一款國產(chǎn)開源 Web 防火墻神器!
隨著開源 Web 框架和各種建站工具的興起,搭建網(wǎng)站已經(jīng)是一件成本非常低的事情,但是網(wǎng)站的安全性很少有人關(guān)注,以至于 WAF 這個品類也鮮為人知。
一、WAF 是什么?
WAF 是 Web 應(yīng)用防火墻(Web Application Firewall)的縮寫,也就是我們俗稱的網(wǎng)站防火墻。它可以保護(hù)網(wǎng)站不被黑客所攻擊,通常以 Web 網(wǎng)關(guān)的形式存在,作為反向代理接入。WAF 可以識別常見的 Web 攻擊并實(shí)施阻斷,比如:SQL 注入、跨站腳本攻擊(XSS)、跨站請求偽造(CSRF)、服務(wù)端請求偽造(SSRF)、WebShell 上傳與通信等等。
圖片
二、雷池
今天 HelloGitHub 給大家?guī)淼氖且豢铋_箱即用、功能強(qiáng)大、廣受好評的網(wǎng)站防護(hù)工具——雷池 WAF,不讓黑客越雷池半步。
GitHub:https://github.com/chaitin/safeline
雷池是一款簡單易用、廣受好評的社區(qū) WAF 項目,它底層基于 Nginx 的 Web 網(wǎng)關(guān),作為反向代理接入網(wǎng)絡(luò),清洗來自黑客的惡意流量,保護(hù)你的網(wǎng)站不受黑客攻擊。雷池?fù)碛杏押玫?Web 界面,就算你不具備網(wǎng)絡(luò)安全技術(shù)背景,也可以通過它發(fā)揮出頂尖的網(wǎng)站防護(hù)效果。
雷池由國內(nèi)頂尖的網(wǎng)絡(luò)信息安全公司長亭科技,在今年 4 月開源的網(wǎng)站防火墻工具。它迭代速度相當(dāng)驚人,短短四個月的時間共發(fā)布了 31 個版本,被 1.8w 的網(wǎng)站站長使用,在 GitHub 收獲了 3K+ 的 Star?。
圖片
下面,就讓我們一起上手這款國產(chǎn)開源網(wǎng)站防火墻神器吧!
三、安裝部署
雷池采用容器化部署的方式,服務(wù)由多個 Docker 容器組成,支持簡單方便的一條龍安裝腳本。只要服務(wù)器能聯(lián)網(wǎng),執(zhí)行安裝腳本后,自動拉取鏡像、初始化配置文件、啟動服務(wù)一氣呵成。
3.1 一條命令安裝
直接使用在線安裝腳本。
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"3.2 克隆倉庫安裝
克隆倉庫后,執(zhí)行 setup.sh 腳本即可安裝。
git clone git@github.com:chaitin/safeline.git
cd safeline
bash ./setup.sh3.3 安裝成功
整個安裝過程對新手十分友好,提示詞為中文、自動安裝 Docker 等,只需按照提示一路向下即可。
____ __ _ _
/ ___| __ _ / _| ___ | | (_) _ __ ___
\___ \ / _` | | |_ / _ \ | | | | | '_ \ / _ \
___) | | (_| | | _| | __/ | |___ | | | | | | | __/
|____/ \__,_| |_| \___| |_____| |_| |_| |_| \___|
[SafeLine] 腳本調(diào)用方式確認(rèn)正常
[SafeLine] 缺少 Docker 環(huán)境
[SafeLine] 是否需要自動安裝 Docker (Y/n)
# Executing docker install script, commit: xxx
...
[SafeLine] 雷池安裝目錄 (留空則為 '/data/safeline'):
[SafeLine] 目錄 '/data/safeline' 當(dāng)前剩余存儲空間為 47G ,雷池至少需要 5G,是否確定 (Y/n)
[SafeLine] 創(chuàng)建安裝目錄 '/data/safeline' 成功
...
[SafeLine] 雷池 WAF 社區(qū)版安裝成功,請訪問以下地址訪問控制臺
[SafeLine] https://0.0.0.0:9443/ # 安裝成功安裝完成后,根據(jù)提示訪問本地的 Web 服務(wù)端口即可開始使用。
四、工作原理
下面將通過簡單的 WAF 部署架構(gòu)圖,介紹雷池的工作原理。
下圖是一個簡單的網(wǎng)站拓?fù)洌獠坑脩舭l(fā)出請求,經(jīng)過網(wǎng)絡(luò)最終傳遞到網(wǎng)站服務(wù)器。
此時,若外部用戶中存在惡意用戶,那么由惡意用戶發(fā)出的攻擊請求也會經(jīng)過網(wǎng)絡(luò)最終傳遞到網(wǎng)站服務(wù)器。
圖片
雷池以反向代理方式接入,優(yōu)先于網(wǎng)站服務(wù)器接收流量,對流量中的攻擊行為進(jìn)行檢測和清洗,將清洗過后的流量轉(zhuǎn)發(fā)給網(wǎng)站服務(wù)器。
通過以上行為,可以在請求到達(dá)網(wǎng)站服務(wù)器前過濾掉惡意請求,最終確保外部攻擊流量無法觸達(dá)網(wǎng)站服務(wù)器。
圖片
五、核心能力
雷池是一款內(nèi)外兼修的網(wǎng)站防火墻,它不光有好看的界面,還有強(qiáng)大的網(wǎng)站安全防護(hù)功能。
5.1 防護(hù) Web 攻擊、CC 攻擊、爬蟲
雷池的 Web 攻擊檢測能力由語義分析算法驅(qū)動,不同于通用的語義分析,雷池的自動機(jī)引擎 yanshi 可以支持對片段語法進(jìn)行分析,對 HTTP 請求參數(shù)進(jìn)行自動化遞歸解碼,提取請求參數(shù)中的攻擊片段,并通過攻擊打分模型對參數(shù)中的攻擊代碼進(jìn)行識別,最終判定 HTTP 請求是否為惡意攻擊,具備對通用攻擊的防護(hù)能力,也具備泛化識別能力,可以實(shí)現(xiàn)無規(guī)則檢測 0Day 攻擊。
雷池集成了基于惡意 IP 情報、客戶端指紋、鼠標(biāo)鍵盤行為識別、訪問頻率限制的人機(jī)驗證算法,可用來對抗爬蟲、對抗掃描、對抗 CC 攻擊。
圖片
圖片
5.2 Web 流量訪問控制
雷池支持通過可視化頁面配置網(wǎng)站的訪問控制黑白名單,允許匹配源 IP、路徑、域名、Header、Body 等條件。
圖片
5.3 網(wǎng)站資源識別
雷池基于 HTTP 流量自動識別 Web 資源,從而生成 API 畫像持續(xù)統(tǒng)計和分析。采用動態(tài)基線和預(yù)測分析技術(shù)分析異常訪問行為,精準(zhǔn)識別操作正常但請求異常的攻擊行為,從正常行為中檢測出異常流量。
圖片
六、最后
雷池是長亭科技耗時近 10 年打造的開源網(wǎng)站防火墻,具有開箱即用、企業(yè)防護(hù)能力、高性能等特點(diǎn)。
- 開箱即用:安裝只需要一條命令,界面簡單易操作。
- 功能強(qiáng)大:首創(chuàng)的語義分析驅(qū)動的 Web 攻擊檢測算法,支持 IP 威脅情報、動態(tài)限頻、智能建模等企業(yè)級產(chǎn)品才有的高級防護(hù)能力。
- 高性能:在 Nginx 之上增加了攻擊檢測能力,輕松支撐 10000+ TPS 流量,攻擊檢測帶來的延遲在 1 毫秒級別。
如果你使用后覺得雷池還不錯,就給它點(diǎn)一個 Star? 吧!
GitHub:https://github.com/chaitin/safeline
