雷池WAF入门教学-添加防护站点（常见web应用模式都有）

雷池WAF开始配置一个站点防护

欢迎访问我的小站-分享技术

原创贴 转载请标明来源

一、登录

浏览器打开后台管理页面 访问 https://雷池服务器地址:9443

1. 绑定动态口令

需要使用TOTP的MFA认证软件先扫描登录页下方的二维码完成绑定动态口令

什么是MFA和TOTP?

• MFA 多因子认证（Multi-Factor Authentication），简称MFA，是一种基于用户行为密码、短信、令牌、动态口令、生物特征等组合方式，用于验证用户身份的认证方式。
• TOTP 时间令牌（Time-Based One-Time Password，简称TOTP），是一种基于时间、动态口令的认证方式，用于验证用户身份的认证方式。

目前支持的TOTP软件有：

• 腾讯身份验证器app（推荐）
• 谷歌身份验证器
• 微软身份验证器

1. 打开腾讯身份验证器通过二维码扫描登录页面的二维码

2. 点击完成绑定

3. 输入动态口令

   

   如果提示

   

   雷池服务器和身份验证器服务器时间误差不能超过1分钟

建议雷池服务器安装ntpdate 做时间同步
yum install -y ntpdate
ntpdate -u ntp.sjtu.edu.cn

二、配置防护站点

雷池WAF防护站点的工作机制是通过nginx反向代理做被防护站点的前置代理服务器，通过nginx来对用户请求流量中的攻击行为进行检测和清洗，将清洗过后的流量转发给网站服务器，网站服务器再将响应返回给雷池WAF，雷池再将相应包回给用户，完成一次网站访问请求。

网站请求流量转发说明

未部署WAF的请求

部署雷池WAF的请求

添加防护站点（HTTP应用）

目前常见的集中部署方式

1. 网站应用和雷池WAF在同一台服务器

网站应用（示例）：http://www.waf.com:80

具体端口和域名根据实际替换即可 这种情况下分两种方式部署防护站点 注意：因为WAF和应用是在同一台服务器上，因此防护站点端口和网站应用自身端口不能重复，否则会出现端口冲突，同一台服务器上不能出现两个相同的TCP端口

第一种 应用部署端口不变

• 已部署端口不变，更改访问端口

www.waf.com:8000----->127.0.0.1:80
域名：配置自己网站的域名
端口：其他端口，只要和网站服务器已有端口不重复即可
上游服务器：http://127.0.0.1:80 替换自己网站应用服务器实际的端口

第二种 访问端口不变

• 用户访问端口不变，更改部署应用端口

www.waf.com:80----->127.0.0.1:8000(原80端口)
域名：配置自己网站的域名
端口：网站应用已发布访问端口
上游服务器：http://127.0.0.1:8000 替换自己网站应用已修改后的端口

2. 网站应用和雷池在不同服务器上

这种方式也比较常见，这种方式比较推荐（因为可以避免端口冲突）

网站应用（示例）：http://www.waf.com:80

这种方式有两种，一种是应用服务器前面已有nginx反向代理，另一种是 应用服务器前面没有nginx反向代理

第一种 应用服务器前面没有nginx反向代理

• 这种情况下需要修改dns解析，将现有解析到应用的IP修改为解析到WAF的IP

www.waf.com:80----->WAF_ningx:80----->应用:80
1. 添加防护站点
域名：www.waf.com(替换为自己实际的域名)
端口：80 （替换为自己实际的端口）
上游服务器：http://应用服务器网络可达的IP:80
1. 修改域名解析

第二种 应用服务器前面已有nginx反向代理

• 这种情况下需要修改nginx配置，将现有请求转发到WAF

www.waf.com:80----->应用nginx反代:80----->WAF_nginx:80----->应用:80
1. 添加防护站点
域名：www.waf.com(替换为自己实际的域名)
端口：80 （替换为自己实际的端口）
上游服务器：http://应用实际IP:80

3. 网站应用前有SLB负载均衡

这种情况下建议采用WAF前置到SLB的方式，然后修改DNS解析到WAF

www.waf.com:80----->WAF_nginx:80----->SLB:80
1. 添加防护站点
域名：www.waf.com(替换为自己实际的域名)
端口：80 （替换为自己实际的端口）
上游服务器：http://SLB虚拟IP:80
2. 修改域名解析
将域名从解析到SLB修改为解析到WAF

添加防护站点（HTTPS应用）

首页准备网站域名绑定的SSL证书crt文件和密钥文件key

1、添加防护站点 2、勾选SSL

3、上传证书和密钥 4、如果网站应用本身是https 则修改对应端口和协议 示例：https://www.waf.com:443 5、提交 对照HTTPS方式配置响应方式的站点即可，只需要修改对应https和端口443即可。