Safeline雷池WAF - 懒猫应用商店

应用描述

业界广受好评的国产应用WAF，SafeLine，中文名 "雷池"，是一款简单好用, 效果突出的 Web 应用防火墙(WAF)，可以保护 Web 服务不受黑客攻击。雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS、代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫等攻击。对于你的网站而言, 雷池可以实现如下效果: - 阻断 Web 攻击可以防御所有的 Web 攻击，例如 SQL 注入、XSS、代码注入、操作系统命令注入、CRLF 注入、XXE、SSRF、路径遍历等等。 - 限制访问频率限制用户的访问速率，让 Web 服务免遭 CC 攻击、暴力破解、流量激增和其他类型的滥用。 - 人机验证互联网上有来自真人用户的流量，但更多的是由爬虫, 漏洞扫描器, 蠕虫病毒, 漏洞利用程序等自动化程序发起的流量，开启雷池的人机验证功能后真人用户会被放行，恶意爬虫将会被阻断。 - 身份认证雷池的 "身份认证" 功能可以很好的解决 "未授权访问" 漏洞，当用户访问您的网站时，需要输入您配置的用户名和密码信息，不持有认证信息的用户将被拒之门外。 - 动态防护在用户浏览到的网页内容不变的情况下，将网页赋予动态特性，对 HTML 和 JavaScript 代码进行动态加密，确保每次访问时这些代码都以随机且独特的形态呈现。 **请注意** 为了端口安全，关闭了host模式，因此在进行反代时需要手动暴露对外端口，请使用`局域网端口转发工具`进行配置，暴露出safeline-tengine容器的对应端口，才能将流量定向到雷池中首次登陆的用户名密码需要进入命令行进行重置，请手动使用`局域网端口转发工具`暴露出`safeline-mgt`容器的`23341`端口，然后使用http://safeline.<微服名>.heiyu.space:23341/进行访问，进入命令行后请使用`resetadmin`指令进行一次密码重置。请注意23341端口为具有最高权限的管理命令行，非必要不暴露，建议在设置管理员密码后关闭端口转发以免被爆破。管理网页位于1443端口，也可直接使用微服的域名进行访问，如有出现报错问题可使用http://safeline.<微服名>.heiyu.space:1443/绕过微服反代直接访问雷池。

相关攻略

让网络安全更进一步——懒猫配置雷池WAF应用防火墙

- 首先，waf是什么？**WAF（[Web Application Firewall](https://baike.baidu.com/item/%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99/5733317)）** 是 **Web 应用防火墙**，专门用于保护 Web 应用程序免受网络攻击的安全工具 - **一些核心功能如下：** 1. **防御常见攻击** 拦截如 **[SQL注入](https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5)**、**[跨站脚本](https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB)（XSS）**、**文件包含**、**[CSRF](https://baike.baidu.com/item/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0)** 等针对应用层的攻击。 2. **[流量监控与过滤](https://baike.baidu.com/item/%E6%B5%81%E9%87%8F%E7%9B%91%E6%8E%A7)** 实时分析 HTTP/HTTPS 流量，识别并阻断恶意请求。 3. **防护[零日漏洞](hhttps://baike.baidu.com/item/0day)** 通过规则更新或机器学习，缓解未公开的漏洞利用。对于家中nas这类微型服务器，众多app各自为战，**不做登录鉴权/没有ip过滤/使用带漏洞的组件库的容器（app）屡见不鲜**，这时就需要一个防火墙对后端应用进行保护。而常见的二层/三层防火墙只是工作在网络方面，用于隔绝不同子网的安全域或提供ip包头的识别与拦截，无法对更上层的恶意请求进行识别与拦截。这时便需要应用防火墙WAF进行处理。**雷池WAF作为一款Web应用防火墙**，区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击。 ## 安装步骤 ### 1、安装雷池并配置端口转发首先从应用商店下载`Safeline雷池`与`局域网端口转发工具` https://appstore.lazycat.cloud/#/shop/detail/peterpig.lzcapp.safeline https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.forward 由于雷池首次启动需要对数据库进行初始化，因此首次启动将会失败，需要等待2分钟后手动右键关闭软件并重启一次 ![pic1.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/03e75b6a-e457-415c-82ea-54c71b1f62bc.jpg "pic1.jpg") 此时再打开雷池就能进入登陆界面 ![pic2.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/771a7338-d178-4eb1-982b-bb11996ac5b3.jpg "pic2.jpg") 首次登录需要使用命令行进行一次密码重置与数据初始化操作，**为了避免命令行界面被恶意扫描**，需要手动进行端口转发，否则将无法访问命令行界面。此时打开下载好的`局域网端口转发工具`，按照图示添加一个转发项 ![pic3.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/0dda2406-84fc-4fc3-84f0-96edfd265704.jpg "pic3.jpg") 然后打开浏览器，输入http://127.0.0.1:23341/ 访问雷池容器的命令行，输入resetadmin回车即可重置管理员用户名与密码 ![pic4.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/b5bd357a-2e57-4963-8bf3-981c44193d4f.jpg "pic4.jpg") **配置完密码后建议手动删除转发项，避免命令行界面被其他应用/病毒扫描从而暴露管理员权限** ### 2、配置雷池WAF 雷池安装完成后，我们便可进行反代配置，让所有流量通过雷池进行鉴别，从而保护后端的服务。首先通过上文获取到的用户名和密码登录雷池管理界面，点击左侧的`防护应用`栏目 ![pic5.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/40438640-5dc5-464b-a3b1-e9ad389e23a7.jpg "pic5.jpg") 点击右上角的`添加应用`按钮 ![pic6.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/880f04da-588f-45d6-b28d-a896d8ca3c9a.jpg "pic6.jpg") 输入你所需要保护的应用地址和反向代理对外端口，此处以对外`12345`端口，代理局域网内**另一台**unraid服务器的**管理面板**为例 ![pic7.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/2171eaae-2219-422f-8b68-327d1756b3d1.jpg "pic7.jpg") 添加成功后便会显示在应用列表中，此时再去**步骤1**中的`端口转发工具`中放行对应`12345`端口，即可使用对应链接进行访问。**特别注意此处转发的应该为`safeline-tegine`容器而非`safeline-mgt`容器** ![pic8.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/17b7420f-9a20-4482-9d34-fa5d05dd67d5.jpg "pic8.jpg") ![pic9.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/48a87689-f011-47c0-bf86-b77a8e6e09e6.jpg "pic9.jpg") 以此处的转发类型为微服域名为例，即可直接使用http://<微服名>.heiyu.space:12345/login访问到对应网页。 ![pic10.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/53c1c282-cb23-4a23-a750-0d6182b217df.jpg "pic10.jpg") **同样的，配置完后所有安装了懒猫客户端的设备均可使用这一链接访问到该服务，变相实现了一种利用懒猫免穿透访问家中其他设备服务的效果** ![pic11.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/15fbcf1f-f74e-4f6b-b45f-44a6cb3a6950.jpg "pic11.jpg") 如需直接暴露至公网，则可以在转发工具中选择**转发至通配符地址**，再在防火墙中放行懒猫ip的对应端口即可，以OPNsense为例，选择放行对应端口即可，严格一点的可以限定放行懒猫ip的对应端口 ![pic12.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/ec1f975d-f5c3-4a31-97b4-1e229f66b75d.jpg "pic12.jpg") ### 3、测试雷池配置成功后，即可在应用处开启前置身份验证等功能，各位按需选择 ![pic13.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/74f1520c-30db-4cb7-a6c9-41a0c8755ab4.jpg "pic13.jpg") ![pic14.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/e85414b1-7486-4f48-8ec6-517ee2dff21c.jpg "pic14.jpg") ![pic15.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/d0cf592e-29da-4efc-8533-c8bc718da5e0.jpg "pic15.jpg") ![pic16.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/d77e4e4e-51c0-4d1e-82aa-b00cc8f8cbde.jpg "pic16.jpg") --- ### 高级操作 ### 1、接入OIDC实现免密码登录参考官方教程[雷池 WAF 帮助文档 - 身份认证 - OIDC](https://help.waf-ce.chaitin.cn/node/01973fc6-e0ea-7c45-8412-9a6ab6c70d62) ![pic17.jpg](https://lzc-playground-1301583638.cos.ap-chengdu.myqcloud.com/guidelines/438/e8bfc277-90ea-4c4a-b2fb-b76c77f94fc6.jpg "pic17.jpg") 微服的不行，微服的OIDC目前无法自定义回调url，期待官方更新😁

懒猫评分/评论

0.0

0 条评论

此 App 尚未收到足够的评分或评论，无法显示评论列表。

应用信息