一、简述
这段时间因业务需求在网上搜集了几款开源的云WAF,逐一进行尝试后,发现长亭的雷池防护能力还是可以的,雷池(SafeLine)是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。故有下文。
二、工作原理
雷池社区版主要以反向代理的方式工作,类似于一台 nginx 服务。部署时,需要让网站流量先抵达雷池,经过雷池检测和过滤后,再转给原来的网站业务。
三、平台搭建
1、长亭雷池官网 https://waf-ce.chaitin.cn/
2、GitHub社区 https://github.com/chaitin/safeline
3、CYZNSE师傅详细版雷池WAF使用视频 https://www.bilibili.com/video/BV1mT411H7eW
0X01 安装方式
雷池WAF分为在线安装、离线安装以及牧云助手安装,在这里推荐在线安装(省事),在线安装可参考https://www.bilibili.com/video/BV1Je411f7hQ?t=0.2
0X02 环境检测
最低配置需求
-
操作系统:Linux
-
指令架构:x86_64
-
软件依赖:Docker 20.10.14 版本以上
-
软件依赖:Docker Compose 2.0.0 版本以上
-
最小化环境:1 核 CPU / 1 GB 内存 / 5 GB 磁盘
环境检测可参考https://www.bilibili.com/video/BV1Uu4y1L7Ko?t=0.2
0X03 在线安装(需出网)
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"
如果需要使用华为云加速,可使用
CDN=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"
安装时会检测Docker环境,如果没有Docker环境则选择Y,安装Docker环境。
Docker环境安装完成之后会下载镜像文件,继续选择Y,默认镜像文件安装路径。
弹出以下页面后则表示雷池已安装完毕。
0X04 端口检测
输入命令netstat -antpl | grep 9443
查看雷池所需的9443端口是否开启监听
0X05 首次登录
首次登录需要输入自己的VPS地址以及9443端口号,和常规web服务不同是,雷池首次登录需要绑定动态口令。
可使用身份验证器插件或下载腾讯身份验证器完成绑定,绑定后输入动态口令即可登录系统。
0X06 添加防护
防护站点——添加防护,
上游服务器填被防护的IP和端口,端口填雷池WAF对外映射的端口。
进行高危操作后可以看到被雷池WAF进行拦截。
查看雷池服务端请求包,发现拦截了恶意的请求地址。
0X06 防护配置
黑白名单
添加黑白名单下可以对源IP地址、路径、body等做匹配配置,非常良心,大大提高了拦截的准确率。
将192.168.144.1添加黑名单后,可以看见正常的访问也会被阻断。
人机验证
在人机验证下,也可以按照配置黑白名单的原理,对人机验证进行配置,配置后访问时雷池WAF会检查客户端安全性。
语义分析
在语义分析下可根据需要调整其规则的启用状态以及高强度防护。
0X07 一大亮点
雷池WAF竟然有恶意IP情报,而且可以实时更新!!!
总的来说,雷池WAF作为社区版表现还是很强劲的。
