立即安装
推荐使用此安装方式
使用SSH工具登录服务器,执行以下命令安装:
- 注意需要ROOT权限执行命令
复制粘贴命令后,按回车执行命令安装
URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;e堡塔云WAF工作原理
堡塔云WAF是由三个主要组件构成:
- cloudwaf_nginx(简称为nginx)用于检查和过滤恶意流量,并将流量转发给网站服务器。
- cloudwaf_mysql(简称为mysql)用于存储攻击事件日志。
- CloudWaf 是堡塔云WAF的管理程序,提供管理界面供用户使用(简称为管理程序)。
它如何工作的?
堡塔云WAF以 反向代理 的方式工作。网站流量先抵达堡塔云WAF,经过堡塔云WAF检测和过滤后,再转给原来提供服务的网站服务器。
示例
通过一个简单的例子描述如何搭建堡塔云WAF
未接入堡塔云WAF前
所有用户的流量直接流向提供网站的服务器
- 网站域名:173.kern123.tk
- 网站服务器IP、网站域名A记录IP:192.168.66.161
如图:
接入堡塔云WAF后
所有用户的流量先流向堡塔云WAF通过WAF过滤恶意流量后再将正常流量发送到源站服务器 (网站服务器在这也称回源服务器,简称:源站地址)。
- 防护网站(网站域名):173.kern123.tk
- 堡塔云WAF、防护网站A记录IP:192.168.66.173
- 网站服务器IP(源站地址):192.168.66.161
如图:
安装堡塔云WAF
安装方式
点击查看:堡塔云WAF系统兼容表
温馨提示:中国内地(大陆)服务器需要备案,建议您在已经备案的服务商上购买新的服务器,否则需要重新接入备案。
可参考阿里云:接入备案流程
在线安装
推荐使用此安装方式
使用SSH工具登录服务器,执行以下命令安装:
- 注意需要ROOT权限执行命令
复制粘贴命令后,按回车执行命令安装
URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh
安装完成后显示以下信息
登录堡塔云WAF管理面板
管理面板默认端口8379,如果服务器有安全组、硬件防火墙,请开放8379端口
安装完成后,使用浏览器访问显示的地址,输入账号(username)与密码(password),登录堡塔云WAF管理界面
注意:浏览器提示安全问题,请信任它。因为是自签证书浏览器不信任导致的
登录成功后即可使用堡塔云WAF
离线安装
注意,此安装方式适用于服务器无法连接公网节点时的选择
- 离线安装时必须手动安装 docker,否则无法安装
- 离线安装前请确保您的服务器存在 tar gzip curl netstat ss docker 命令,可以使用此命令检查是否存在:
Packs=("curl" "tar" "gzip" "netstat" "ss" "docker" ); for pack in "${Packs[@]}"; do command -v "$pack" >/dev/null 2>&1 || echo -e "\033[31mError: $pack 命令不存在\033[0m"; done
请根据您的系统架构下载安装文件,使用命令
uname -m可以查看架构
x86_64 架构:
- 离线安装脚本:点击下载离线安装脚本
- 下载镜像文件:点击下载镜像 x86_64 架构文件
- 下载cloudwaf程序文件:点击 下载cloudwaf程序 x86_64 架构文件
aarch64 架构:
- 离线安装脚本:点击下载离线安装脚本
- 下载镜像 aarch64 架构文件:点击 下载镜像 aarch64 架构文件
- 下载cloudwaf程序 aarch64 架构文件:点击 下载cloudwaf程序 aarch64 架构文件
根据不同的系统架构下载文件后,使用Xftp、Winscp等工具上传到服务器中,将下载的文件放在相同的路径,然后执行安装命令离线安装:
注意需要ROOT权限执行命令
bash install_cloudwaf.sh offline
安装完成后,登录步骤与在线相同 示例为:x86_64 架构
添加防护网站
网站列表 --> 添加防护网站
名词说明:
防护域名
输入您要防护的网站域名
开启SSL
开启后可以使用 https 方式访问网站,否则只能使用 http,如原来有证书需要将证书拷贝并部署到云WAF上
源站地址
需要防护域名原来所在的服务器IP
- 如:bt.cn原来的IP解析在1.2.3.4,那么1.2.3.4就是它的 源站地址
- 如果原来的网站有设置SSL证书可以使用
https,否则请使用 http,设置错误浏览器将提示502错误,无法访问回源服务器 - 如果网站有使用 强制HTTPS,请使用
https并且部署SSL证书,否则将提示重定向过多
CDN
堡塔云WAF前是否使用了CDN、高防或其他代理?如果不确定建议设置为开启
最后更换网站域名的A记录解析,更换为堡塔云WAF服务器的IP,等待生效后测试访问
如果开启了SSL可以使用 https 访问,否则只能使用 http 访问。不正确的访问方式将提示404错误
将 173.kern123.tk 修改成您的 防护域名
https 访问方式:
https://173.kern123.tk/?id=/etc/passwd
http 访问方式:
http://173.kern123.tk/?id=/etc/passwd
如果无法访问请检查防火墙与安全组是否开放端口,默认需要开放 80443 端口
访问成功后
首页概览的 今日请求数、恶意请求数会增加1
如果请求数没有增加,请尝试检查:
- 防护域名的A记录解析是否更换到堡塔云WAF的IP
- 解析是否生效
- 网站的日志是否有内容
拦截生效效果图
可选:在回源服务器的网站配置只允许堡塔云WAF的IP访问,增加更强的防护,还可以防止恶意访问直接访问回源服务器
防护配置
堡塔云WAF优先级
IP白名单> IP黑名单 > UA白名单 > UA黑名单 > 单URL CC防御 > URL白名单 > URL黑名单 > 限制地区 > 非浏览器拦截 > User-Agent > CC防御 > Cookie
为网站单独设置规则
网站列表 --> 找到相关网站域名 --> 网站配置
查看被拦截的请求
- 首页概览 --> 最新拦截事件
- 拦截日志 --> 拦截记录
- 拦截日志 --> 规则命中记录
查看堡塔云WAF自动拉黑IP记录
拦截日志 --> IP临时拉黑记录
自动拉黑的IP有封锁时长,时间到达后将自动解封,解封后此IP将继续可以访问网站。如果需要永久禁止访问,请手动拉黑IP
添加、查看手动拉黑的IP可以在:黑白名单 --> IP黑名单
注意:拉黑的IP是会禁止访问堡塔云WAF上所有网站
将URL添加到URI白名单
1.黑白名单 --> URI白名单
2.拦截日志 --> 拦截记录、IP临时拉黑记录 --> 加白URL
如何设置只允许国内访问,同时禁止中国特别行政区:香港,澳门,台湾 ?
地区限制 --> 添加地区限制
如何部署网站SSL证书?
网站列表 --> 找到您需要部署SSL的网站 --> SSL证书 --> 点击 未部署
请使用Nginx格式的证书
例:为网站156.kern123.tk部署SSL证书
示例中使用的SSL证书为腾讯云免费证书,下载时选择Ningx
-
下载后打开156.kern123.tk_nginx.zip文件
-
打开部署SSL配置界面
网站列表 --> 找到您需要部署SSL的网站 --> SSL证书 --> 点击 未部署
-
使用记事本 等文本编辑器打开 156.kern123.tk.key 、 156.kern123.tk_bundle.pem
-
将156.kern123.tk.key 的内容全部复制到 密钥(KEY) 的方框中
-
将156.kern123.tk_bundle.pem 的内容全部复制到 证书(PEM格式) 的方框中
-
-
密钥(KEY)、证书(PEM格式)粘贴完成后,点击 保存并启用 即部署完成
-
部署完成可以使用
https方式访问网站 :https://156.kern123.tk如果无法使用https访问,请检查系统防火墙与服务器提供商的安全组是否开放443端口
查看网站日志
网站列表 --> 找到需要查看的网站名称 --> 日志 --> 响应日志 、错误日志
常用命令
查看堡塔云WAF管理界面登录地址、用户信息
btw 6
仅重启堡塔云WAF管理界面(不影响网站访问)
btw 2
查看堡塔云WAF运行状态
btw 3
修改管理员密码
btw 9
修改管理员用户名
btw 11
仅重启nginx
btw nginx_restart
重启整个堡塔云WAF,会影响网站的访问
btw 1
取消域名绑定
btw 14
取消IP绑定限制
btw 15
关闭动态口令认证
btw 16
在线修复、更新堡塔云WAF
btw 17
检查堡塔云WAF是否有错误
btw 18
查看堡塔云WAF日志
btw 5
停止堡塔云WAF
btw 4
查看更多命令
btw h
346
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
