雷池WAF 入门教学 - 添加防护站点
登录
标签搜索
侧边栏壁纸
博主昵称
艾霂Mr.

  • 累计撰写 16 篇文章
  • 累计收到 2 条评论
文章目录
技术栈

雷池WAF 入门教学 - 添加防护站点

艾霂Mr.
艾霂Mr.
2024-12-21 / 0 评论 / 27 阅读 / 正在检测是否收录...

随着雷池WAF的流行,想必很多小白入坑时会一头雾水,今天 UP主 就出一期教程简单的教大家迅速上手。

雷池WAF登录

浏览器打开后台管理页面,访问: https://雷池服务器地址IP:9443 输入用户名和密码进行登录,用户名和密码可自定义。(绑定动态口令,我没有设置如有设置的请看下面,没有的请跳过)

绑定动态口令

需要使用TOTP的MFA认证软件,先扫描登录页下方的二维码完成绑定动态口令。

什么是MFA和TOTP?

  • MFA多因子认证(Multi-Factor Authentication),简称MFA,是一种基于用户行为密码、短信、令牌、动态口令、生物特征等组合方式,用于验证用户身份的认证方式。
  • TOTP时间令牌(Time-Based One-Time Password,简称TOTP),是一种基于时间、动态口令的认证方式,用于验证用户身份的认证方式。

目前支持的TOTP软件有:

腾讯身份验证器app(推荐)谷歌身份验证器微软身份验证器

打开腾讯身份验证器,通过二维码扫描登录页面的二维码,点击完成绑定,输入动态口令。
1
如果提示:
2
雷池服务器和身份验证器服务器,时间误差不能超过1分钟!建议雷池服务器,安装ntpdate做时间同步。

yum install -y ntpdate
ntpdate -u ntp.sjtu.edu.cn

雷池WAF配置防护站点

雷池WAF防护站点的工作机制是通过nginx反向代理做被防护站点的前置代理服务器,通过nginx来对用户请求流量中的攻击行为进行检测和清洗。
将清洗过后的流量转发给网站服务器,网站服务器再将响应返回给雷池WAF,雷池再将相应包回给用户,完成一次网站访问请求。

网站请求流量转发说明

未部署WAF的请求
未部署
部署雷池WAF的请求
部署

添加防护站点(HTTP应用)

添加网站1
添加网站·2
目前常见的集中部署方式有

1. 网站应用和雷池WAF在同一台服务器

网站应用(示例):http://www.waf.com:80(本文所有这个域名均可替换成自己服务器IP)
具体端口和域名根据实际替换即可,这种情况下分两种方式部署防护站。
注意:因为WAF和应用是在同一台服务器上,因此防护站点端口和网站应用自身端口不能重复。
否则会出现端口冲突,同一台服务器上不能出现两个相同的TCP端口。

  • 第一种 应用部署端口不变
    已部署端口不变,更改访问端口

    www.waf.com:8000----->127.0.0.1:80
域名:配置自己网站的域名
端口:其他端口,只要和网站服务器已有端口不重复即可
上游服务器:http://127.0.0.1:80 替换自己网站应用服务器实际的端口

    1.1

  • 第二种 访问端口不变
    用户访问端口不变,更改部署应用端口

    www.waf.com:80----->127.0.0.1:8000(原80端口)
域名:配置自己网站的域名
端口:网站应用已发布访问端口
上游服务器:http://127.0.0.1:8000 替换自己网站应用已修改后的端口

    1.2

2. 网站应用和雷池在不同服务器上

这种方式也比较常见,这种方式比较推荐(因为可以避免端口冲突)
网站应用(示例):http://www.waf.com:80
这种方式有两种,一种是应用服务器前面已有nginx反向代理,另一种是 应用服务器前面没有nginx反向代理。

  • 第一种 应用服务器前面没有nginx反向代理
    这种情况下需要修改dns解析,将现有解析到应用的ip修改为解析到WAF的ip

    www.waf.com:80----->WAF_ningx:80----->应用:80
添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://应用服务器网络可达的IP:80
修改域名解析

    2.1

  • 第二种 应用服务器前面已有nginx反向代理
    这种情况下需要修改nginx配置,将现有请求转发到WAF

    www.waf.com:80----->应用nginx反代:80----->WAF_nginx:80----->应用:80
添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://应用实际IP:80

    2.2

3. 网站应用前有SLB负载均衡

这种情况下建议采用WAF前置到SLB的方式,然后修改DNS解析到WAF。
3

www.waf.com:80----->WAF_nginx:80----->SLB:80
添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://SLB虚拟IP:80
修改域名解析
将域名从解析到SLB修改为解析到WAF

添加防护站点(HTTPS应用)

首页准备网站域名绑定的SSL证书,crt文件和密钥文件key
ssl
添加防护站点,勾选SSL上传证书和密钥,如果网站应用本身是https则修改对应端口和协议,示例: https://www.waf.com:443 提交,对照HTTPS方式配置响应方式的站点即可,只需要修改对应https和端口443即可。

1
雷池WAF
版权属于: 艾霂Mr.
本文链接: https://ailmu.cn/technique/8.html
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 》许可协议授权
相关推荐
在宝塔面板 部署 雷池WAF(避坑版)
在宝塔面板 部署 雷池WAF(避坑版)

评论 (0)

  取消