[WAF防火墙]宝塔配合雷池WAF进行网站防护

前言

什么是网站WAF? 💢
WAF（Web应用程序防火墙）是一种用于保护网站和Web应用程序的安全措施。它位于Web应用程序和客户端之间，通过监控、过滤和阻止恶意的HTTP流量来保护Web应用程序免受各种攻击。

WAF使用一系列规则和策略来检测和阻止潜在的攻击，例如SQL注入、跨站点脚本攻击（XSS）、跨站点请求伪造（CSRF）等。它可以分析HTTP请求和响应的内容、标头和元数据，并根据预定义的安全规则来确定是否允许该请求通过。一旦检测到潜在的攻击，WAF可以采取多种措施，如拦截请求、阻止访问、记录日志等。

WAF可以帮助保护网站和Web应用程序免受恶意攻击和数据泄露。它是Web应用程序安全的重要组成部分，可提高安全性并减少潜在的漏洞和攻击风险。

目录

1. 雷池介绍
2. 雷池安装
3. 雷池设置
4. 文章总结

🔜 1.1雷池介绍

• 一款足够简单、足够好用、足够强的免费 WAF。基于业界领先的语义引擎检测技术，作为反向代理接入，保护你的网站不受黑客攻击。
• 核心检测能力由智能语义分析算法驱动，专为社区而生，不让黑客越雷池半步。
• 官网地址：https://stack.chaitin.com/tool/detail/717

2.1雷池安装

• 
• 从图中我们可以看到，长亭雷池社区版官网已经给我们列出了安装的配置需求，下面我将带领大家进行雷池的安装，跟着我的步伐，让你简单且轻松完成雷池的安装和设置功能。
• 操作系统：Linux。
• 指令架构：x86_64。
• 软件依赖：Docker 20.10.6 版本以上。
• 软件依赖：Docker Compose 2.0.0 版本以上。
• 最小化环境：1 核 CPU / 1 GB 内存 / 10 GB 磁盘。
• 本站使用的是centos7.6的系统也就是雷池要求的linux系统。
• 一键安装指令，本站主要讲的就是用一键安装指令，我先把指令复制过来 。

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

2.1.1登录你的ssh软件

• 
• 这里我用的是电脑端的Finalshell软件，自己去下载哈，只要能通过22端口连接上服务器即可，上图就是输入命令之后的效果，操作这一步的时候我们要去宝塔那边进行一个docker的安装。

2.1.2登录宝塔安装docker管理器

• 安装docker前要保证已经安装好建站所需要的Nginx1.22\Mysql5.7\php8.0\我的已经安装好了，就像这样：
• 安装好上面的软件之后，找到 软件商店 然后点击 全部 的选项就在 已安装 的旁边，搜索 Docker ，找到之后选择docker管理器进行安装即可，就像这样：
• 安装完成后，我们就可以回到 2.1雷池安装的步骤复制一键安装的命令去已经通过SSH软件连接的服务器里输入一键安装的命令了。
• 输入完命令之后根据提示进行安装，默认安装路径是在/data/safeline,回车确定即可，然后会问你是否安装所修依赖，毫不犹豫地输入 y 进行安装就行，安装完成之后会出现一个二维码，然后会有登录雷池waf的地址链接，格式是这样的： https:// 0.0.0.0:9443，确保服务器防火墙放通9443端口，如已放通请忽略。
• 得到登录雷池的地址后，在地址栏输入自己的服务器的IP加上9443的端口进行登录即可，浏览器会报链接不安全，选择继续访问即可：
• 安装完雷池之后我们进行下一步的设置，主要是更改默认的80和443端口。

2.1.3更改默认的80和443端口

• 首先登录你的宝塔，安装搭建网站必需的Nginx1.22/Mysql5.7/PHP8.0/,就像这样：
• 这些软件都安装后我们先添加一个站点，站点域名必须要带端口号，端口号不能是80和443就行，就像这样：
• 添加之后我们要去修改文件了，找到/www/server/panel/vhost/nginx/0.default.conf这个文件，进行修改，把默认的监听端口改为你用来替换80的88端口（这里不一定是88端口，只要是你在防火墙那边放通的端口号就行，建议和默认的位数一样，好分别是不是http和https）:
• 改完上面的接着改/www/server/panel/vhost/nginx/phpfpm_status.conf文件，也是一样的，改监听端口为80以外的端口，还是你设置的替换80的端口，和上面的一样操作。
• 改完上面的两个之后我们在核对一下站点的配置，看看是不是改了默认的监听端口，就像这样，也是一个目录下的：/www/server/panel/vhost/nginx/www.zonek.cn.conf的文件，只要是改了就可以去雷池那边进行站点防护设置了。

2.1.4 验证码的使用

• 登录雷池需要验证码，大家去下载一个 腾讯身份验证器 进行雷池的绑定即可，跟着雷池的操作进行绑定即可，绑定以后你要登录就在手机上打开软件输入验证码就可以直接登录了。就像这样： 就是成功绑定了。

3.1 雷池设置

• 终于到这一步了，啰嗦一句，你们使用cdn的，需要在雷池这边添加白名单，意思是把cdn节点的IP进行一个白名单处理，不然你提交或者发布文章的话就给你拦截，我算是看出来了，只要你的内容涉及到php或者有代码分享的话就一定会拦截，当然，你放通节点的IP以后就不拦截了。
• 给大家展示一样安装成功的雷池面板：

3.1.1添加站点

• 找到侧边栏展示的 防护站点 然后点击添加站点即可进行下一步的操作，就像这样：
• 添加一个监听任务，这里说一下为什么要在雷池添加80和443端口，因为雷池相当于一个代理商，监听任务就交给我们的主角 雷池 就像这样设置： ，80端口只需要添加一次即可，后面只需要添加你想要添加域名的443端口即可，就是交给雷池监听443端口，具体设置如下：
• 填写的是哪个域名就需要勾选ssl和上传对应域名的证书文件哈，一般是Pem和Key后缀的格式，添加443端口需要你在宝塔端启用ssl。然后修改站点的配置，把宝塔默认监听的443端口改为你防火墙放行的端口，如：843（你放行的是啥你就填啥，但是雷池上游服务那里必须跟相对应的端口号，如：https://127.0.0.1:843,这样的效果就是为了把流量代理回源到你在宝塔更改的端口号上去。）需要注意的雷池这边80端口上游服务器需要加http协议头，反之443需要加https协议头和端口号，记住千万不要在上游服务器那里写80和443端口不然你的服务器要被自己访问宕机有可能你的雷池端口都进不去需要重新启动防火墙具体到时候再说。记住每次添加站点域名后面都要更改你修改后的端口启用站点ssl功能都要更改端口为非443端口就像这样：
• 改完后去雷池那边进行443端口的监听即可，上传对应站点的证书，使用非对应的站点证书会报错或者无法访问站点。

4.1文章总结

服务器的系统最好是没有安装过docker和雷池的，一切认真看教程和自己琢磨研究去安装使用，我之前就是不懂怎么安装和使用导致我十多天才安装好雷池，不过这十多天我也没有天天研究怎么安装，有自己的事情要忙而已。文章很细，有不同的地方请在下方评论或者联系我qq:2831133944。