写点什么

11K star!开源 WAF 的 NO1,不花钱也能搞定安全

  • 2024-07-22
    湖南
  • 本文字数:1967 字

    阅读完需:约 6 分钟

当我们的网站上线后首先会遇到什么,可能不一定是自己的客户,而是来自网络的攻击。


今天我们分享的开源项目,它是登顶 GITHUB 的开源 WAF,让黑客不敢越雷池一步,并且还是国产的开源项目,它就是:雷池(SafeLine)

雷池是什么?


雷池(SafeLine)是一款足够简单、足够好用、足够强的免费 WAF。基于业界领先的语义引擎检测技术,作为反向代理接入,保护你的网站不受黑客攻击。是长亭科技耗时近 10 年倾情打造,核心检测能力由智能语义分析算法驱动。

雷池以反向代理方式接入,优先于网站服务器接收流量,对流量中的攻击行为进行检测和清洗,将清洗过后的流量转发给网站服务器。通过以上行为,最终确保外部攻击流量无法触达网站服务器。

安装雷池

系统资源要求:

  • 操作系统:Linux

  • 指令架构:x86_64

  • 软件依赖:Docker 20.10.6 版本以上

  • 软件依赖:Docker Compose 2.0.0 版本以上

  • 最小化环境:1 核 CPU / 1 GB 内存 / 5 GB 磁盘


自动安装:


最简单的方式使用项目提供的一键安装脚本,用 root 用户执行以下命令即可

bash -c "$(curl -fsSLk <https://waf-ce.chaitin.cn/release/latest/setup.sh>)"
复制代码

当然如果你的服务器不能直接访问网络,那么你可以提前将项目 clone 下来,然后再执行手动安装。


手动安装:


你也可以手动安装雷池,首先需要确定你的服务器已经安装好 docker,这里就不单独说明,可以自己查一下相关介绍。


创建雷池目录

mkdir -p "/data/safeline"
复制代码

该命令会创建 /data/safeline 目录作为雷池的安装目录(你可以根据你的实际情况选择安装目录)。


请确保该目录至少有 5GB 的存储空间(如果日常流量较大,请保证充足的磁盘容量)。


下载 compose.yaml:

cd "/data/safeline"wget "<https://waf-ce.chaitin.cn/release/latest/compose.yaml>"
复制代码

创建.env 配置文件,写入一下内容:

SAFELINE_DIR={safeline-dir}IMAGE_TAG=latestMGT_PORT=9443POSTGRES_PASSWORD={postgres-password}SUBNET_PREFIX=172.22.222IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline
复制代码

启动服务:

docker compose up -d
复制代码

服务启动完成后访问本地 https://127.0.0.1:9443/ 即可开始使用。

使用雷池


安装完成后我们登录到管理界面。


配置站点


首先我们要配置一下要保护的站点,这里也说明一下,正常使用的时候,不建议把雷池和实际的业务应用部署到一台服务器上,这样对于服务器的负载会很大,存在隐患,最好是单独的一台服务器来部署雷池,之后将流量转给真实应用。

配置完成后,用浏览器访问域名,能获取到业务网站的响应,并且数据统计页的 “今日请求数” 增加,代表配置成功。

我们可以简单的模拟下对网站进行攻击,比如 SQL 注入伙 XSS 攻击:

<https://example.com/?id=1+and+1=2+union+select+1><https://example.com/?id=><img+src=x+onerror=alert()>
复制代码

不出意外的话,这些攻击都将被雷池拦截,如下图所示。


动态防护


在最新的雷池 6.0 中,发布了动态防护功能。所谓动态防护,是在用户浏览到的网页内容不变的情况下,将网页赋予动态特性,即使是静态页面,也会具有动态的随机性。雷池作为反向代理程序,经过雷池的网页代码都将被动态加密保护,动态防护可以实现很多效果,比如:

  • 保护前端代码的隐私性

  • 阻止爬虫行为

  • 阻止漏洞扫描行为

  • 阻止攻击利用行为


在站点防护站点里可以找到动态防护的设置入口。

目前提供的动态防护能力包括 HTML 动态加密和 JS 动态混淆。

动态加密可以设置到具体的路径上。

开启动态防护之后,可以在站点列表中查看到开启的状态。

之后我们来对比下开启之后页面的源码状态。

正常应该是这样的。

站点高级防护


加单个站点的高级防护配置,支持对单个站点进行额外的防护配置,黑白名单、人机验证、身份认证等。


比如人机验证,可以有效验证真人用户的流量,对爬虫, 漏洞扫描器, 蠕虫病毒等很有用。

产品特点


便捷性,采用容器化部署,一条命令即可完成安装,0 成本上手。安全配置开箱即用,无需人工维护,可实现安全躺平式管理。


安全性,首创业内领先的智能语义分析算法,精准检测、低误报、难绕过。语义分析算法无规则,面对未知特征的 0day 攻击不再手足无措。


高性能,无规则引擎,线性安全检测算法,平均请求检测延迟在 1 毫秒级别。并发能力强,单核轻松检测 2000+ TPS,只要硬件足够强,可支撑的流量规模无上限。


高可用,流量处理引擎基于 Nginx 开发,性能与稳定性均可得到保障。内置完善的健康检查机制,服务可用性高达 99.99%。

总结

总的来说,雷池一款非常不错的 WAF 产品,尤其最为开源产品它的功能和完成度非常的高,尤其还是国产的开源项目,必须要加分,希望可以发展的越来越好。从产品能力角度完全可以满足企业或个人的如此需要,如果你有 WAF 的需要,而有在成本方面存在疑虑,那么可以来试试雷池的社区版。

项目信息

  • 项目名称: SafeLine

  • GitHub 链接:https://github.com/chaitin/SafeLine

  • Star 数:11K


作者:IT 咖啡馆

链接:https://juejin.cn/post/7392249407225987126

用户头像

欢迎关注,一起学习,一起交流,一起进步 2020-06-14 加入

公众号:做梦都在改BUG

评论

发布
暂无评论
11K star!开源WAF的NO1,不花钱也能搞定安全_GitHub_我再BUG界嘎嘎乱杀_InfoQ写作社区