让网络安全更进一步——懒猫配置雷池WAF应用防火墙

PeterPig

发布于378天前
Null
  • 首先,waf是什么?WAF(Web Application FirewallWeb 应用防火墙,专门用于保护 Web 应用程序免受网络攻击的安全工具
  • 一些核心功能如下:
  1. 防御常见攻击
    拦截如 SQL注入跨站脚本(XSS)文件包含CSRF 等针对应用层的攻击。
  2. 流量监控与过滤
    实时分析 HTTP/HTTPS 流量,识别并阻断恶意请求。
  3. 防护零日漏洞
    通过规则更新或机器学习,缓解未公开的漏洞利用。

对于家中nas这类微型服务器,众多app各自为战,不做登录鉴权/没有ip过滤/使用带漏洞的组件库的容器(app)屡见不鲜,这时就需要一个防火墙对后端应用进行保护。
而常见的二层/三层防火墙只是工作在网络方面,用于隔绝不同子网的安全域或提供ip包头的识别与拦截,无法对更上层的恶意请求进行识别与拦截。这时便需要应用防火墙WAF进行处理。雷池WAF作为一款Web应用防火墙,区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。

安装步骤

1、安装雷池并配置端口转发

首先从应用商店下载Safeline雷池局域网端口转发工具

https://appstore.lazycat.cloud/#/shop/detail/peterpig.lzcapp.safeline
https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.forward

由于雷池首次启动需要对数据库进行初始化,因此首次启动将会失败,需要等待2分钟后手动右键关闭软件并重启一次

pic1.jpg

此时再打开雷池就能进入登陆界面

pic2.jpg

首次登录需要使用命令行进行一次密码重置与数据初始化操作,为了避免命令行界面被恶意扫描,需要手动进行端口转发,否则将无法访问命令行界面。

此时打开下载好的局域网端口转发工具,按照图示添加一个转发项

pic3.jpg

然后打开浏览器,输入http://127.0.0.1:23341/ 访问雷池容器的命令行,输入resetadmin回车即可重置管理员用户名与密码

pic4.jpg

配置完密码后建议手动删除转发项,避免命令行界面被其他应用/病毒扫描从而暴露管理员权限

2、配置雷池WAF

雷池安装完成后,我们便可进行反代配置,让所有流量通过雷池进行鉴别,从而保护后端的服务。

首先通过上文获取到的用户名和密码登录雷池管理界面,点击左侧的防护应用栏目

pic5.jpg

点击右上角的添加应用按钮

pic6.jpg

输入你所需要保护的应用地址和反向代理对外端口,此处以对外12345端口,代理局域网内另一台unraid服务器的管理面板为例

pic7.jpg

添加成功后便会显示在应用列表中,此时再去步骤1中的端口转发工具中放行对应12345端口,即可使用对应链接进行访问。特别注意此处转发的应该为safeline-tegine容器而非safeline-mgt容器

pic8.jpg

pic9.jpg

以此处的转发类型为微服域名为例,即可直接使用http://<微服名>.heiyu.space:12345/login访问到对应网页。

pic10.jpg

同样的,配置完后所有安装了懒猫客户端的设备均可使用这一链接访问到该服务,变相实现了一种利用懒猫免穿透访问家中其他设备服务的效果

pic11.jpg

如需直接暴露至公网,则可以在转发工具中选择转发至通配符地址,再在防火墙中放行懒猫ip的对应端口即可,以OPNsense为例,选择放行对应端口即可,严格一点的可以限定放行懒猫ip的对应端口

pic12.jpg

3、测试

雷池配置成功后,即可在应用处开启前置身份验证等功能,各位按需选择

pic13.jpg

pic14.jpg

pic15.jpg

pic16.jpg


高级操作

1、 接入OIDC实现免密码登录

参考官方教程雷池 WAF 帮助文档 - 身份认证 - OIDC

pic17.jpg
微服的不行,微服的OIDC目前无法自定义回调url,期待官方更新😁

评论

0

暂无评论

说点什么呢~
收藏
0
0
0