雷池WAF入门教学-添加防护站点(常见web应用模式都有)

雷池WAF开始配置一个站点防护

欢迎访问我的小站-分享技术

原创贴 转载请标明来源

一、登录

浏览器打开后台管理页面 访问 https://雷池服务器地址:9443

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第1张图片

1. 绑定动态口令

需要使用TOTP的MFA认证软件先扫描登录页下方的二维码完成绑定动态口令

什么是MFA和TOTP?

  • MFA 多因子认证(Multi-Factor Authentication),简称MFA,是一种基于用户行为密码、短信、令牌、动态口令、生物特征等组合方式,用于验证用户身份的认证方式。
  • TOTP 时间令牌(Time-Based One-Time Password,简称TOTP),是一种基于时间、动态口令的认证方式,用于验证用户身份的认证方式。

目前支持的TOTP软件有:

  • 腾讯身份验证器app(推荐)
  • 谷歌身份验证器
  • 微软身份验证器
  1. 打开腾讯身份验证器通过二维码扫描登录页面的二维码

  2. 点击完成绑定

  3. 输入动态口令

    雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第2张图片

    如果提示

    雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第3张图片

    雷池服务器和身份验证器服务器时间误差不能超过1分钟

建议雷池服务器安装ntpdate 做时间同步
yum install -y ntpdate
ntpdate -u ntp.sjtu.edu.cn

二、配置防护站点

雷池WAF防护站点的工作机制是通过nginx反向代理做被防护站点的前置代理服务器,通过nginx来对用户请求流量中的攻击行为进行检测和清洗,将清洗过后的流量转发给网站服务器,网站服务器再将响应返回给雷池WAF,雷池再将相应包回给用户,完成一次网站访问请求。

网站请求流量转发说明

未部署WAF的请求

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第4张图片

部署雷池WAF的请求

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第5张图片

添加防护站点(HTTP应用)

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第6张图片

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第7张图片

目前常见的集中部署方式

1. 网站应用和雷池WAF在同一台服务器

网站应用(示例):http://www.waf.com:80

具体端口和域名根据实际替换即可 这种情况下分两种方式部署防护站点 注意:因为WAF和应用是在同一台服务器上,因此防护站点端口和网站应用自身端口不能重复,否则会出现端口冲突,同一台服务器上不能出现两个相同的TCP端口

第一种 应用部署端口不变
  • 已部署端口不变,更改访问端口
www.waf.com:8000----->127.0.0.1:80
域名:配置自己网站的域名
端口:其他端口,只要和网站服务器已有端口不重复即可
上游服务器:http://127.0.0.1:80 替换自己网站应用服务器实际的端口

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第8张图片

第二种 访问端口不变
  • 用户访问端口不变,更改部署应用端口
www.waf.com:80----->127.0.0.1:8000(原80端口)
域名:配置自己网站的域名
端口:网站应用已发布访问端口
上游服务器:http://127.0.0.1:8000 替换自己网站应用已修改后的端口

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第9张图片

2. 网站应用和雷池在不同服务器上

这种方式也比较常见,这种方式比较推荐(因为可以避免端口冲突)

网站应用(示例):http://www.waf.com:80

这种方式有两种,一种是应用服务器前面已有nginx反向代理,另一种是 应用服务器前面没有nginx反向代理

第一种 应用服务器前面没有nginx反向代理
  • 这种情况下需要修改dns解析,将现有解析到应用的IP修改为解析到WAF的IP
www.waf.com:80----->WAF_ningx:80----->应用:80
1. 添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://应用服务器网络可达的IP:80
1. 修改域名解析

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第10张图片

第二种 应用服务器前面已有nginx反向代理
  • 这种情况下需要修改nginx配置,将现有请求转发到WAF
www.waf.com:80----->应用nginx反代:80----->WAF_nginx:80----->应用:80
1. 添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://应用实际IP:80

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第11张图片

3. 网站应用前有SLB负载均衡

这种情况下建议采用WAF前置到SLB的方式,然后修改DNS解析到WAF

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第12张图片

www.waf.com:80----->WAF_nginx:80----->SLB:80
1. 添加防护站点
域名:www.waf.com(替换为自己实际的域名)
端口:80 (替换为自己实际的端口)
上游服务器:http://SLB虚拟IP:80
2. 修改域名解析
将域名从解析到SLB修改为解析到WAF

添加防护站点(HTTPS应用)

首页准备网站域名绑定的SSL证书crt文件和密钥文件key

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第13张图片

1、添加防护站点 2、勾选SSL

雷池WAF入门教学-添加防护站点(常见web应用模式都有)_第14张图片

3、上传证书和密钥 4、如果网站应用本身是https 则修改对应端口和协议 示例:https://www.waf.com:443 5、提交 对照HTTPS方式配置响应方式的站点即可,只需要修改对应https和端口443即可。

你可能感兴趣的:(web安全,网络安全,web,app,云原生)