EXSI 软路由+雷池WAF免费解决方案
单位经费不足但又不想裸奔可以参考这套方案,如有不足欢迎各位大佬批评指正,文中所使用的软件均来自网络侵删。整体方案如下:
使用一台物理机部署EXSI平台,EXSI平台上部署爱快软路由及雷池社区版WAF,软路由提供NAT转换访问控制等功能,雷池社区版WAF通过反向代理过滤到webserver的流量能够提供一些较为基础的Web防护,比较适合手头有淘汰的服务器或者高性能主机的搞搞,优点是如果新迁移或者上线的业务系统没有申请到相应的安全建设资金且又想独立部署这套方案能够提供一些基础的防护不至于裸奔,缺点是折腾起来有点麻烦,适合动手能力较强的折腾。
接线的话一根接运营商的WAN口,另一根接到webserver
一、硬件准备
利旧主机一台(我这台配置为I7-7700 8G内存 1T机械硬盘)主板自带一个RJ45网口,需要自购一张双口千兆PCI-E网卡)
网线两根
8G以上空U盘一个
二、软件准备
EXSI 6.7安装包
建议使用B站大佬封装好板载网卡的版本,传送门:https://www.bilibili.com/read/cv25999031/,原版的装完可能出现驱动问题无法直通网口
UltraISO软件
制作EXSI引导盘
爱快3.0免费版系统
这个没啥说的,传送门:https://www.ikuai8.com/component/download
Centos 7镜像
用来安装雷池WAF社区版
三、制作EXSI引导盘
将下载好的EXSI 安装包通过UltraISO打开,我这里用的是6.7版本
单击启动-写入硬盘映像,硬盘驱动器选择刚才准备的8G空U盘
这个需要注意一点,在便捷启动中要写入一下引导扇区,否则可能无法正常引导
最后单击写入,等待提示刻录成功,引导盘就安装完成了
四、安装EXSI
将启动盘插到需要安装的主机,上电开机按F12选择启动项,通过U盘启动,自动进入引导程序
初始安装配置参数
回车继续
F11继续
选择安装的磁盘,我这边只有一块,选中回车继续
选择语言
设置登录密码(密码有复杂度校验)
按F11开始加载系统镜像安装系统到硬盘中
进度条结束之后回车重启
安装后第一次重启时间可能长一些,耐心等待
出现这个界面证明已经安装成功,这个时候我们来配置下网卡信息
按下F2输入刚才配置的用户名密码,进入设置
上下键选择最后一项,空格键确定配置IP地址掩码及网关
配置完成回车确认,ESC返回会提示你是否保存配置,按下Y
这时我们就可以用这个管理地址通过浏览器对EXSI进行web管理(我这个是用虚拟机做的演示,真实的管理地址的192.168.1.3)这里的网口是随机的,多网口情况下需要插拔测试判断哪个网口为管理口
至此EXSI安装结束
五、EXSI配置
登录EXSI首先进行激活,这里不做赘述,网上有很多神秘代码
激活之后首先查看设备是否全部正常识别,这里是三张网卡,一块硬盘
确认硬件全部识别后先把虚拟交换机的混杂模式打开
然后添加一个新的上行链路,这个物理接口用来接WEB服务器
然后在管理中将一个网卡设置为直通,这个直通网口就是软路由的WAN口,切换为直通模式后需要重新引导才能生效,我这里已经添加过了
六、安装爱快
把下载好的镜像包传到EXSI上然后创建虚拟机
操作系统系列选LINUX版本选其他64位
存储选择需要安装的硬盘,单击下一步
自定义配置这里建议分4核 2G,内存配置这里需要勾选预留所有客户机内存
然后添加其他设备-PCI设备,把刚才直通的那张网卡添加上,CD/DVD选择数据存储ISO文件,将下载好的爱快镜像挂载上
最后完成开机引导系统,这里不做赘述,就按一个Y就完事了。。。。安装完成后配置爱快
首先绑定网卡,把虚机的虚拟网卡设置为lan口,这里的LAN口就作为内网整体的网关了如果有点错乱可以参考前面的拓扑
然后配置IP地址
这时,我们的LAN口已经配置完成,通过WebUI继续配置wan口及上网设置
默认用户名密码都是admin
在内外网设置中配置WAN口地址
NAT转换这里配置上网
至此爱快配置也告一段落
七、安装雷池WAF社区版
创建虚拟机,安装centos7操作系统这里不做赘述,安装完成首先关闭本机防火墙
systemctrl stop firewalld
燃后配置IP地址192.168.1.2
雷池安装可以参考官方文档,支持在线一键部署
bash -c “$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)”
如果没有docker环境的话选下Y
继续安装,如果需要修改幕刃目录的话可以自行修改,我这里是默认
等待安装完成,登录地址是https://雷池主机IP:9443,用户名密码已经打印出来了
首次登陆需要绑定,手机下载腾讯身份验证器扫描完成绑定即可(后期可以取消二次令牌认证)
绑定完成后根据手机令牌的六位秘钥进行登录(这里需要将Linux主机时间开启自动对时,时间不准验证码是无效的),至此雷池已经安装完成
我们可以在站点管理中添加需要防护的站点
环境信息1:
网站服务器:IPA,对外端口80,域名‘Murphy.com’
雷池服务器:IPB
步骤:
1.将原网站流量指向雷池的IPB(必须)。例如修改域名解析服务,将域名解析到IPB
2.参考配置如下图
3.禁止网站服务器上,除雷池之外的访问。例如配置防火墙
环境信息2:
网站服务器:IPA,对外端口80,无域名
雷池服务器:IPB
步骤:
1.参考配置如下图
2.禁止网站服务器上,除雷池之外的访问。例如配置防火墙
效果大致如下:
配置完成后我们可以在防护站点中根据情况选择防护模式
防护配置中也有更多的详细配置项目,部分功能需要升级专业版才能使用,有需求的可以冲一波
首页支持各类数据的基础统计及高级统计,能很方便的看到目前整体的防护情况
在攻击事件当中可以看到详细的告警内容及日志,方便研判分析