一山可容二虎!宝塔面板+雷池 WAF 部署实战

最新推荐文章于 2025-10-22 15:35:34 发布
原创 最新推荐文章于 2025-10-22 15:35:34 发布 · 4.8k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #docker #nginx #服务器 #运维 #网络安全 #安全

前言

为了保证网站安全,可以在网站前增加一个 WAF(Web 应用防火墙) 来进行防护。如果使用宝塔云 WAF 的话就需要多机部署并且还需要额外开通云 WAF 功能,这些对于个人来说成本太高了!

免费的雷池社区版不香吗?但很多个人用户又是通过宝塔面板进行管理的,这就导致雷池和主机 Nginx 有冲突问题,那怎么办呢?本文将介绍如何在单机部署下雷池和 Nginx 共存。

雷池介绍

长亭雷池 WAF 是长亭科技耗时近 10 年倾情打造的 WAF,是基于智能语义分析的下一代 Web 应用防火墙,不让黑客越雷池一步!

环境依赖

环境要求
操作系统Linux
CPU 指令架构x86_64(支持 ssse3 指令集)
Docker20.10.14 版本以上
Docker Compose2.0.0 版本以上
最低资源需求1 核 CPU / 1 GB 内存 / 5 GB 磁盘

这里列出来的是雷池所需要的环境,宝塔支持的环境和操作系统可以在宝塔官网查询

软件部署

部署宝塔

对于宝塔安装本文不进行赘述,官网上都有详细的说明了

安装 Docker

部署完宝塔之后还需要通过宝塔安装以下软件:

  • Nginx
  • Docker

安装完成之后 网站Docker 可以看到宝塔这两个可以正常工作

网站
Docker

部署雷池

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

在这里插入图片描述

如果出现了这个提示,这里不建议输入 “Y”,脚本有可能会造成其他的问题

警告

我这里使用在线脚本进行安装,但是由于我的环境中的 Docker 是根据操作系统二进制编译的,并没有 docker compose 命令,但是 docker-compose 是正常的。

因此可以通过修改雷池脚本中的docker compose 命令,先下载雷池的脚本:

curl -o sl.sh https://waf-ce.chaitin.cn/release/latest/setup.sh

然后可以在宝塔中修改脚本文件

替换

修改完成之后可以通过以下命令执行雷池部署脚本

bash sl.sh

执行
出现这个提示代表雷池安装成功

成功

域名访问

为了通过域名来访问雷池,需要在宝塔中对雷池添加一个反向代理

代理的目标是 https://localhost:9443

添加代理

特别注意这里要转发目标的协议必须是 https,否则打开雷池页面将出现无限循环跳转

通过浏览器打开宝塔配置的域名,成功看到了雷池页面!

雷池页面

站点部署

在单机上部署你的网页,并且结合雷池进行防护

虽然雷池实际上已经内置了 Tengine,可以直接接管 80 端口,但是因为单机上已经安装了 Nginx,它本身就监听了该端口,那么雷池无法继续监听这个端口。

虽然我有查到可以通过修改(宝塔安装的) Nginx 目录下 /www/server/panel/vhost/nginx/ 配置文件(0.default.confphpfpm_status.conf)中 Nginx 监听端口改为非 80 端口。

但是实际上可能还需要修改所有的已有的网站的配置文件。如果你使用宝塔对网站进行更改配置之类的操作,宝塔还会重新覆盖你的变更导致恢复成监听 80 端口,这又是一个隐藏的问题。

因此,我采用了以下方法(经过了一层转发,性能可能有所下降):

客户端 Nginx 雷池 请求 转发到雷池 雷池请求本地 Nginx 上游 业务响应 业务响应 响应给客户端 客户端 Nginx 雷池

以客户端访问 test.xx.com 为例:

客户端 Nginx 雷池 请求 test.xx.com 转发 test-o.xx.com 请求上游 test-o.xx.com test-o.xx.com test-o.xx.com test.xx.com 客户端 Nginx 雷池

查看雷池容器网络

由于雷池是通过 Docker 部署的,其中雷池默认的配置文件中是有独立的容器网络的,那么 localhost 就不是宿主机本身的网络,因此宿主机的网络可以通过容器的所属网关来表示宿主机的网络。

如下所示,我的网关是 172.22.222.1,那么这个 IP 可访问宿主机的 Nginx

网关

雷池配置站点

添加站点

我这里使用通配符*匹配所有的请求,全部转发到上游 Nginx

注意雷池监听的端口不能为 80!!!

添加站点

宝塔配置站点

这里以部署静态网页项目为例

添加静态网站

需要部署的静态网页的地址是 test.xx.com,那么这里要避开这个域名,因为待会儿需要配置转发域名,所以可以添加前/后缀方式,我这里是 test-o.xx.com

添加静态网站

接下来按照前面提到过的 添加反向代理 的方式继续添加(转发到雷池):

添加反向代理

好了,现在应该能够访问静态网页了:

站点

Q&A

Q:如果我的网站有多个域名怎么办?

A:可以先添加其他的域名,和前面的步骤一样,只需要加入前/后缀,之后再添加一个新的代理,发送域名填写这个带有前/后缀的域名

Peter1303
关注
Docker系列教程01-使用Docker镜像_开源docker镜像 如何使用
2301_77118221的博客
04-26 553
Docker镜像是个只读的模板。如果读者之前是VM管理员,则可以把Docker镜像理解为VM模板,如果您是名研发人员,可以将镜像理解为类(class)。简单说,Docker镜像是个不包含系统内核而又精简的操作系统。例如:个镜像可以包含个基本的 ubuntu 操作系统环境,里面仅安装了 Nginx 应用程序。可以把它称为Nginx镜像。
宝塔面板部署雷池社区版WAF(safeline)参考教程-小白必看
2404_89164415的博客
12-23 3370
触发的原因是宝塔会监听某个端口,比如443 ,但是雷池也配置了监听443的站点,这时候雷池重启,导致端口被宝塔抢占,雷池无法正常监听,这时候tengine会直挂,无法编辑和删除站点。查看tengine的日志,找到与tengine冲突的站点端口,把外部的占用处理,这个时候,外部没有占用雷池站点的端口,雷池的tengine会自动恢复正常,可以编辑和删除。配置成上面修改的10443作为上游服务器(10443也是需要改配置文件的,般默认都是443,和改80的文件在个地方,可以自己查找修改)
如何在阿里云服务器搭建个web网站,并安装雷池进行防护
2401_84335362的博客
12-06 573
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"(自动安装失败可选择手动安装)添加站点开启防护(端口写服务器当前没开的端口,上游服务器服务器地址/直接写要监听的网站地址)下载compose编排脚本:cd "/data/safeline"创建雷池目录:mkdir -p "/data/safeline"启动雷池服务:cd "/data/safeline"服务器添加雷池端口(9443)测试雷池是否防护成功。
堡塔云WAFBaoTa Cloud WAF详细安装与配置说明文档
最新发布
特网云计算
10-22 824
本文详细介绍了堡塔云WAF的安装配置流程,包括准备工作、DNS切换、控制台策略配置、服务器加固和监控设置。该防火墙支持SQL/XSS/CC攻击防护,提供可视化日志和HTTPS加密,支持SaaS模式部署。关键步骤包含域名解析至CDN节点、源站IP设置、防护规则定制及防火墙IP白名单配置。文档还包含性能优化建议、常见问题解答和费用说明,强调WAF需配合系统更新、密码管理和数据备份等常规安全措施使用。
宝塔安装雷池网站防护
分享日常bug
11-23 707
提示:这里可以添加本文要记录的大概内容:提示:以下是本篇文章正文内容,下面案例可供参考。
安装雷池WAF保护网站安全 并与宝塔面板共存 运维防御双利剑
2401_83621095的博客
04-14 1278
​。
雷池Waf部署(宝塔+雷池)
qq_41913447的博客
09-28 1190
nginx的default文件改其他的也起改。
不容雷池WAF宝塔面板共存部署
メ依戀メ伱じ☆ve
04-22 4159
互联网上的攻击和扫描流量非常多,为了保证网站安全,在网站之前新增WAF防护是必要的。之前有了解过宝塔WAF,但需要独立的服务器部署,架构不够灵活,对于个人用户来说成本太高了。后来在微信公众号上看到这篇文章,得知了雷池WAF,基于Nginx开发,以反向代理方式接入,部署架构灵活,可以与WEB服务部署在同服务器(官方不推荐),是款广受好评的社区WAF项目。
宝塔+免费WAF雷池配置教程
m0_63660506的博客
08-02 2373
本文为宝塔+免费WAF雷池的配置教程。
Linux服务器安装Linux宝塔面板部署wordpress网站以及雷池WAF,设置禁止使用IP地址访问网站,只能使用域名访问网站
星如雨落
12-01 1230
本教程wordpress网站使用SSL证书,采用https访问,雷池WAF作为反向代理防护网站使用443端口,因此需要修改Linux宝塔面板部署wordpress网站SSL证书时使用的443端口为其他端口,可以自定义端口(范围1024~65535),例如:38443。使用Linux宝塔面板内的终端或其他远程SSH工具登陆服务器,并切换到root用户,切换到nginx服务配置文件所在目录,并编辑网站配置文件152.32.129.190.conf,修改443端口为38443端口,并保存。
腾讯云+雷池+宝塔面板简单介绍部署
weixin_67025258的博客
10-26 613
如使用了808080端口作为http访问,但是我需要通过雷池的https的80端口进入这个808080端口的http。然后就可以直接访问这个www.abc.com网站了,也强制了通过雷池,而且端口8888也不能访问了,这个方法也可以适用于两个服务器雷池个,宝塔个)。下面使用例子本地IP123.123.123.123,http访问端口是8888,域名是abc.com,80端口和443端口不被占用。既然已经看完了前面的前提文章,接下来我这边介绍的是当我这个。先看完这个文章,然后再来我这边看。
宝塔面板Nginx的Lua-Waf防火墙终极改进 动态封禁IP
06-19
宝塔面板作为个流行的服务器管理面板,提供了套简易的方式来控制和管理Nginx服务器,其中包括对Nginx配置的优化、网站的部署和维护等。随着网络攻击手段的不断演进,传统的Web应用防火墙(WAF)已经不能完全满足...
2024年运维最新安装雷池WAF保护网站安全 并与宝塔面板共存 运维防御双利剑
2401_83947105的博客
05-01 367
找到:0.default.conf 和 phpfpm_status.conf 文件,修改里面默认的80端口。我在测试中,使用海外服务器发现键脚本无法拉取镜像文件,然后使用下面的办法就能安装成功。如果服务器可以访问互联网环境,推荐使用该方式。首先需要准备台vps云服务器,这里我推荐。如需要和宝塔共存,请完成下面的操作再安装。如果需要安装最新版本流式检测模式,可使用。最后执行下面的命令创建.env文件。复制以下命令执行,即可完成安装。如果需要使用华为云加速,可使用。再执行下面的安装命令。
从零搭建雷池WAF:环境配置、安装部署与Web防护实战
着迷不白个人博客,专注分享Linux、python、shell、服务器等知识
10-02 1301
本文详细介绍了雷池WAF部署与配置流程,主要包含以下内容:1) 环境检查,包括CPU架构、指令集、Docker版本等核心要求;2) 安装方式,推荐新手使用自动安装或根据需求选择手动/离线安装;3) 账号获取,通过命令初始化管理员账号密码;4) 控制台访问,放行9443端口并通过浏览器登录。雷池作为开源WAF工具,能有效防护SQL注入、XSS等攻击,适合Linux新手和运维人员快速搭建Web安全防护。
部署雷池WAF服务器秒变高防服务器
qq_29492807的博客
06-03 2407
雷池WAF后,你现在的服务器等同于高防服务器,黑客攻击你时,不会直接攻击到你的网站服务器,因为所有的入口流量都优先进入到雷池WAF上了,只要雷池WAF服务器足够CPU和带宽够大,基本上等同于条高带宽的高防节点CDN。
2024 值得推荐的免费开源 WAF
TG_punkll的博客
02-28 3212
谁是当前社区里最火的开源 WAF 项目?本文从 GitHub 标星数量书选出排名最高的几个开源/免费 WAF。欢迎在评论区讨论
宝塔面板部署雷池社区版教程
guguge112的博客
09-27 905
在网站管理上,许多用户都是通过宝塔面板进行管理,宝塔面板Nginx默认监听端口为80和443,这就导致共存部署雷池WAF默认无法监听80和443端口,那怎么办呢?
宝塔面板雷池waf
06-25
### 宝塔面板雷池WAF功能介绍 宝塔面板款广泛用于服务器管理的控制面板,它提供了种直观的方式来管理网站、数据库、FTP账户等。雷池WAF(Web Application Firewall)是长亭科技推出的款开源Web应用防火墙,它可以有效防止SQL注入、XSS攻击等常见的Web安全威胁。 当需要在同服务器上同时使用宝塔面板雷池WAF时,通常的做法是将雷池WAF作为反向代理来处理所有进入的HTTP/HTTPS请求,并将这些请求转发给后端由宝塔面板管理的Nginx服务。这样可以确保流量首先经过WAF安全检查,然后再传递到实际的应用程序中[^2]。 ### 配置方法 #### 修改监听端口 为了实现共存部署般会修改宝塔面板中的站点配置,使其监听非标准的80/443端口,例如10080或8080。这可以通过编辑位于`/www/server/panel/vhost/nginx/`目录下的站点配置文件完成。找到对应的站点配置文件,如`0.default.conf`和`phpfpm_status.conf`,然后更改其中的`listen`指令以指定新的端口号[^3]。 #### 设置Nginx转发至雷池 接下来,在Nginx配置中设置反向代理规则,以便将来自客户端的请求转发到运行雷池WAF的服务地址。比如,如果雷池WAF正在本地的个特定端口上运行,则可以在Nginx的站点配置里添加如下类似的配置段落: ```nginx location / { proxy_pass http://localhost:雷池监听端口; } ``` 这里的`雷池监听端口`应该替换为实际用来启动雷池WAF实例所使用的端口号。此外,还需要根据实际情况调整其他相关的proxy_set_header参数以保证正确的主机名和其他头信息被传递给后端服务。 #### 启动并测试雷池WAF 最后步是在服务器上正确安装并启动雷池WAF服务。切准备就绪,通过访问你的域名或者IP地址加上相应的端口号来测试整个流程是否正常工作。记得要对各种类型的攻击尝试进行充分的测试,确保WAF能够按照预期拦截恶意流量而不影响合法用户的访问体验[^1]。 需要注意的是,由于增加了额外的转发层,可能会导致定的性能损耗。因此,在生产环境中实施此类架构之前,建议先评估其对性能的影响,并采取适当的优化措施。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值