在宝塔面板 部署 雷池WAF(避坑版) 互联网上的攻击和扫描流量非常多，为了保证网站安全，为网站新增WAF防护是必要的！之前有了解过 宝塔云WAF ，但需要独立的一台服务器来部署，架构不够灵活，对于个人用户来说成本太高了。得知雷池WAF，基于 Nginx 开发，以反向代理方式接入，部署架构灵活，可以与 WEB 服务部署在同一台服务器（官方不推荐），是一款广受好评的 社区WAF 项目！不过在网站管理上，个人用户大多都是通过宝塔面板进行管理，宝塔面板的Nginx默认监听端口为 80 和 443 ，这就导致共存部署时雷池WAF默认无法监听 80 和 443 端口，那怎么办呢？本文将提供在宝塔面板怎样部署雷池WAF以及详细过程，同时帮大家避坑安装雷池WAF过程有可能踩的雷。安装宝塔和配置环境怎样安装宝塔我这里就不多赘述了，自行去 宝塔官网 安装，根据自己网站情况配置环境，（啰嗦一句安装好宝塔后不用着急安装Docker，后续安装雷池WAF时会帮你安装。） 修改Nginx端口避免80和443端口被占用{message type="info" content="先随便创建个站点，然后启用一下ssl证书，再开启个强制HTTPS（避坑，下文会用到）"/}在宝塔面板，网站中找到对应的站点，单击右侧的设置！ 切换到配置文件，修改监听端口为其他非占用端口，这里我把 80 端口改为 88 端口， 443 端口改为 444 端口（根据个人修改）单击保存即可。图中的 if 判断后面的端口是强制 HTTPS 的判断端口,(一定要改，不然反复重定向)如果你没有开启强制 HTTPS 就没有这个 if 判断代码，就不需要改。 进入 /www/server/panel/vhost/nginx/ 目录，分别编辑 0.default.conf 和 phpfpm_status.conf 文件，将默认监听端口修改为其他非占用端口（和上面配置相似分别把80端口和443端口进行修改，必须把这两个文件所有上述端口进行修改），最后保存退出。 配置完成后重启 Nginx ，如果可以正常重启则说明配置正确。后期新增的网站域名一定要写 a.com:xx ， xx 写你的非标端口，HTTPS端口也要改，否则默认使用 80 端口会出现各种意想不到的 BUG ！（记住要在宝塔防火墙和服务器防火墙添加端口规则，放行其刚才修改的端口）安装雷池WAF前往 雷池WAF官网 复制对应系统脚本在SSH终端执行安装。自动安装命令（推荐）使用 root 权限执行以下命令，跟随命令提示输入相关信息，3分钟即可完成自动安装。bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"在宝塔面板左侧菜单选择终端，执行已复制的命令进行安装雷池WAF，提示安装 Docker 时确定即可。雷池WAF安装目录选择默认的（如果自定义安装路径，更新/卸载是个大麻烦）雷池安装成功以后，你可以打开浏览器访问 http://你的ip:9443 来使用雷池控制台。{message type="warning" content="注意对9443的端口放行"/}然后会提示你绑定一个TOTP验证软件，这里推荐使用腾讯身份验证器绑定（我没有提示绑定软件🤷‍♂️这里还是要讲述一下）{callout color="#f0ad4e"}请注意：这里有个坑，雷池的按钮有些在手机端单击无效，需要长按，长按即可解决，腾讯身份验证器TOTP绑定需要扫码，你可以用俩设备或者截图后用QR扫码提取一下验证代码验证，这里不再赘述。{/callout}雷池WAF添加站点网上有很多教程，这里我就不赘述了！这里主要说一下这个上游怎么请求，配置错误会出现502错误。选择雷池WAF和宝塔通讯用 HTTP 协议就写HTTP协议你写的非标端口，我的示例是 88端口 ，一定要注意， HTTP 协议的上游写 http://127.0.0.1:88 注意协议和端口。 选择雷池WAF和宝塔通讯用 HTTPS 协议就写HTTPS协议你写的非标端口，我的示例是 444 端口，一定要注意， HTTPS 协议的上游写 https://127.0.0.1:444 注意协议和端口。 如果你都按照上面的教程操作，是不会出现端口被占用情况的，请自行排查问题关键。目前发现如果已经部署了站点，雷池WAF可能会出现莫名其妙的占用现象，目前暂时没发现有解决方案，只能重装雷池WAF安装防护、升级等... 雷池WAF 官网均有教程，请自行查阅，这里不再过多赘述。解决宝塔无法获取访客真实IP问题在雷池防护站点，全局配置中把源IP获取方式更换为从源IP获取方式从 HTTP-Header 中获取，并把 HTTP-Header 设置为 X-Forwarded-For 并开启 {x} 清空并重写 X-Forwarded-For 在Nginx配置中的HTTP代码块增加一下代码 set_real_ip_from 0.0.0.0/0; real_ip_header X-Forwarded-For; real_ip_recursive on; #使用CDN时考虑，不然会无法获取访客IP只能获取CDN的IP{callout color="#f0ad4e"}本站已接入 长亭雷池WAF 请勿恶意 DDoS 本站！{/callout}

雷池WAF 入门教学 - 添加防护站点 随着雷池WAF的流行，想必很多小白入坑时会一头雾水，今天 UP主 就出一期教程简单的教大家迅速上手。雷池WAF登录浏览器打开后台管理页面，访问： https://雷池服务器地址IP:9443 输入用户名和密码进行登录，用户名和密码可自定义。（绑定动态口令，我没有设置如有设置的请看下面，没有的请跳过）绑定动态口令需要使用TOTP的MFA认证软件，先扫描登录页下方的二维码完成绑定动态口令。什么是MFA和TOTP？MFA多因子认证（Multi-Factor Authentication），简称MFA，是一种基于用户行为密码、短信、令牌、动态口令、生物特征等组合方式，用于验证用户身份的认证方式。TOTP时间令牌（Time-Based One-Time Password，简称TOTP），是一种基于时间、动态口令的认证方式，用于验证用户身份的认证方式。目前支持的TOTP软件有：{x}{ }{ }腾讯身份验证器app（推荐）谷歌身份验证器微软身份验证器打开腾讯身份验证器，通过二维码扫描登录页面的二维码，点击完成绑定，输入动态口令。 如果提示： 雷池服务器和身份验证器服务器，时间误差不能超过1分钟！建议雷池服务器，安装ntpdate做时间同步。yum install -y ntpdate ntpdate -u ntp.sjtu.edu.cn雷池WAF配置防护站点雷池WAF防护站点的工作机制是通过nginx反向代理做被防护站点的前置代理服务器，通过nginx来对用户请求流量中的攻击行为进行检测和清洗。将清洗过后的流量转发给网站服务器，网站服务器再将响应返回给雷池WAF，雷池再将相应包回给用户，完成一次网站访问请求。网站请求流量转发说明未部署WAF的请求 部署雷池WAF的请求 添加防护站点（HTTP应用） 目前常见的集中部署方式有1. 网站应用和雷池WAF在同一台服务器网站应用（示例）：http://www.waf.com:80（本文所有这个域名均可替换成自己服务器IP）具体端口和域名根据实际替换即可，这种情况下分两种方式部署防护站。注意：因为WAF和应用是在同一台服务器上，因此防护站点端口和网站应用自身端口不能重复。否则会出现端口冲突，同一台服务器上不能出现两个相同的TCP端口。第一种 应用部署端口不变已部署端口不变，更改访问端口www.waf.com:8000----->127.0.0.1:80 域名：配置自己网站的域名 端口：其他端口，只要和网站服务器已有端口不重复即可 上游服务器：http://127.0.0.1:80 替换自己网站应用服务器实际的端口第二种 访问端口不变用户访问端口不变，更改部署应用端口www.waf.com:80----->127.0.0.1:8000(原80端口) 域名：配置自己网站的域名 端口：网站应用已发布访问端口 上游服务器：http://127.0.0.1:8000 替换自己网站应用已修改后的端口2. 网站应用和雷池在不同服务器上这种方式也比较常见，这种方式比较推荐（因为可以避免端口冲突）网站应用（示例）：http://www.waf.com:80这种方式有两种，一种是应用服务器前面已有nginx反向代理，另一种是 应用服务器前面没有nginx反向代理。第一种 应用服务器前面没有nginx反向代理这种情况下需要修改dns解析，将现有解析到应用的ip修改为解析到WAF的ipwww.waf.com:80----->WAF_ningx:80----->应用:80 添加防护站点 域名：www.waf.com(替换为自己实际的域名) 端口：80 （替换为自己实际的端口） 上游服务器：http://应用服务器网络可达的IP:80 修改域名解析第二种 应用服务器前面已有nginx反向代理这种情况下需要修改nginx配置，将现有请求转发到WAFwww.waf.com:80----->应用nginx反代:80----->WAF_nginx:80----->应用:80 添加防护站点 域名：www.waf.com(替换为自己实际的域名) 端口：80 （替换为自己实际的端口） 上游服务器：http://应用实际IP:803. 网站应用前有SLB负载均衡这种情况下建议采用WAF前置到SLB的方式，然后修改DNS解析到WAF。 www.waf.com:80----->WAF_nginx:80----->SLB:80 添加防护站点 域名：www.waf.com(替换为自己实际的域名) 端口：80 （替换为自己实际的端口） 上游服务器：http://SLB虚拟IP:80 修改域名解析 将域名从解析到SLB修改为解析到WAF添加防护站点（HTTPS应用）首页准备网站域名绑定的SSL证书，crt文件和密钥文件key 添加防护站点，勾选SSL上传证书和密钥，如果网站应用本身是https则修改对应端口和协议，示例： https://www.waf.com:443 提交，对照HTTPS方式配置响应方式的站点即可，只需要修改对应https和端口443即可。{callout color="#f0ad4e"}教程不是很复杂，适合新手小白，如有不会的问题可以评论区留言提问哦！{/callout}