雷池WAF
雷池WAF(Web Application Firewall,网络应用防火墙)是由长亭科技开发的一个网络安全产品,它专注于保护Web应用免受黑客攻击。
今天主要讲的是长亭雷池最近新出的功能:动态防护
安装
雷池WAF支持多种安装方式:sh脚本安装、离线安装、牧云助手安装
本篇文章以牧云助手为例:(需要您注册长亭百川云平台账号,之后使用云主机管理助手相关命令进行绑定主机)
点击确认后开始安装,因为实际使用Docker镜像安装,会首先检测服务器是否安装了Docker。
下图为拉取镜像日志
首次登录
首先会让我们阅读授权许可协议,在之后我们需要先使用安装完成后提供的账号密码进行登录。
忘记密码
账号密码在我们上面安装日志最后会出现,如果忘记也可以使用下面命令重置:
docker exec safeline-mgt resetadmin
安装成功
在登录成功后便进入了dashboard主界面,同时我们要注意版本要>=6.0.0
开启2fa双向验证
出于安全考虑我们可以在登录后依次点击:“系统设置 -> 雷池控制台登录设置”,开启后会退出登录跳转到登录页面让我们再次输入账号密码,之后会出现如下图所示绑定验证器的二维码,完成绑定后点击完成按钮输入一次动态口令即可成功。
支持TOTP 2FA的验证器有很多,我使用的微软验证器:
添加防护站点
步骤很简单,如下图所示,根据自己需求来配置:
高级防护功能之动态防护
现在提供了三种防护功能,分别以下含义:
- 人机验证:当用户访问您的网站时,雷池会预先检查客户端环境的合法性,真人用户会被放行,爬虫和自动化程序发起的请求将被拒之门外。
- 身份验证:当用户访问您的网站时,需要输入您在下方配置的用户名和密码信息,不持有下方信息的用户将被拒之门外。
- 动态防护:该功能开启后,您网站中的 html 和 javascript 代码在每次访问时都会被动态加密为不同的随机形态,可以有效阻止爬虫和攻击自动化利用程序。
不得不说,这次新出的功能很强,雷池WAF的发展举目可鉴,国内外少有的开源Web应用防火墙。
下面来体验一下他的强大之处:
未开启动态防护
我们查看了项目的源代码,这和开发环境中的没有任何区别
开启动态防护后
开启动态防护后,代码被混淆加密,并且每次都不同
开启动态防护后页面被混淆,先经过解密:
相关链接
雷池WAF:https://waf-ce.chaitin.cn/
文档:https://waf-ce.chaitin.cn/docs/guide/install