雷池WAF入门教学-添加防护站点(常见web应用模式都有)

已于 2023-08-17 23:20:06 修改
阅读量2.9k 收藏 15
点赞数 2
文章标签: web安全 网络安全 web app 云原生
于 2023-08-15 22:13:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f2238195886/article/details/132308429
版权

雷池WAF开始配置一个站点防护

欢迎访问我的小站-分享技术

原创贴 转载请标明来源

一、登录

浏览器打开后台管理页面 访问 https://雷池服务器地址:9443

Alt text

1. 绑定动态口令

需要使用TOTP的MFA认证软件先扫描登录页下方的二维码完成绑定动态口令

什么是MFA和TOTP?

  • MFA 多因子认证(Multi-Factor Authentication),简称MFA,是一种基于用户行为密码、短信、令牌、动态口令、生物特征等组合方式,用于验证用户身份的认证方式。
  • TOTP 时间令牌(Time-Based One-Time Password,简称TOTP),是一种基于时间、动态口令的认证方式,用于验证用户身份的认证方式。

目前支持的TOTP软件有:

  • 腾讯身份验证器app(推荐)
  • 谷歌身份验证器
  • 微软身份验证器

  1. 打开腾讯身份验证器通过二维码扫描登录页面的二维码

  2. 点击完成绑定

  3. 输入动态口令

    Alt text

    如果提示

    Alt text

    雷池服务器和身份验证器服务器时间误差不能超过1分钟

建议雷池服务器安装ntpdate 做时间同步
yum install -y ntpdate
ntpdate -u ntp.sjtu.edu.cn

二、配置防护站点

雷池WAF防护站点的工作机制是通过nginx反向代理做被防护站点的前置代理服务器,通过nginx来对用户请求流量中的攻击行为进行检测和清洗,将清洗过后的流量转发给网站服务器,网站服务器再将响应返回给雷池WAF,雷池再将相应包回给用户,完成一次网站访问请求。

网站请求流量转发说明

未部署WAF的请求

Alt text

部署雷池WAF的请求

Alt text

添加防护站点(HTTP应用)

Alt text

Alt text

目前常见的集中部署方式

1. 网站应用和雷池WAF在同一台服务器

网站应用(示例):http://www.waf.com:80

具体端口和域名根据实际替换即可 这种情况下分两种方式部署防护站点 注意:因为WAF和应用是在同一台服务器上,因此防护站点端口和网站应用自身端口不能重复,否则会出现端口冲突,同一台服务器上不能出现两个相同的TCP端口

第一种 应用部署端口不变
  • 已部署端口不变,更改访问端口
www.waf.com:8000----->127.0.0.1:80
域名:配置自己网站的域名
端口:其他端口,只要和网站服务器已有端口不重复即可
上游服务器:http://127.0.0.1:80 替换自己网站应用服务器实际的端口

Alt text

第二种 访问端口不变
  • 用户访问端口不变,更改部署应用端口
www.waf.com:80----->127.0.0.1:8000(原80端口)
域名:配置自己网站的域名
端口:网站应用已发布访问端口
上游服务器:http://127.0.0.1:8000 替换自己网站应用已修改后的端口

Alt text

2. 网站应用和雷池在不同服务器上

这种方式也比较常见,这种方式比较推荐(因为可以避免端口冲突)

网站应用(示例):http://www.waf.com:80

这种方式有两种,一种是应用服务器前面已有nginx反向代理,另一种是 应用服务器前面没有nginx反向代理

第一种 应用服务器前面没有nginx反向代理
  • 这种情况下需要修改dns解析,将现有解析到应用的IP修改为解析到WAF的IP
www.waf.com:80----->WAF_ningx:80----->应用:80
1. 添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://应用服务器网络可达的IP:80
1. 修改域名解析

Alt text

第二种 应用服务器前面已有nginx反向代理
  • 这种情况下需要修改nginx配置,将现有请求转发到WAF
www.waf.com:80----->应用nginx反代:80----->WAF_nginx:80----->应用:80
1. 添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://应用实际IP:80

Alt text

3. 网站应用前有SLB负载均衡

这种情况下建议采用WAF前置到SLB的方式,然后修改DNS解析到WAF

Alt text

www.waf.com:80----->WAF_nginx:80----->SLB:80
1. 添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://SLB虚拟IP:80
2. 修改域名解析
将域名从解析到SLB修改为解析到WAF

添加防护站点(HTTPS应用)

首页准备网站域名绑定的SSL证书crt文件和密钥文件key

Alt text

1、添加防护站点 2、勾选SSL

Alt text

3、上传证书和密钥 4、如果网站应用本身是https 则修改对应端口和协议 示例:https://www.waf.com:443 5、提交 对照HTTPS方式配置响应方式的站点即可,只需要修改对应https和端口443即可。

没戴帽子的房子
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
WAF 防护WEB应用的解析
01-19
WEB应用的重要性   随着互联网技术的发展,WEB应用越来越受到业务系统的重视,WEB应用已经与我们的业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。   web本意是蜘蛛网和网的意思。现广泛译作网络、互联网等技术领域。表现为三种形式,即超文本(hypertext)、超媒体(hypermedia)、超文本传输协议(HTTP)等。   超文本(hypertext)   一种全局性的信息结构,它将文档中的不同部分通过关键字建立链接,使信息得以用交互方式搜索。它是超级文本的
雷池 WAF:下一代 Web 应用防火墙的革新
m0_71949708的博客
03-20 607
雷池 WAF:下一代 Web 应用防火墙的革新
2024年网安最新雷池WAF入门教学-介绍和安装_雷池可以不通过docker安装吗
最新发布
2301_76224593的博客
05-03 874
参考Centos7安装docker教程centos7 安装docker教程(保姆级别) - OneDay Blog参考Ubuntu 安装docker教程参考Kylin安装docker教程。
雷池waf社区版-配置使用(2)
u013901725的博客
09-11 1051
雷池waf的配置
雷池WAF入门教学-配置HTTP80重定向HTTPS443
f2238195886的博客
08-17 886
配合雷池WAF+SSl证书实现http自动重定向HTTPS
使用雷池 WAF防护站点
suweijie的博客
01-26 622
首先谈谈我的理解,雷池WAF,就是一种web应用的防火墙。使用方式有点类似于Nginx的反向代理,雷池WAF的使用就是让雷池WAF当反向代理服务器,所有的请求都通过雷池,然后在由雷池去请求目标服务器(雷池中叫做上游服务器),然后雷池会过滤出有危险的请求拦截起来。
雷池WAF入门教学-介绍和安装
热门推荐
f2238195886的博客
08-15 2万+
是首创业内领先的智能语义分析算法,精准检测、低误报、难绕过语义分析算法无规则,面对未知特征的 0day 攻击不再手足无措。是基于nginx反向代理技术实现的流量拦截,性能损耗小,对业务侵入小,无任何影响。门槛低,采用docker方式部署,通过官方提供的安装脚本,一行命令一键安装即可使用,对于新手和非运维人员非常友好。管理界面友好,通过web界面管理,可以实时查看WAF的运行状态,查看攻击日志事件,首页显示攻击IP地理分布,请求数统计,站点浏览数等PV和UV指标。
玩转系统|长亭雷池WAF详细使用教程——初次见面
Jum的博客
11-21 5131
WAFWeb Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。​雷池是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。Slogan: 不让黑客越雷池半步。​。
linux 服务器搭建web网站防御秘籍之雷池WAF包含入门介绍-安装-使用-升级更新
weixin_38912950的博客
09-02 2926
我们在安装了Linux服务器并使用了宝塔面板后发现,宝塔的WAF需要升级版本才能使用。尽管市面上有很多免费的开源WAF解决方案,但我们对它们的学习成本感到有些高,而且对于我们这个刚开始建站的小型项目来说,也不想花费一千多块钱来购买商业WAF每年的许可费。因此,我在网上进行了一番搜索,希望能找到一款简单上手的开源WAF。最终,我发现了长亭公司开发的雷池WAF,它非常适合我们使用。
WAF雷池安装及使用体验
信安是不可或缺的一部分!
04-19 7464
长亭一直是我比较喜欢的一家公司,像业界比较出名的扫描器xray还有rad等很多工具都是他们开发的,使用起来非常的nice,联动其他安全工具可以实现自动漏洞挖掘,这里测的是他们开发的一款waf产品“雷池”这个产品很早之前我就知道,但是当时没有社区版是需要收费的,当时是通过其他渠道用了一下感觉不错,现在来试试社区版。它是一款基于大数据、机器学习等技术的网络攻击检测系统。通过实时监测和分析全球各地的威胁情报、攻击数据和漏洞信息,雷池能够快速发现和识别未知安全威胁,准确判断攻击的类型和来源,并及时发出警报。
玩转系统|长亭雷池WAF详细使用教程——深入了解
Jum的博客
11-21 3661
上节我们降了WAF的注册和登录,现在我们继续深入了解。
WAF-A-MoLE:基于ML的Web应用程序防火墙的基于变异的引导模糊器
05-08
WAF-A-MoLE 受AFL启发并基于Andreas Zeller等人的 ,针对基于ML的Web应用程序防火墙的基于突变的引导。 给定一个输入SQL注入查询,它会尝试生成一个语义不变的查询,该查询能够绕过目标WAF。 您可以使用此工具通过...
通信与网络中的WAF 防护核心WEB应用的解析
10-22
WEB应用的重要性  随着互联网技术的发展,WEB应用越来越受到业务系统的重视,WEB应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的...
raptor_waf:Raptor-WAF-使用DFA的Web应用程序防火墙[当前版本]-Beta
01-30
raptor_waf:Raptor-WAF-使用DFA的Web应用程序防火墙[当前版本]-Beta
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
长亭科技-雷池WAF的安装与使用
Welcome To Myon'Blog !
01-14 3818
如果你们想一直有 WAF 的保护,那就需要让这些 docker 容器一直运行着,就需要有一台公网服务器(建议买云服务器ESC或者轻量级的服务器),然后在上面进行安装和部署。这里以8081为例(因为前面我们的Apache就默认运行在80呀)如果我们把阿帕奇停掉,则可以设置为80,但是阿帕奇则不能启动了。因为我是在虚拟机上测试的,虚拟机关掉,WAF 自然也就没了。(这样肯定是不行的,蠢了哈哈哈,看到后面你就明白了)我们可以在攻击事件的原始日志里查看数据包的详情。可以看到新增了几个关于雷池的docker容器。
在腾讯云部署雷池 Web 应用防火墙(WAF)安装及使用
阿希鸭
08-05 1233
雷池基于大数据、机器学习等技术的网络攻击检测系统。通过实时监测和分析全球各地的威胁情报、攻击数据和漏洞信息,雷池能够快速发现和识别未知安全威胁,准确判断攻击的类型和来源,并及时发出警报。同时,雷池还拥有自主研发的智能防御引擎和可视化管理界面,可以提供高效的攻击防范和全面的安全监控,为用户提供更加安全、可靠的云安全服务。雷池服务器配置最低要求操作系统:Linux指令架构:x86_64软件依赖:Docker 20.10.6 版本以上软件依赖:Docker Compose 2.0.0 版本以上。
Frp+长亭雷池waf+Nginx实现内网穿透
qq_38525486的博客
07-08 2427
以上配置能够实现访问为SSL加密的,但是会存在一个问题是waf内始终获取不到proxy_protocol内的客户端真实地址并且会报错Header头损坏。但是使用http协议进来的请求是OK的,所以怀疑是plugin转http时重写了Header导致。可以点击详情查看拦截的详细信息,在调试获取真实IP的时候可以通过这里查看请求 来判断是否有传入真实IP地址。例如:以上X-real-IP获取的为我的公网访问地址,那么我们需要去【通用配置】中修改如下配置。另外这里的端口和域名都为frpc内配置的请求地址和端口。
雷池WAF-聊聊企业的第一套开源WAF安全防护方案尝试
TG_punkll的博客
02-28 400
在所有服务都部署在云服务器的情况,企业在寻求一WAF防护方案,包括前期一些列商用、开源waf试用部署回退等操作,最后终于在雷池waf上得到了不影响业务的比较好的适配性。(肯定还有其他可行性方案,但是开
如何开发一款浏览器?
02-16
开发一款浏览器需要掌握一定的编程知识和技能,以下是一些一般性的步骤和建议: 1. 定义目标用户和功能:首先需要确定你的浏览器的目标用户和主要功能,这有助于你设计和实现浏览器的特点和优点,比如是一个面向移动设备的轻量级浏览器还是一个功能强大的桌面浏览器。 2. 选择浏览器引擎:浏览器引擎是浏览器的核心,负责解析HTML、CSS和JavaScript等网页内容,并将它们渲染成用户可视化的界面。常见的浏览器引擎包括WebKit、Blink、Gecko等,选择一个适合你需求的引擎可以减少很多重复工作。 3. 实现浏览器界面:浏览器界面是用户与浏览器交互的核心,包括地址栏、前进和后退按钮、书签、标签页等。你需要使用你选择的引擎来渲染和管理界面元素,同时考虑界面布局和设计。 4. 实现浏览器功能:浏览器的功能是吸引用户的关键,如网页加载、Cookie管理、安全性等。你需要编写代码来实现这些功能,并使用你选择的引擎来处理它们。 5. 进行测试和优化:完成浏览器的主要功能和界面后,需要对浏览器进行测试和优化。你需要测试浏览器在不同设备和不同网络环境下的性能和兼容性,并不断优化浏览器的用户体验。 需要注意的是,开发一款浏览器是一项复杂的工作,需要掌握多种编程语言和技术,如C++、JavaScript、HTML、CSS等。同时,你也需要对互联网标准和安全性有一定的了解。如果你没有相关的技能和经验,建议先学习相关技术和开发经验,再尝试开发自己的浏览器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值