雷池WAF社区版安装配置全指南：从零搭建网站防护体系

一、产品简介与技术特性

雷池WAF（Web Application Firewall）是一款基于容器技术的开源Web应用防火墙，通过流量分析与智能拦截机制，可有效防御SQL注入、XSS攻击、恶意爬虫等常见Web攻击。社区版面向中小型企业及开发者提供以下核心功能：

• 可视化攻击日志分析
• 智能语义规则引擎
• 多站点并行防护
• 实时流量监控仪表盘
• 自动化威胁情报更新

---

二、环境准备与系统检测

1. 硬件资源要求

资源类型	最低配置	生产建议
CPU	1核	4核
内存	1GB	8GB
磁盘	5GB	50GB

2. 系统环境检测（必须逐项验证）

2.1 操作系统检查

1# 确认Linux内核版本
2uname -a | grep -i linux
3# 输出示例：
4Linux ser0OZHcAAxhjpp 6.1.0-10-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.37-1 (2023-07-03) x86_64 GNU/Linux

2.2 CPU架构验证

1uname -m
2
3# 有效输出应为：
4x86_64 或 arm64

2.3 x86架构SSSE3指令集检测

1lscpu | grep -i ssse3
2# 必须显示"ssse3"字样，否则无法运行

2.4 软件依赖检查(手动安装需要检查)

1# Docker版本检测（需≥20.10.14）
2docker --version | grep -oE '[0-9]+\.[0-9]+\.[0-9]+'
3
4# Docker Compose版本验证（需≥2.0.0）
5docker compose version | grep -i version

---

三、安装方式全解析

1. 自动安装模式（推荐新手）

1# 使用官方脚本自动化部署
2sudo bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

安装日志解读：

[INFO  15:45:07]: SafeLine，中文名 "雷池"，是一款简单好用, 效果突出的 Web 应用防火墙(WAF)，可以保护 Web 服务不受黑客攻击。
[INFO  15:45:07]: 雷池通过过滤和监控 Web 应用与互 联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS 、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。

选择你要执行的动作  [ 1.安装  2.升级  3.卸载  4.修复  5.重启 ]  (1/2/3/4/5): 1
[INFO  15:45:11]: 即将为您安装雷池 WAF
[INFO  15:45:11]: 检查 docker 版本
[WARN  15:45:11]: 运行雷池 WAF 依赖 Docker, 但是 Docker 没安装
是否需要为你自动安装 Docker 的最新版本  [ y.是  n.否 ]  (y/n): y
[INFO  15:45:15]: 正在为你安装 Docker, 需要几分钟时间, 请耐心等待
[INFO  15:46:36]: 检查 docker compose 版本
[INFO  15:46:37]: 检查安装环境已完成
请输入雷池 WAF 的安装目录  (留空则为默认值 /data/safeline): /data/safeline
[INFO  15:47:00]: "/www/data/safeline" 路径有 46.40 GB 的空间可用
[INFO  15:47:00]: 正在下载 docker-compose.yaml 文件
[INFO  15:47:00]: 正在更新 .env 配置文件
[INFO  15:47:31]: 正在获取雷池 WAF 最新版本
[INFO  15:47:31]: 目标版本：8.1.1
[INFO  15:47:31]: 正在拉取 Docker 镜像
[+] Pulling 70/70
 ✔ luigi Pulled                                                                                                            14.1s 
 ✔ postgres Pulled                                                                                                         34.3s 
 ✔ fvm Pulled                                                                                                              25.6s 
 ✔ chaos Pulled                                                                                                            21.0s 
 ✔ detect Pulled                                                                                                           17.3s 
 ✔ mgt Pulled                                                                                                               5.0s 
 ✔ tengine Pulled                                                                                                           8.4s 
[INFO  15:48:05]: 正在启动 Docker 容器
[INFO  15:48:10]: 雷池 WAF 安装完成
[INFO  15:48:10]: 等待 mgt 启动
[INFO  15:48:15]: 等待 mgt 启动
[INFO  15:48:20]: 等待 mgt 启动
[INFO  15:48:25]: 等待 mgt 启动
[INFO  15:48:30]: 等待 mgt 启动
[INFO  15:48:35]: 等待 mgt 启动
[INFO  15:48:40]: 等待 mgt 启动
[INFO  15:48:45]: 设置 admin
[INFO  15:48:50]: 
[INFO] Initial username：admin
[INFO] Initial password：password
[INFO] Done
[INFO  15:48:50]: 雷池 WAF 管理面板: https://10.120.120.10:9443/
[INFO  15:48:50]: 雷池 WAF 管理面板: https://0.0.0.0:9443/

2. 手动安装模式（适合定制化需求）

2.1. 安装docker

1bash <(curl -sSL https://docker-install.cdnmirror.top/docker.sh)

2.2. 创建雷池目录

1mkdir -p /opt/safeline && cd /opt/safeline

2.3. 下载雷池 compose 编排脚本

1wget https://waf-ce.chaitin.cn/release/latest/compose.yaml

2.4. 配置雷池 compose 环境变量

请修改POSTGRES_PASSWORD中的yourpassword为自己的密码

1cd "/opt/safeline"
2echo "SAFELINE_DIR=/opt/safeline
3IMAGE_TAG=latest
4MGT_PORT=9443
5POSTGRES_PASSWORD=yourpassword
6SUBNET_PREFIX=172.22.222
7IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline
8ARCH_SUFFIX=
9RELEASE=
10REGION=" > ".env"

配置文件的格式说明如下：

• SAFELINE_DIR: 雷池安装目录，如 /data/safeline
• IMAGE_TAG: 要安装的雷池版本，保持默认的 latest 即可
• MGT_PORT: 雷池控制台的端口，保持默认的 9443 即可
• POSTGRES_PASSWORD: 雷池所需数据库的初始化密码，请随机生成一个
• SUBNET_PREFIX: 雷池内部网络的网段，保持默认的 172.22.222 即可
• IMAGE_PREFIX: 雷池镜像源的前缀，建议根据服务器地理位置选择合适的源
• ARCH_SUFFIX: 雷池架构的后缀，ARM 服务器需要配置为 -arm
• RELEASE: 更新通道，LTS 版本需要配置为 -lts

2.5. 启动雷池

1cd "/data/safeline" && docker compose up -d --force-recreate

雷池安装成功以后，你可以打开浏览器访问 https://<safeline-ip>:9443/ 来使用雷池控制台。

3. 离线安装方案（无外网环境）

对于纯离线环境的用户，如果你的设备完全无法连接互联网，可以参考这种方式安装雷池。

但是需要注意，纯离线环境下雷池的部分能力可能会受限。

操作流程：

1. 在联网设备下载离线包

1curl -fsSLk https://waf-ce.chaitin.cn/release/latest/offline.zip -o safeline-offline.zip

2. 传输至目标服务器后解压

1unzip safeline-offline.zip && cd offline_pkg

3. 加载容器镜像

1docker load -i safeline-images.tar.gz

4. 启动服务

1docker compose -f docker-compose-offline.yml up -d

---

四、控制台访问与初始化

1. 防火墙配置（按需操作）

CentOS/RHEL:

1sudo firewall-cmd --permanent --add-port=9443/tcp
2sudo firewall-cmd --reload

Ubuntu/Debian:

1sudo ufw allow 9443/tcp
2sudo ufw reload

2. 首次登录流程

1. 浏览器访问 https://<服务器IP>:9443

2. 忽略证书警告（首次使用自签名证书）

3. 输入初始凭证：

   • 用户名：admin
   • 密码：通过命令获取：

   1docker exec safeline-mgt cat /run/secrets/password

3. 账户安全强化

重置管理员密码：

1docker exec safeline-mgt resetadmin
2# 输出示例：New password: 9Xp!K4mz%vR8

开启双因素认证：

登录后进入「系统设置」→「安全策略」→ 启用Google Authenticator

---

五、生产环境优化建议

1. 资源分配调整

编辑 docker-compose.yml：

1services:
2  safeline-mgt:
3    deploy:
4      resources:
5        limits:
6          cpus: '2'
7          memory: 4096M

2. 持久化数据存储

1# 创建数据卷目录
2mkdir -p /data/safeline/{mysql,redis}
3
4# 修改volume映射
5vim docker-compose.yml
6# 修改对应服务的volumes配置

---

六、故障排查指南

1. 容器启动异常

1# 查看实时日志
2docker compose logs -f
3
4# 常见错误处理：
5# 端口冲突 → 修改9443端口
6# 镜像拉取失败 → 检查docker仓库连接

2. 性能调优参数

1# 调整Nginx worker数量
2echo "worker_processes auto;" > config/nginx/worker.conf

3. 版本升级操作

1docker compose pull
2docker compose down
3docker compose up -d

---

七、安全防护实战演示

完成安装后，您可以通过以下步骤快速接入业务防护：

1. 控制台点击「防护站点」→「新增站点」
2. 填写域名和源站IP（如：example.com → 192.168.1.100:80）
3. 修改DNS解析，将域名A记录指向雷池服务器IP
4. 启用「智能防护模式」和「CC攻击防护」

建议在测试环境验证规则后，通过「流量镜像」逐步切量至生产环境。

---

延伸阅读：

• 官方文档中心：https://waf-ce.chaitin.cn/docs
• 社区支持论坛：https://forum.chaitin.cn
• 威胁情报订阅：contact@chaitin.com

通过本指南，您已完成从基础部署到生产调优的全流程操作。建议定期检查系统更新，结合业务流量特征定制防护策略，构建动态安全防御体系。