长亭雷池 WAF 安装配置及推荐规则

PYLinTech
发布于 2024-10-19 / 371 阅读
4
0

 

引言

在当今数字化时代,保护 Web 应用的安全不仅保护站点内容不被篡改,还将减轻站点的运营成本。

Web 应用防火墙(WAF)作为保护 Web 应用不受恶意攻击的关键技术应用,其重要性日益凸显。

WAF的工作原理

WAF 通常部署在 Web 服务器之前,对所有进入的 HTTP/HTTPS 请求进行过滤,通过内置的安全规则来识别和阻断恶意流量。

WAF的规则引擎可以配置为拦截、允许或记录特定的请求,从而保护后端服务器不受SQL注入、跨站脚本(XSS)和其他攻击的影响。

WAF 的选用

本站尝试过不同厂商开发的 WAF 产品,主要用过:

奇安信云锁(手动编译 nginx,规则更新少)

长亭雷池 WAF(推荐)

南墙(性能占用稍多)

宝塔免费 WAF(规则少)

▸1Panel 面板自带 WAF(基础的规则防护)

此处将介绍安装长亭雷池 WAF 及后续配置。

安装长亭雷池 WAF

安装命令:

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

安装过程根据提示操作(输入 y 确定,配置用户名密码等)。

安装完成后,服务器防火墙放通 9443 端口,使用 IP:9443 地址访问控制面板。

在“防护站点>站点管理”添加站点:

(此处没有使用前置的反向代理)

按下面格式配置并放开 80,443 端口,同时在“防护站点>代理设置”中开启“强制 HTTPS”。

QQ20240817-235930.png

添加本机地址,大致有如下几种,视具体情况而定。

http://localhost:1234

https://localhost:1234

http://127.0.0.1:1234

https://127.0.0.3:1234

推荐几个规则

WordPress 管理后台防护规则

防护配置>自定义规则>添加“身份认证规则”。

此处两个条件是同时满足才会执行的,因此可先增加 Host 匹配,限定规则要作用的网站。

QQ20240818-000151.png

第二个条件是“路径+正则表达式”,匹配内容是:

wp-admin(?!/admin-ajax)|wp-login

意思是当路径中含有 wp-admin 和 wp-login 其中任意一个,则该条件满足。

最后添加用户名和密码,保存生效后测试。

(规则更新:优化兼容评论功能)

Alist 后台管理防护规则

类似上一规则,添加正则表达式:

^/@login|^/@manage

Alist 误报解除规则

截止发文时间,在开启 XSS 攻击检测后,使用 Alist 管理后台修改设置时,会被雷池当做恶意攻击而被拦截,主观体现是 Alist 点击保存时出现长时间不动。

推荐的解决方法是,保持 XSS 攻击检测,手动添加白名单规则如下:

QQ20240818-000310.png

在 路径>正则表达式 添加:

^/api/admin/setting/save

(可选继续增加 WebDav 误报解除)在 路径>正则表达式 添加:

^/dav|^/api/admin/setting/save

最终效果

QQ20240818-000446.png

QQ20240818-000602.png

诸如此类的扫描器是拦截类型当中最多的,有一则统计数据表明,Web 网站有 10% 左右的流量来自扫描器(详见文章)。

扫描器算是最低端的拦截对象了,我的站点这几天的拦截类型还有“信息泄露(config 文件)”、“反序列化(ajax.php)”等。

服务器只要联网开机,就是要面对这充满各种未知威胁的网络空间。

最后补充一句,安全防护做的再好,还是需要多备份以防万一(快照或者手动备份)。 

☑ 图片授权:稿定设计

☆ 原创文章,未经允许不得转载


评论