最近搭建了一个网站当前,总感觉裸奔的网站十分不平安,须要加上防护措施。加一套 waf 防火墙,而后就能够安心的睡觉了。因为服务器应用了宝塔 1 治理,所以我须要既能跟宝塔一起用的 waf。
先说论断
- 宝塔自带 waf 免费;
- 宝塔软件商店里 waf 要么不适合,要么门槛太高,不好用;
- 其它收费 waf 大多要命令行装置,施展不了宝塔劣势。
最好是有一个能在宝塔 docker 上运行的防火墙,既能用宝塔治理服务状态,又能有本人治理界面的 waf,而且要收费,还得无效。所以,我最初抉择用 docker compose 模板 + 雷池 waf 社区版。装置办法参考我的另一篇文章 https://www.jianshu.com/p/978e08095628
waf 比照
宝塔内置 waf
既然用宝塔做服务治理,第一反馈就是在宝塔上找找没有适合的 waf。在十分显眼的中央,找到了“防火墙”入口,而后看到了十分显眼的“立刻购买”。本着来都来了的想法,看了一下官网防火墙的性能介绍2,性能还是十分多的,各位看官有钱的捧个钱场,我只能捧集体场。
另外依据文档介绍,nginx 防火墙是基于 Lua 实现的,也就是说这个防火墙的实质是人工规定,人工规定防火墙在防护能力上能够抵挡常见攻打,只能亡羊补牢不能防患未然。宝塔内置 waf 还有一个 Apache 版本3,与 nginx 相似,只是一个基于 Apache 一个基于 Nginx,这两者的差异见仁见智,宝塔官网举荐的是 nginx 版本。
宝塔软件商店中的收费 waf
宝塔自带了一个软件商店,抱着试试看的态度搜了一下,还真找到了 3 款 waf。前两个是官网内置的免费版,第 3 个则是免费版。这一看,不得了啊,这是打算跟官网同台竞技啊。连忙装上试试。
感激作者“民国三年一场雨”,民国三年就是 1914 年,一百多年过来了,也不晓得雨里产生什么。思考到这个利用只有 403.95k 大小,总感觉这个性能可能没有想的那么多。
依据配置界面,启用防护,而后试着发动一次攻打申请,而后被拦挡了。后盾治理界面看到的成果记录是
拦挡成果是
拦挡页面上还有提醒,误报请分割宝塔 http://www.bt.cn/bbs?这不是官网 waf 么?为什么非要假装一下本人?在一个荫蔽角落还找到一个“教程”链接4,发帖人是宝塔技术 - 小强5,这下是官网的收费 waf 没跑了。
另外我还发现,这个收费防火墙,在软件商店里浏览的时候是找不到的,必须搜寻能力搜进去。所以,其实,人家是不心愿你持续应用这个 waf 的。并且在应用时,还遇到了其它问题
- 治理界面不好找
我须要先进利用商店,搜寻 waf,而后找到之后,在通过“设置”按钮进入。
- 进攻类型固定
想要进攻什么类型的攻打,都是提前设置好的,只能进攻这么多,并且不能新增。
- 内置规定太少
每种进攻类型都须要自行配置,尽管有内置规定,但规定不多,并且都是比拟常见的规定。
总体体验下来,有种我进攻了,但如同进攻不高的感觉。
而且,这是怎么回事?我宝塔本人的 WordPress 用宝塔本人的防火墙扫描,怎么还扫出 2 个 webshell?这是谁出问题了?
其它 waf
😔很久没更新了:https://github.com/httpwaf/httpwaf2.0
😔不好塞进宝塔里:https://github.com/openresty/
😔老牌我的项目了,然而外国产品,用不惯:https://www.modsecurity.org/
😔这个不错,然而也没法塞进宝塔里:http://www.goodwaf.cn/
✅ 巧了,这个原生 docker,刚好兼容宝塔,稍加革新,顺利上线,看看我的 waf 效果图。https://waf-ce.chaitin.cn/
- https://www.bt.cn/new/index.htmlahref=#fnref-1class=footnote-…
- https://www.bt.cn/new/product_nginx_firewall.htmlahref=#fnref…
- https://www.bt.cn/new/product/btwaf_httpd.htmlahref=#fnref-3c…
- https://www.bt.cn/bbs/thread-57590-1-1.htmlahref=#fnref-4clas…
- https://www.bt.cn/bbs/home.php?mod=space&uid=34807ahref=#fnre…