楚狂人我们日常使用和维护服务器时,最令人头疼的就是无穷无尽的的CC攻击和恶意扫描,轻则加重服务器负载,拖慢服务器速度,重则可导致服务器瘫痪,所以给找一款靠谱的服务器防火墙就显得至关重要了。今天给大家分享堡塔云WAF防火墙,可以有效拦截sql注入、xss、一句话木马、防采集等常见渗透攻击。
宝塔云WAF简介:
堡塔云是一款免费的WAF防火墙,首个支持ARM国产系统的WAF防火墙,有超高自由度的自定义拦截规则和可灵活配置各种限制访问,有效防CC攻击、防黑客渗透入侵、防恶意采集、防刷接口、防漏洞扫描等常见攻击和黑客渗透测试行为,为您的业务网站保驾护航。
WAF防火墙的主要功能包括Web请求的过滤、Web应用程序的访问控制、反漏洞攻击、日志记录和报告分析等。在现代互联网环境中,Web应用程序已成为攻击者攻击的主要目标,因此Web应用防火墙已成为企业和组织保护网络安全的重要措施之一。
关于宝塔面板,我们平时进行服务器管理使用的频率很高了,堡塔云WAF防火墙和宝塔面板都是同一家公司开发的国产软件,而且堡塔云可以不依赖宝塔面板,单独安装使用!
堡塔云WAF防火墙优点:
任何环境都可以使用(不依赖宝塔面板)
拓展性强(丰富的自定义规则)
防护能力(硬件越强防护越好)
堡塔云WAF和Nginx防火墙区别
| 堡塔云WAF | Nginx防火墙 | |
| 优缺点对比 | 优点:任何环境都可以使用(不依赖宝塔面板) 拓展性强(丰富的自定义规则) 防护能力(硬件越强防护越好) 缺点:对于Nginx防火墙,云WAF需要独立重新部署 技术要求比使用宝塔面板高些 | 优点:宝塔面板用户开箱即用 无需额外配置 可快速开启网站防护 缺点:依赖服务器硬件配置 和网站服务器占用资源 |
| CC防御效果 | 动态CC防御,拦得住误拦少 | 占用网站服务器性能拦截效果较弱 |
| CC防御设置 | 动态CC一键开启无需配置自动拦截 | 根据网站访问量逐步调试后得到较优防御规则 |
| 部署方式 | 通过反代接入,需要一台独立服务器 | 通过宝塔面板安装自动接入 |
| 需要独立服务器 | 需要 | 不需要 |
| 兼容性 | 能反代的都可以防御 | 依赖宝塔面板运行 |
| 入侵网站拦截 | 支持 | 支持 |
| 规则命中计数 | 支持 | 不支持 |
| 单站流量展示 | 支持 | 不支持 |
| 自动接入网站 | 不支持 | 支持 |
| 拦截日志 | 非常详细 | 详细 |
| 黑白名单 | 支持 | 支持 |
| 地区限制 | 支持 | 支持 |
| 按规则进行人机验证 | 支持 | 不支持 |
| 付费方式 | 免费使用,按需付费 | 购买专业版、企业版或者单独购买插件 |
| 如何选择 | CC防御效果更好,规则自定义能力更强,能方便的接入在Linux、Windows下部署的网站应用,有非常详细的拦截日志提供给运维人员溯源攻击,更合适企业作为应用入口使用。需要一台独立的服务器来部署,需要一定成本。 | 依赖于宝塔面板,无需任何配置就能接入到宝塔面板内已有和新创建的网站,使用非常方便,能安装宝塔面板就用Nginx防火墙插件。CC防护效果较弱,因为和网站服务器抢占资源,可能会出现被大量攻击一瞬间打死的情况。 |
| 配置选择 |  测试建议参考配置表 |
堡塔云WAF安装教程
温馨提示:中国内地(大陆)服务器需要备案,建议您在已经备案的服务商上购买新的服务器,否则需要重新接入备案。
可参考阿里云:阿里云备案流程
在线安装
推荐使用此安装方式
使用SSH工具登录服务器,执行以下命令安装:
- 注意需要ROOT权限执行命令
复制粘贴命令后,按回车执行命令安装
URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh
安装完成后显示以下信息
登录堡塔云WAF管理面板
管理面板默认端口8379,如果服务器有安全组、硬件防火墙,请开放8379端口
安装完成后,使用浏览器访问显示的地址,输入账号(username)与密码(password),登录堡塔云WAF管理界面
注意:浏览器提示安全问题,请信任它。因为是自签证书浏览器不信任导致的
登录成功后即可使用堡塔云WAF
离线安装
注意,此安装方式适用于服务器无法连接公网节点时的选择
- 离线安装时必须手动安装 docker,否则无法安装
- 离线安装前请确保您的服务器存在 tar gzip curl netstat ss docker 命令,可以使用此命令检查是否存在:
Packs=("curl" "tar" "gzip" "netstat" "ss" "docker" ); for pack in "${Packs[@]}"; do command -v "$pack" >/dev/null 2>&1 || echo -e "\033[31mError: $pack 命令不存在\033[0m"; done
请根据您的系统架构下载安装文件,使用命令 uname -m 可以查看架构
x86_64 架构:
- 离线安装脚本:点击下载离线安装脚本
- 下载镜像文件:点击下载镜像 x86_64 架构文件
- 下载cloudwaf程序文件:点击 下载cloudwaf程序 x86_64 架构文件
aarch64 架构:
- 离线安装脚本:点击下载离线安装脚本
- 下载镜像 aarch64 架构文件:点击 下载镜像 aarch64 架构文件
- 下载cloudwaf程序 aarch64 架构文件:点击 下载cloudwaf程序 aarch64 架构文件
根据不同的系统架构下载文件后,使用Xftp、Winscp等工具上传到服务器中,将下载的文件放在相同的路径,然后执行安装命令离线安装:
注意需要ROOT权限执行命令
bash install_cloudwaf.sh offline
安装完成后,登录步骤与在线相同 示例为:x86_64 架构
注意:
已经安装了宝塔面板的机器,不要再安装云WAF,在宝塔面板上安装使用Nginx防火墙即可。
堡塔云WAF需要一台独立服务器安装部署。
安装完成后推荐使用Chrome、火狐、edge浏览器,国产浏览器(极速模式)访问登录系统
为什么选择堡塔云WAF
堡塔云WAF,让风险看得见拦得住,安全防护更简单,操作更简便
1、 免费使用
免费版本提供基础防护功能,具备基础防御功能,适合个人博客,小规模网站类型,访问量比较少的网站使用,不限制网站防护数量,同时也可以设置单站点防御规则。
2、单URL的CC防御
在实际环境中我们有一些特殊的接口需要设置不同的访问频率来防护,如登录接口每分钟只能访问10次,搜索接口每分钟只能访问5次,这些是可以进行单独设置的。
3、私有化部署
堡塔云WAF是私有化部署方式,在自己的服务器上搭建WAF服务,安全性高,可控性强,企业可以根据自身的需求特点和安全要求来配置服务器,从而保障数据的安全性。
4、操作简单,防护有效
可视化操作方式,通过添加网站的方式接入WAF防御服务,一键开启防御。有效拦截sql注入、xss、一句话木马、防采集等常见渗透攻击,为您的业务网站保驾护航。
