一、服務器與域名準備(若有可直接跳過)
1. 服務器選購:
最低配置:1核CPU/1GB內存/20GB存儲
推薦配置:2核CPU/2GB內存/Debian 12
安全組設置:僅開放22(SSH)、80(HTTP)、443(HTTPS)、9443(雷池面板)端口
推薦從阿里云購買,新用戶可購買上面38元一年的,老用戶也可以購買99元一年的,都相當劃算,具體可以根據自己需求按配置購買
2. 域名配置:
注冊域名并添加A記錄指向服務器IP
建議開啟WHOIS隱私保護
提前申請SSL證書(也可以在雷池面板中選擇免費版)
推薦從阿里云注冊域名,注冊后將A記錄解析到服務器IP
二、雷池WAF安裝
安裝之前先找一個linux連接工具(比如:FinallShell)連接上服務器
1. 基礎環境:
# 安裝Docker
curl -fsSL https://get.docker.com | sh
sudo usermod -aG docker $USER
newgrp docker
如果沒有的也可以不用安裝,直接從第2步的一鍵安裝開始,他會提示是否安裝docker,直接選擇y即可
2. 一鍵安裝:
安裝命令:
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
有幾個關鍵點,見截圖
端口:如果防火墻中沒有開放9443端口,首先要去防火墻中開放9443端口(由于這個證書是自己簽發的,所以首次訪問需接受自簽名證書警告,這個直接接受即可)
3. 密碼重置(可選):
# 若忘記密碼sudo docker exec safeline-mgt resetadmin
4. 登錄
輸入https://ip:9443登錄,登錄成功后的截圖
三、網站接入配置
1. ssl證書
網站接入前,首先到 通用設置 → 添加證書中添加,可以自己上傳,也可以申請免費證書,根據自己實際情況操作
2. 防護站點設置:
管理界面 → 防護應用 → 添加應用
配置項:
域名:www.cccx.cn
監聽端口:80/443
上游服務器:http://127.0.0.1:8080(實際業務地址)這個是nginx配只的一個示例應用,用于演示,由于我這里只有一臺服務器,所以waf服務器和上游服務器是一臺服務器,實際業務建議分開部署
注意圈上的這幾個重點
3. 訪問測試
輸入配置的域名www.cccx.cn,如果能出現如下圖,說明配置成功
4. 驗證防護:
l 訪問測試:http://www.cccx.cn/?id=1 AND 1=1 應返回攔截頁面
l Cookies中應包含sl-session標識
這樣配置后不論是http://cccx.cn、https://cccx.cn還是www.cccx.cn都會自動跳轉到https://www.cccx.cn (最終預期效果)
四、301配置
上面配置了www.cccx.cn這個域名,但是實際應用中,一般會將不帶www的跳轉到帶www的
1. 再添加一個應用
再添加一個應用,選擇重定向,狀態碼選擇301,跳轉帶www的域名
2. HTTP 自動跳轉到 HTTPS
其實配置到上面已經完成了90%的工作,但是http的不會跳轉到https的,還有一步需要配置,防護應用 → 高級配置 中勾上 HTTP 自動跳轉到 HTTPS
五、使用靜態文件搭建
在上面創建應用的時候看到有三種模式:代理到已有應用、使用靜態文件搭建和重定向
1. 創建靜態文件站點
當我們應用是純靜態網站的時候,選擇 使用靜態文件搭建 是不錯的選擇,配置跟上面一樣,唯獨區別就是這里要選擇 靜態文件搭建
2. 查看靜態站點目錄
創建好后點擊應用的“詳情”,看url地址中的id,我這里的id是4,實際情況根據實際id來看
從這個id就可以看到這些靜態文件存放地址,路徑是:[waf安裝目錄]/resources/nginx/static/static_[id]
比如我這里的安裝目錄是:/cccxcn/safeline,id為4
所以全路徑是:/cccxcn/safeline/resources/nginx/static/static_4
后期備份和上傳文件都可以從這個文件路徑中操作
3. 訪問
輸入配置的url訪問,如果出現如下默認界面說明安裝成功
六、最后
雷池還有很多豐富的功能,這里只是從安裝到部署一個應用作為示例。到這里你的網站已具備基礎WAF防護能力。后續可根據實際需求調整防護策略,并通過雷池管理界面監控安全事件。
關鍵詞:
營業執照公示信息