ESA等边缘安全加速服务联动,可构建「边缘防护+应用层深度检测」的双引擎防护架构,实现全链路威胁拦截与访问体验优化,弥补单一WAF的能力边界。
5.1 联动架构与核心优势
联动防护架构链路:用户请求 → EdgeOne/ESA全球边缘节点(第一层防护) → 雷池WAF(第二层防护) → 业务服务器 → 数据库
核心优势体现在三个层面:
5.2 联动配置关键步骤
5.3 实战案例:MediaWiki社区站点防护
某开源技术社区运营的MediaWiki知识库网站,日均访问量约5万次,长期面临SQL注入、CSRF跨站请求伪造、恶意爬虫数据爬取及小规模DDoS攻击威胁,且海外用户访问延迟较高(平均350ms)。采用「雷池WAF+腾讯云EdgeOne」联动方案后,实现了安全防护与访问体验的双重优化:
六、总结与使用建议
雷池WAF以「开源免费、简单易用、高性能、强防护」为核心竞争力,通过智能语义分析算法突破传统WAF的规则依赖瓶颈,可有效守护Web应用免受各类已知与未知攻击威胁。截至目前,雷池WAF全球累计装机量已超过30万台,防护网站超100万个,日均清洗HTTP请求超300亿次,经过大规模生产环境验证,具备成熟的稳定性与可靠性。
针对不同用户场景,给出以下使用建议:
网络安全防护是一个持续优化的过程,不存在「一劳永逸」的解决方案。选择适配自身业务场景的安全工具,并结合实际业务需求持续优化防护策略,才能真正构筑坚不可摧的安全屏障。雷池WAF凭借其灵活的部署方式、强大的扩展能力与极低的使用门槛,无疑是个人开发者与中小企业构建Web安全防护体系的高性价比选择,值得纳入安全技术栈重点考量。
1
1
专业版问题以及建议
是爱你的白毛
更新于 2 天前
1.不能设置指定URL触发人机验证,问了下说是有bug,希望尽快修复,急需。
2.设置指定URL触发人机验证增加选择人机验证方式,如自动检测或滑块验证。
3.触发频率限制增加选择人机验证方式,如自动检测或滑块验证。
2
9
雷池 WAF 如何配置才能正确获取到源 IP
齐天大圣孙悟空
更新于 6 个月前
不想看长文可以直接翻到最后看结论
经常有大哥反馈说雷池攻击日志里显示的 IP 有问题。
这里我来讲一下为什么一些情况下雷池显示的攻击 IP 会有问题。
默认情况下,雷池会通过 HTTP 连接的 Socket 套接字读取客户端 IP。在雷池作为最外层网管设备的时候这没有问题,雷池获取到的 IP 就是攻击者的真实 IP。
但是,有些情况下我们需要在雷池前面再叠加其他代理设备(如 Nginx,CDN,应用交付,API 网管等等)。在这种情况下,实际连接雷池的不是真正的网站用户,而是这些代理设备,这种情况下我们就需要根据实际网络拓扑来调整雷池的 IP 获取方式。
X-Forwarded-ForX-Forwarded-For 是一个相对通用的 HTTP 请求头。
HTTP 流量在经过代理时,由于网络连接被截胡,服务器无法得知真正的客户端 IP。这时代理设备会给当前的流量加上一个 X-Forwarded-For 头,里面的内容就是连接这个代理的客户端 IP。
下面这个例子中 HTTP 代理通过 X-Forwarded-For 头告诉服务器,真正的客户端地址是 1.2.3.4
1GET / HTTP/1.1
2Host: demo.waf-ce.chaitin.cn
3User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36
4X-Forwarded-For: 1.2.3.4
X-Forwarded-For 实际上是一个链式结构。如果流量经过了多层代理设备,X-Forwarded-For 会记录途径的所有 IP。
下面这个例子中 HTTP 代理通过 X-Forwarded-For 头告诉服务器,流量经过了三层代理,真正的客户端地址是 1.2.3.4,第一层代理的是 11.12.13.14,第二层代理的地址是 21.22.23.24,第三次代理的地址可以通过 Socket 连接直接来获取。
1GET / HTTP/1.1
2Host: demo.waf-ce.chaitin.cn
3User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36
4X-Forwarded-For: 1.2.3.4, 11.12.13.14, 21.22.23.24
IP-Forwarded-For 头靠谱么在代理设备和代理链路可信的情况下 IP-Forwarded-For 头传递的内容是很靠谱的,可以放心的试用。
但是呢,如果代理设备不可信,那么攻击者会通过伪造 IP-Forwarded-For 头的办法来实现伪造源 IP。
雷池全局配置里有一个这样的选项,专门用来解决这个问题。
雷池在这个配置里提供了几个选项,根据上面讲到的知识,大家可以根据实际情况来选择最适合的选项
X-Forwarded-For 中获取上一级代理的地址:在流量到达雷池之前还有一层代理设备(如 Nginx,CDN 等)时可选用X-Forwarded-For 中获取上上一级代理的地址:在流量到达雷池之前还有两层代理设备(如 Nginx,CDN 等)时可选用X-Forwarded-For 中获取上上上一级代理的地址:在流量到达雷池之前还有三层代理设备(如 Nginx,CDN 等)时可选用X-Forwarded-For 头,但是可以通过配置,把 IP 通过其他头发过来HTTP 头7
10