CentOS7雷池WAF基于Docker搭建部署_centos 部署waf(1)，妈妈再也不用担心我的面试

安装docker所需要的依赖包

yum install -y yum-utils device-mapper-persistent-data lvm2

配置yum源

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

查看仓库中所有的docker版本

yum list docker-ce --showduplicates | sort -r

安装docker的最新版本，不指定版本号即默认安装

yum install -y docker-ce

（如果要指定版本号安装可以输入命令：yum install docker-ce-18.09* -y ，此时指定的就是docker-ce-18.09的版本）

设置docker为开机自启

systemctl start docker

systemctl enable docker

验证docker是否安装成功

docker -version

什么是 WAF

WAF 是 Web Application Firewall 的缩写，也被称为 Web 应用防火墙。区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击

什么是雷池

长亭科技耗时近 10 年倾情打造的 WAF

为什么是雷池

便捷性

采用容器化部署，一条命令即可完成安装，0 成本上手安全配置开箱即用，无需人工维护，可实现安全躺平式管理

安全性

首创业内领先的智能语义分析算法，精准检测、低误报、难绕过

语义分析算法无规则，面对未知特征的 0day 攻击不再手足无措

高性能

无规则引擎，线性安全检测算法，平均请求检测延迟在 1 毫秒级别并发能力强，单核轻松检测 2000+ TPS，只要硬件足够强，可支撑的流量规模无上限

高可用

流量处理引擎基于 Nginx 开发，性能与稳定性均可得到保障内置完善的健康检查机制，服务可用性高达 99.99%

WAF 部署架构

社区版雷池以反向代理方式接入，优先于网站服务器接收流量，对流量中的攻击行为进行检测和清洗，将清洗过后的流量转发给网站服务器

安装雷池

配置需求

• 操作系统：Linux
• 指令架构：x86_64
• 软件依赖：Docker 20.10.14 版本以上
• 软件依赖：Docker Compose 2.0.0 版本以上
• 最小化环境：1 核 CPU / 1 GB 内存 / 5 GB 磁盘

uname -m # 查看指令架构
docker version # 查看 Docker 版本
docker compose version # 查看 Docker Compose 版本
docker-compose version # 同上（兼容老版本 Docker Compose）
cat /proc/cpuinfo # 查看 CPU 信息
cat /proc/meminfo # 查看内存信息
df -h # 查看磁盘信息
lscpu | grep ssse3 # 确认 CPU 是否支持 ssse3 指令集

有三种安装方式供选择

• 在线安装 : 推荐安装方式
• 离线安装 : 服务器无法连接 Docker Hub 时选择
• 一键安装 : 最简单的安装方式

在线安装

如果服务器可以访问互联网环境，推荐使用该方式

bash -c “$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)”

离线安装

如果你的服务器无法连接互联网环境，或连接 Docker Hub 网络不稳，可以使用镜像包安装方式

首先，下载 雷池社区版镜像包 并传输到需要安装雷池的服务器上

cat image.tar.gz | gzip -d | docker load

mkdir -p safeline # 创建 safeline 目录
cd safeline # 进入 safeline 目录

下载 编排脚本 并传输到 safeline 目录中

echo “SAFELINE_DIR=$(pwd)">>.envecho"IMAG{E}_{T}AG=latest">>.envecho"MG{T}_{P}ORT=9443">>.envecho"POSTGRE{S}_{P}ASSWORD=$(LC_ALL=C tr -dc A-Za-z0-9 </dev/urandom | head -c 32)” >> .env
echo “REDIS_PASSWORD=$(LC_ALL=C tr -dc A-Za-z0-9 </dev/urandom | head -c 32)” >> .env
echo “SUBNET_PREFIX=172.22.222” >> .env

docker compose up -d

使用牧云助手安装

也可以使用 牧云主机管理助手 进行一键安装

登录雷池

浏览器打开后台管理页面 https://:9443。根据界面提示，使用 支持 TOTP 的认证软件或者小程序 扫描二维码，然后输入动态口令登录（腾讯身份验证器APP）

配置防护站点

界面操作

添加后，在客户端执行 curl -H “Host: <域名>” http://<雷池 IP>:<雷池监听端口> ，若能获取到业务网站的响应，并且站点上 “今日访问量” 增加，则代表配置成功

如何配置域名、端口、上游服务器 工作原理 雷池社区版主要以 反向代理 的方式工作，类似于一台 nginx 服务。部署时，需要让网站流量先抵达雷池，经过雷池检测和过滤后，再转给原来的网站业务。

如果你不了解反向代理的工作原理，可以通过以下几种雷池常见的工作场景，来了解如何配置站点。

假设你的网站域名为 example.com，如图

在单独设备上部署雷池（推荐）

如果你可以提供一台独立设备部署雷池，那么你需要：

1. 将网站流量指向雷池。例如将域名解析到雷池
2. 禁止网站服务器上，所有除了雷池之外的访问。例如配置防火墙，或者直接把网站服务器放到内网

效果大致如下：

雷池上相应的站点配置为：

域名：公网域名 example.com 端口：80 或 443/ssl 上游服务器：网站服务器的地址 http://192.168.10.10

直接在网站服务器上部署雷池

提示：不建议这样部署，因为这样单机的负载更高、设备宕机的概率更大。非纯净的环境还会提高安装失败的概率，故障排查也会比较困难

如果能接受这些风险，雷池也可以直接部署在网站服务器上。你需要：

1. 将原本监听 80 或 443/ssl 端口的网站服务改到其他端口，让雷池监听设备的 80 或 443/ssl 端口
2. 使网站服务仅允许本机访问。例如配置系统防火墙、Iptables

效果大致如图

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-WKnXA46x-1712649310563)]