网络安全形势与WAF技术分享

        我一个朋友的网站，5月份时候被攻击了，然后他找我帮忙看看，我看他的网站、网上查资料，不看不知道，一看吓一跳，最近几年这网络安全形势真是不容乐观，在网上查了一下资料，1、中国信息通信研究院发布的《2023年中国网络安全发展报告》，仅2023年上半年，中国境内就发生了超过1000起数据泄露事件，涉及个人信息超过10亿条。2、根据公安部网络安全保卫局的数据，2023年网络诈骗案件同比上升了30%，涉案金额高达数百亿元人民币。3、2023年，中国境内遭受的DDoS攻击次数同比增长了40%，单次攻击流量峰值突破了1Tbps。4、高级持续性威胁（APT）攻击手段日益狡猾，攻击者利用0day漏洞进行攻击，给企业安全防护带来极大挑战。

        在当前的这种网络安全形势情况下，这就好比流感高发期，个人要戴好口罩，搞网站的不论是企业还是个体，都要把WAF安排上啊。废话不多说，下面讲这篇文章的主题：

       WAF概念

         Web应用程序防火墙（WAF）是一种专门用于保护Web应用免受各种攻击的安全解决方案。WAF通常部署在Web服务器和互联网之间，通过以下方式提供保护：

• 请求过滤：检查进入的HTTP请求，阻止恶意请求。
• 规则引擎：根据预设的安全规则对请求进行评估。
• 签名匹配：识别并阻止已知的攻击模式。
• 行为分析：分析用户行为，检测异常行为并采取相应措施。

    雷池WAF介绍

        雷池WAF是一款高效的网络安全产品，专为保护Web应用安全而设计。它具备以下特点：

• 高性能：采用先进的算法和硬件加速技术，确保低延迟和高吞吐量。
• 规则定制：用户可以根据需求定制安全规则，提高防护的针对性和有效性。
• 实时监控：提供实时监控功能，及时发现并响应安全事件。
• 日志审计：详细记录所有请求和事件，便于事后分析和审计。

   在线安装雷池WAF

复制以下命令执行，即可完成安装

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

如果需要使用华为云加速，可使用

CDN=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

如果需要安装最新版本流式检测模式，可使用

STREAM=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

       登录雷池

TOTP (Time-based One-Time Password algorithm) 将密钥与当前时间进行组合，通过哈希算法产生一次性密码，已被采纳为 RFC 6238，被用于许多双因素身份验证系统。

       登录流程

1.浏览器打开后台管理页面 https://127.0.0.1:9443。

2.输入初始的admin密码

完成安装后在shell会自动输出密码。

若忘记查看，需手动执行重置命令获得初始密码

docker exec safeline-mgt resetadmin

3.根据界面提示，使用 支持 TOTP 的认证软件或者小程序（我用的微软的认证软件） 扫描二维码，然后输入动态口令登录：

配置站点

根据指导，完成站点配置

工作原理

雷池社区版主要以 反向代理 的方式工作，类似nginx。

让网站流量先抵达雷池，经过雷池检测和过滤后，再转给原来的网站业务。

配置界面

在单独的服务器部署雷池时配置（推荐）

开始配置

环境信息:
网站服务器:IPA，对外端口80，域名‘example.com’
雷池服务器:IPB

步骤:
1.将原网站流量指向雷池的IPB（必须）。例如修改域名解析服务，将域名解析到IPB
2.参考配置如下图
3.禁止网站服务器上，除雷池之外的访问。例如配置防火墙

配置完成

如果浏览器访问example.com:80能获取到业务网站的响应，并且数据统计页的 “今日请求数” 增加，代表配置成功。

效果大致如下：

注：在Web应用服务器上虽然也可以部署雷池WAF，但是就不推荐了，我自己测试话，服务器会有点卡