引言

众所众知，现在的建站成本几乎可以忽略不计了，很多小伙伴注册个域名，轻轻松松搞个站点源码就能建个网站。

但凡网站开放到公网上，并有点人气和流量后，安全问题就不容小觑，各种类型的攻击可能随时光顾。

这时候部署一款“防弹衣”就显得非常必要。

SafeLine，中文名 "雷池"，不让黑客越过半步，它是一款易于部署，容易上手, 效果突出的Web应用防火墙(WAF)，可以保护你的Web服务不受黑客攻击。

雷池通过监控及过滤Web应用与互联网之间的HTTP流量来实现保护的目的。可以让您的Web服务免受SQL和代码注入、命令注入、CRLF和LDAP以及Xpath注入、RCE、XSS、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫等攻击。

它的工作原理如下：

该项目已在GitHub上开源并收获了17.4K star！

下面就给大家演示一下如何部署和使用这个防火墙。

软件部署

搭建过程其实非常的简单，完成下面的两个步骤即可搞定！

第一步：安装雷池

零代码部署，只需要一行命令即可搞定。

首先我们需要一台支持Docker 20.x 以上版本的Linux系统来部署该软件，最省事的当然是安装一台Linux虚拟机了，这方面资料很多，大家自行搜索即可，这里就不赘述了。

使用 root 权限登录你的Linux服务器，然后执行以下命令。

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

按照上图提示选择安装即可。 成功部署后会告知你雷池WAF管理面板的访问信息（包含登录账号）：

第二步：登录管理面板

在第一步中，安装命令执行结束后，你的终端会输出访问地址（内网）信息。

例如： https://IP地址:9443

在浏览器打开上面地址，就可以看到登录界面了，如下图所示：

登录成功界面如下，非常的清爽高级，功能强大：

添加防护配置

安装完毕后我们可以添加防护配置来使用该软件了。

接下来我们按照下图操作就可以为应用添加防护了：

根据下图的选项填写自己需要代理的应用。

域名: 通过雷池访问该应用时使用的域名 (支持 * 做为通配符)，注意修改 DNS解析到雷池IP。

端口: 雷池监听的端口 (如需配置HTTPS服务, 请勾选SSL选项并配置对应的证书)。

上游服务器: 需保护的Web 服务的实际地址。

提交后就可以看到生成的防护卡片并默认开启了【攻击防护】。

从该卡片可以直接看到今日请求和今日拦截的数量信息。

点击【防护模式】按钮，还可以在防护、观察和维护模式之间进行切换。

在卡片上点击【攻击防护】按钮可以自定义攻击配置，功能非常的强大：

添加CC防护

让我们再来测试一下该软件的CC防护功能。

在管理后台的【CC防护】配置页面中, 打开全局配置，如下图:

打开基础访问限制、基础攻击限制和基础错误限制选项，并可以通过编辑按钮自定义阈值参数。

在防护应用中我们要打开CC防护。

按照下图进行自定义相关设置即可：

然后我们模拟CC攻击，回到雷池的CC防护页面, 可以看到攻击已经被拦截掉，如图:

身份认证

最后我们再来演示一下该软件的身份验证功能。

在管理后台的【防护应用】页面，根据下图所示开启身份认证功能：

启用【身份验证】，如下图，并选择【简易认证】或者【统一认证】。

然后需要我们后台添加用户：

添加后就可以使用该用户密码进行认证登录了。

现在我们打开网站会出现下图所示的密码登录验证界面：

后台即可看到认证记录的情况：

经过测试确实体验很棒！

小结

通过最近一段时间的使用效果来看，雷池WAF的表现可谓可圈可点，完全可以满足我们的基本需求，它也为我拦截了大量的攻击。