飞致云1panel v1.9.2 + 雷池WAF社区版 v4.0

可能有许多人都有这个需求:为自己的个人站点套上WAF,增加安全性,本文将介绍如何将1panel面板深度结合长亭雷池防火墙实现为个人站点套上WAF并且自动续签ssl证书。

由于1panel和雷池WAF功能更新较快,上一篇文章已经不再适合最新版本,故重新以最新版本进行更新。

前提条件:

  1. 服务器IP已绑定域名

  2. 1panel未安装OpenResty

  3. 支持 TOTP 的认证软件,如腾讯身份验证器,谷歌身份验证器,微软身份验证器,FreeOTP,Bitwarden等

安装1panel

参考1panel官方文档,有详细的一键部署教程。
若在部署过程中出现问题,绝大多数都是由于网络原因导致docker安装失败,可手动运行一键脚本安装:

国际网络:

curl -fsSL https://get.docker.com/ | sh

国内网络(使用阿里云镜像):

curl -fsSL https://get.docker.com/ | sh --mirror Aliyun

安装OpenResty

如图找到OpenResty,点击安装。
在这里插入图片描述

在安装配置页注意:修改HTTP/HTTPS的默认端口,后期WAF对外使用会占用80,443端口。这里改为180,1443,点击确认安装OpenResty。

在这里插入图片描述

此处安装取决于服务器连接 dockerhub 的速度,若为国内服务器或速度过慢,可在容器-配置-镜像加速中填入如下配置:

https://dockerproxy.com
https://hub-mirror.c.163.com
https://docker.m.daocloud.io
https://ghcr.io
https://mirror.baidubce.com
https://docker.nju.edu.cn

站点搭建

如图,按照顺序点击创建网站

在这里插入图片描述

静态网站搭建

点击创建静态网站主域名填写站点域名其他域名填写 127.0.0.1:任意未占用端口,如此处127.0.0.1:10000,点击确定创建静态网站。

在这里插入图片描述

反向代理网站搭建

反向代理本机的各种工具类站点,以Alist为例,安装时若未选择 端口外部访问,1panel会将其服务端口映射到127.0.0.1而非0.0.0.0,故适合使用反向代理搭建。

在这里插入图片描述

主域名填写站点域名其他域名填写 127.0.0.1:任意未占用端口,如此处127.0.0.1:10001,点击确定创建反向代理。

在这里插入图片描述

运行环境(PHP)网站搭建

PHP站点的搭建,需要先创建运行环境,如下图:

在这里插入图片描述
在这里插入图片描述

等待安装PHP环境

在这里插入图片描述

当状态转为正常时即安装完毕。

点击创建网站,选择运行环境主域名填写站点域名,其他域名填写 127.0.0.1:任意未占用端口,如此处127.0.0.1:10003,点击确定创建反向代理。

在这里插入图片描述

一键部署网站搭建

一键部署参考此处https://docs.halo.run/getting-started/install/1panel/,注意其他域名填写 127.0.0.1:任意未占用端口

证书申请

新版本雷池已支持自动申请更新免费证书,故不再需要从1panel借调证书来使用,详细见下文

安装雷池

参考雷池官方文档,同样有详细的一键部署教程。
若在部署过程中出现问题,可查看是否为文档
中所提到的环境问题

使用https://IP:9443访问WAF

飞致云1panel v1.9.2 + 雷池WAF社区版 v4.0_第1张图片

使用支持TOTP的认证软件进行认证

飞致云1panel v1.9.2 + 雷池WAF社区版 v4.0_第2张图片

证书管理

在雷池通用配置-证书管理中添加证书,可申请免费证书,在雷池反代本机站点时可套用。

防护

为保证网站流量均从WAF进入,在1panel中开启防火墙,具体可参考官方文档,屏蔽掉之前配置的OpenResty的默认端口。

结语

新版雷池添加了证书申请功能,大大降低面板对接WAF的证书问题,更快,更简单的上线站点。

你可能感兴趣的:(安全)