宝塔部署「免费WAF」长亭雷池防护个人网站

原文地址: 宝塔部署长亭waf防护自己的网站

雷池是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。

Slogan: 不让黑客越雷池半步。这里是官方地址:长亭雷池 WAF 社区版 (chaitin.cn)

部署资源

系统版本:Ubuntu Server 20.04 LTS 64bit

规格:CPU - 2核 内存 - 2GB 系统盘 - SSD云硬盘 40GB

部署方式

单机下部署:宝塔负责运维管理网站、长亭WAF负责防护外来攻击

部署开始

安装宝塔

自行部署

安装网站建设必要软件

我这里是静态站所以只需要安装nginxdocker是后边waf安装需要动用到的所以也是必须安装。根据自己的网站环境需要安装即可。

修改默认端口

这里需要修改 nginx 默认监听端口 80(http)443(https)

找到/www/server/panel/vhost/nginx/0.default.conf文件修改如下:

server
{
    listen 81;
    server_name _;
    index index.html;
    root /www/server/nginx/html;
}

找到/www/server/panel/vhost/nginx/phpfpm_status.conf文件修改如下:

server {
    listen 81;
    server_name 127.0.0.1;
    allow 127.0.0.1;
    location /nginx_status {
        stub_status on;
        access_log off;
    }
    location /phpfpm_52_status {
        fastcgi_pass unix:/tmp/php-cgi-52.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_53_status {
        fastcgi_pass unix:/tmp/php-cgi-53.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_54_status {
        fastcgi_pass unix:/tmp/php-cgi-54.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_55_status {
        fastcgi_pass unix:/tmp/php-cgi-55.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_56_status {
        fastcgi_pass unix:/tmp/php-cgi-56.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_70_status {
        fastcgi_pass unix:/tmp/php-cgi-70.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_71_status {
        fastcgi_pass unix:/tmp/php-cgi-71.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_72_status {
        fastcgi_pass unix:/tmp/php-cgi-72.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_73_status {
        fastcgi_pass unix:/tmp/php-cgi-73.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_74_status {
        fastcgi_pass unix:/tmp/php-cgi-74.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_75_status {
        fastcgi_pass unix:/tmp/php-cgi-75.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_80_status {
        fastcgi_pass unix:/tmp/php-cgi-80.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_81_status {
        fastcgi_pass unix:/tmp/php-cgi-81.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
    location /phpfpm_82_status {
        fastcgi_pass unix:/tmp/php-cgi-82.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    }
}

更改完成后需要到nginx面板去重载配置以及重启操作!以防万一这两项操作必须都进行!

新建网站

新建网站时,域名后边加除80的其他端口。这里我修改成81
宝塔部署「免费WAF」长亭雷池防护个人网站_第1张图片

网站开启ssl后需要修改端口除443的其他端口。这里我修改成8443
宝塔部署「免费WAF」长亭雷池防护个人网站_第2张图片

安装长亭waf

官网提供了三种安装方式,这里我选择在线安装,使用命令:

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

根据脚本提示安装,完成后是这样的
宝塔部署「免费WAF」长亭雷池防护个人网站_第3张图片

浏览器打开后台管理页面 https://:9443。根据界面提示,使用 支持 TOTP 的认证软件或者小程序 扫描二维码,然后输入动态口令登录:
宝塔部署「免费WAF」长亭雷池防护个人网站_第4张图片

看到这个页面说明 长亭waf 安装成功啦。
宝塔部署「免费WAF」长亭雷池防护个人网站_第5张图片

配置防护网站

宝塔部署「免费WAF」长亭雷池防护个人网站_第6张图片
宝塔部署「免费WAF」长亭雷池防护个人网站_第7张图片

配置https

宝塔部署「免费WAF」长亭雷池防护个人网站_第8张图片

测试防护效果

  • 确认网站可以正常访问
  • 尝试手动模拟攻击
  • 模拟 SQL 注入,请访问 http://:<端口>/?id=1%20AND%201=1
  • 模拟 XSS,请访问 http://:<端口>/?html=
  • 通过浏览器,你将会看到雷池已经发现并阻断了攻击请求。
    宝塔部署「免费WAF」长亭雷池防护个人网站_第9张图片

宝塔部署「免费WAF」长亭雷池防护个人网站_第10张图片

配置cdn

我们还可以添加cdn来加速自己的网站来达到隐藏源站的需求,加速的域名是防护网站的域名,回源端口默认的就好,这里提醒一下:建议回源协议ssl 懂的都懂。

你可能感兴趣的:(宝塔面板waf博客搭建免费运维)