- 1maven项目创建可执行jar的6种方法_mvn命令构建jar包
- 2CMake与vs的配置对应(常规->附加包含目录,链接器->输入)_cmake如何对应到vs链接器输入中.lib
- 3【opencv】教程代码 —ImgProc (10)图像平滑处理
- 49. 什么是 SAP ABAP 为 Fiori 专门设计的编程模型(Programming Model)_abapfiori开发模式有哪些
- 5ChatGPT丨使用tiktoken计算tokens
- 6计算机领域国际会议分区表_sdm24是什么会议
- 7论文笔记:ShuffleNet v1_shufflenetv1论文
- 8postcss的安装与使用
- 9Could not allocate CursorWindow size due to error -12 错误解决方法
- 10incredbuild,msbuild 命令行调用实现自动化编译_incredibuild命令行
雷池WAF入门教学-添加防护站点(常见web应用模式都有)_雷池新建站点防护策略是以哪个防护策略为基础新建的?
赞
踩
雷池WAF开始配置一个站点防护
欢迎访问我的小站-分享技术
原创贴 转载请标明来源
一、登录
浏览器打开后台管理页面 访问 https://雷池服务器地址:9443
1. 绑定动态口令
需要使用TOTP的MFA认证软件先扫描登录页下方的二维码完成绑定动态口令
什么是MFA和TOTP?
- MFA 多因子认证(Multi-Factor Authentication),简称MFA,是一种基于用户行为密码、短信、令牌、动态口令、生物特征等组合方式,用于验证用户身份的认证方式。
- TOTP 时间令牌(Time-Based One-Time Password,简称TOTP),是一种基于时间、动态口令的认证方式,用于验证用户身份的认证方式。
目前支持的TOTP软件有:
- 腾讯身份验证器app(推荐)
- 谷歌身份验证器
- 微软身份验证器
-
打开腾讯身份验证器通过二维码扫描登录页面的二维码
-
点击完成绑定
-
输入动态口令
如果提示
雷池服务器和身份验证器服务器时间误差不能超过1分钟
- 建议雷池服务器安装ntpdate 做时间同步
- yum install -y ntpdate
- ntpdate -u ntp.sjtu.edu.cn
二、配置防护站点
雷池WAF防护站点的工作机制是通过nginx反向代理做被防护站点的前置代理服务器,通过nginx来对用户请求流量中的攻击行为进行检测和清洗,将清洗过后的流量转发给网站服务器,网站服务器再将响应返回给雷池WAF,雷池再将相应包回给用户,完成一次网站访问请求。
网站请求流量转发说明
未部署WAF的请求
部署雷池WAF的请求
添加防护站点(HTTP应用)
目前常见的集中部署方式
1. 网站应用和雷池WAF在同一台服务器
网站应用(示例):http://www.waf.com:80
具体端口和域名根据实际替换即可 这种情况下分两种方式部署防护站点 注意:因为WAF和应用是在同一台服务器上,因此防护站点端口和网站应用自身端口不能重复,否则会出现端口冲突,同一台服务器上不能出现两个相同的TCP端口
第一种 应用部署端口不变
- 已部署端口不变,更改访问端口
- www.waf.com:8000----->127.0.0.1:80
- 域名:配置自己网站的域名
- 端口:其他端口,只要和网站服务器已有端口不重复即可
- 上游服务器:http://127.0.0.1:80 替换自己网站应用服务器实际的端口
第二种 访问端口不变
- 用户访问端口不变,更改部署应用端口
- www.waf.com:80----->127.0.0.1:8000(原80端口)
- 域名:配置自己网站的域名
- 端口:网站应用已发布访问端口
- 上游服务器:http://127.0.0.1:8000 替换自己网站应用已修改后的端口
2. 网站应用和雷池在不同服务器上
这种方式也比较常见,这种方式比较推荐(因为可以避免端口冲突)
网站应用(示例):http://www.waf.com:80
这种方式有两种,一种是应用服务器前面已有nginx反向代理,另一种是 应用服务器前面没有nginx反向代理
第一种 应用服务器前面没有nginx反向代理
- 这种情况下需要修改dns解析,将现有解析到应用的IP修改为解析到WAF的IP
- www.waf.com:80----->WAF_ningx:80----->应用:80
- 1. 添加防护站点
- 域名:www.waf.com(替换为自己实际的域名)
- 端口:80 (替换为自己实际的端口)
- 上游服务器:http://应用服务器网络可达的IP:80
- 1. 修改域名解析
第二种 应用服务器前面已有nginx反向代理
- 这种情况下需要修改nginx配置,将现有请求转发到WAF
- www.waf.com:80----->应用nginx反代:80----->WAF_nginx:80----->应用:80
- 1. 添加防护站点
- 域名:www.waf.com(替换为自己实际的域名)
- 端口:80 (替换为自己实际的端口)
- 上游服务器:http://应用实际IP:80
3. 网站应用前有SLB负载均衡
这种情况下建议采用WAF前置到SLB的方式,然后修改DNS解析到WAF
- www.waf.com:80----->WAF_nginx:80----->SLB:80
- 1. 添加防护站点
- 域名:www.waf.com(替换为自己实际的域名)
- 端口:80 (替换为自己实际的端口)
- 上游服务器:http://SLB虚拟IP:80
- 2. 修改域名解析
- 将域名从解析到SLB修改为解析到WAF
添加防护站点(HTTPS应用)
首页准备网站域名绑定的SSL证书crt文件和密钥文件key
1、添加防护站点 2、勾选SSL
3、上传证书和密钥 4、如果网站应用本身是https 则修改对应端口和协议 示例:https://www.waf.com:443 5、提交 对照HTTPS方式配置响应方式的站点即可,只需要修改对应https和端口443即可。
