即将开始7月份的hvv,想要应聘一下蓝队初级,所以找了一些市面常见安全产品研究。
说起来,雷池还是在一次线下CTF攻防赛中了解到的,当时拿到通用shell之后直接提示waf拦截(这场比赛被打爆力)
1.服务器环境
Ubuntu 20 腾讯云的机子。
2.安装/更新雷池
1.安装Docker环境
https://cloud.tencent.com/developer/article/2309562
2.安装雷池
安装脚本
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"更新脚本
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/upgrade.sh)"正常初次安装完成之后
访问地址http://x.x.x.x:9443
会显示一个二维码用于生成TOTP验证,这是一种基于时间的密钥算法,比如网易的将军令。我这里用的是Micrsoft的Authenticator(强烈推荐,我github,google账号的二次验证都是存在这里面的)。使用这款APP扫码就能添加。
第一步,传统账号密码验证
第二步,二次验证
就可以进入主页了
3.部署设置
正常没有WAF时,流量走向是这样的
用户 -》 域名 -》 IP -》Nginx代理 -》 业务
在加上WAF之后是这样的;
用户 -》 域名 -》 IP -》 【雷池WAF】-》Nginx代理 -》 业务
由于我原来站点使用宝塔维护的,所以宝塔所有对外的域名和端口映射都得改。
改完之后宝塔设置这些只允许本地或WAF服务器访问。这样原始的端口就不会暴露。
在宝塔设置完端口号之后,在雷池内配置站点
这样当流量到达你服务器时,是解析到雷池的服务上,由雷池筛选拦截后再代理该流量到真实业务。
防护前:用户 -》 www.baidu.com -》 nginx -》业务
防护后:用户 -》 www.baidu.com -》雷池 -》 nginx -》业务
达到了防护目的。
4.动态防护
动态防护是雷池最新推出的能力,雷池作为反向代理程序,经过雷池的网页代码都将被动态加密保护。
在防护站点中开启动态防护
设置要保护的资源
在添加防护前,页面代码
防护后页面代码
访问防护的页面还会有提示
访问会比原先慢几秒,感觉和CF的5秒盾很像了(
5.频率限制
通过规则设置,还可以针对高频用户弹人机验证。
6.总结
雷池作为一款多年市场验证的WAF确实牛。企业版的2000不到一年的价格让许多小企业也能用得起。对比开源WAF配置方便,体验更好,确实很不错。
