让网络安全更进一步——懒猫配置雷池WAF应用防火墙

- 首先，waf是什么？**WAF（[Web Application Firewall](https://baike.baidu.com/item/%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99/5733317)）** 是 **Web 应用防火墙**，专门用于保护 Web 应用程序免受网络攻击的安全工具
- **一些核心功能如下：**

1. **防御常见攻击**
   拦截如 **[SQL注入](https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5)**、**[跨站脚本](https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB)（XSS）**、**文件包含**、**[CSRF](https://baike.baidu.com/item/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0)** 等针对应用层的攻击。
2. **[流量监控与过滤](https://baike.baidu.com/item/%E6%B5%81%E9%87%8F%E7%9B%91%E6%8E%A7)**
   实时分析 HTTP/HTTPS 流量，识别并阻断恶意请求。
3. **防护[零日漏洞](hhttps://baike.baidu.com/item/0day)**
   通过规则更新或机器学习，缓解未公开的漏洞利用。

对于家中nas这类微型服务器，众多app各自为战，**不做登录鉴权/没有ip过滤/使用带漏洞的组件库的容器（app）屡见不鲜**，这时就需要一个防火墙对后端应用进行保护。
而常见的二层/三层防火墙只是工作在网络方面，用于隔绝不同子网的安全域或提供ip包头的识别与拦截，无法对更上层的恶意请求进行识别与拦截。这时便需要应用防火墙WAF进行处理。**雷池WAF作为一款Web应用防火墙**，区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击。

## 安装步骤

### 1、安装雷池并配置端口转发

首先从应用商店下载`Safeline雷池`与`局域网端口转发工具`

https://appstore.lazycat.cloud/#/shop/detail/peterpig.lzcapp.safeline

https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.forward


由于雷池首次启动需要对数据库进行初始化，因此首次启动将会失败，需要等待2分钟后手动右键关闭软件并重启一次


![pic1.jpg](https://dl.playground.lazycat.cloud/guidelines/438/03e75b6a-e457-415c-82ea-54c71b1f62bc.jpg "pic1.jpg")

此时再打开雷池就能进入登陆界面


![pic2.jpg](https://dl.playground.lazycat.cloud/guidelines/438/771a7338-d178-4eb1-982b-bb11996ac5b3.jpg "pic2.jpg")

首次登录需要使用命令行进行一次密码重置与数据初始化操作，**为了避免命令行界面被恶意扫描**，需要手动进行端口转发，否则将无法访问命令行界面。

此时打开下载好的`局域网端口转发工具`，按照图示添加一个转发项


![pic3.jpg](https://dl.playground.lazycat.cloud/guidelines/438/0dda2406-84fc-4fc3-84f0-96edfd265704.jpg "pic3.jpg")

然后打开浏览器，输入http://127.0.0.1:23341/ 访问雷池容器的命令行，输入resetadmin回车即可重置管理员用户名与密码


![pic4.jpg](https://dl.playground.lazycat.cloud/guidelines/438/b5bd357a-2e57-4963-8bf3-981c44193d4f.jpg "pic4.jpg")

**配置完密码后建议手动删除转发项，避免命令行界面被其他应用/病毒扫描从而暴露管理员权限**



### 2、配置雷池WAF

雷池安装完成后，我们便可进行反代配置，让所有流量通过雷池进行鉴别，从而保护后端的服务。

首先通过上文获取到的用户名和密码登录雷池管理界面，点击左侧的`防护应用`栏目


![pic5.jpg](https://dl.playground.lazycat.cloud/guidelines/438/40438640-5dc5-464b-a3b1-e9ad389e23a7.jpg "pic5.jpg")

点击右上角的`添加应用`按钮


![pic6.jpg](https://dl.playground.lazycat.cloud/guidelines/438/880f04da-588f-45d6-b28d-a896d8ca3c9a.jpg "pic6.jpg")

输入你所需要保护的应用地址和反向代理对外端口，此处以对外`12345`端口，代理局域网内**另一台**unraid服务器的**管理面板**为例


![pic7.jpg](https://dl.playground.lazycat.cloud/guidelines/438/2171eaae-2219-422f-8b68-327d1756b3d1.jpg "pic7.jpg")

添加成功后便会显示在应用列表中，此时再去**步骤1**中的`端口转发工具`中放行对应`12345`端口，即可使用对应链接进行访问。**特别注意此处转发的应该为`safeline-tegine`容器而非`safeline-mgt`容器**


![pic8.jpg](https://dl.playground.lazycat.cloud/guidelines/438/17b7420f-9a20-4482-9d34-fa5d05dd67d5.jpg "pic8.jpg")


![pic9.jpg](https://dl.playground.lazycat.cloud/guidelines/438/48a87689-f011-47c0-bf86-b77a8e6e09e6.jpg "pic9.jpg")

以此处的转发类型为微服域名为例，即可直接使用http://.heiyu.space:12345/login访问到对应网页。


![pic10.jpg](https://dl.playground.lazycat.cloud/guidelines/438/53c1c282-cb23-4a23-a750-0d6182b217df.jpg "pic10.jpg")

**同样的，配置完后所有安装了懒猫客户端的设备均可使用这一链接访问到该服务，变相实现了一种利用懒猫免穿透访问家中其他设备服务的效果**


![pic11.jpg](https://dl.playground.lazycat.cloud/guidelines/438/15fbcf1f-f74e-4f6b-b45f-44a6cb3a6950.jpg "pic11.jpg")

如需直接暴露至公网，则可以在转发工具中选择**转发至通配符地址**，再在防火墙中放行懒猫ip的对应端口即可，以OPNsense为例，选择放行对应端口即可，严格一点的可以限定放行懒猫ip的对应端口


![pic12.jpg](https://dl.playground.lazycat.cloud/guidelines/438/ec1f975d-f5c3-4a31-97b4-1e229f66b75d.jpg "pic12.jpg")

### 3、测试

雷池配置成功后，即可在应用处开启前置身份验证等功能，各位按需选择


![pic13.jpg](https://dl.playground.lazycat.cloud/guidelines/438/74f1520c-30db-4cb7-a6c9-41a0c8755ab4.jpg "pic13.jpg")


![pic14.jpg](https://dl.playground.lazycat.cloud/guidelines/438/e85414b1-7486-4f48-8ec6-517ee2dff21c.jpg "pic14.jpg")


![pic15.jpg](https://dl.playground.lazycat.cloud/guidelines/438/d0cf592e-29da-4efc-8533-c8bc718da5e0.jpg "pic15.jpg")


![pic16.jpg](https://dl.playground.lazycat.cloud/guidelines/438/d77e4e4e-51c0-4d1e-82aa-b00cc8f8cbde.jpg "pic16.jpg")


---

### 高级操作

### 1、 接入OIDC实现免密码登录

参考官方教程[雷池 WAF 帮助文档 - 身份认证 - OIDC](https://help.waf-ce.chaitin.cn/node/01973fc6-e0ea-7c45-8412-9a6ab6c70d62)

![pic17.jpg](https://dl.playground.lazycat.cloud/guidelines/438/e8bfc277-90ea-4c4a-b2fb-b76c77f94fc6.jpg "pic17.jpg")
微服的不行，微服的OIDC目前无法自定义回调url，期待官方更新😁