寶塔下的免費(fèi) waf 防火墻對(duì)比

最近搭建了一個(gè)網(wǎng)站以后曲饱,總覺得裸奔的網(wǎng)站非常不安全添寺,需要加上防護(hù)措施。加一套 waf 防火墻溅漾,然后就可以安心的睡覺了山叮。因?yàn)榉?wù)器使用了寶塔[1]管理,所以我需要既能跟寶塔一起用的 waf添履。

先說結(jié)論

  1. 寶塔自帶 waf 收費(fèi)
  2. 寶塔軟件商店里 waf 要么不合適屁倔,要么門檻太高,不好用
  3. 其它免費(fèi) waf 大多要命令行安裝暮胧,發(fā)揮不了寶塔優(yōu)勢(shì)

最好是有一個(gè)能在寶塔 docker 上運(yùn)行的防火墻汰现,既能用寶塔管理服務(wù)狀態(tài),又能有自己管理界面的 waf叔壤,而且要免費(fèi)瞎饲,還得有效。所以炼绘,我最后選擇用 docker compose 模板 + 雷池 waf 社區(qū)版嗅战。安裝方法參考我的另一篇文章 http://www.reibang.com/p/978e08095628

waf 對(duì)比

寶塔內(nèi)置 waf

既然用寶塔做服務(wù)管理,第一反應(yīng)就是在寶塔上找找沒有合適的 waf俺亮。在非常顯眼的地方驮捍,找到了 “防火墻” 入口,然后看到了非常顯眼的 “立即購買”脚曾。本著來都來了的想法东且,看了一下官方防火墻的功能介紹[2],功能還是非常多的本讥,各位看官有錢的捧個(gè)錢場(chǎng)珊泳,我只能捧個(gè)人場(chǎng)鲁冯。

image.png

另外根據(jù)文檔介紹,nginx 防火墻是基于 Lua 實(shí)現(xiàn)的色查,也就是說這個(gè)防火墻的本質(zhì)是人工規(guī)則薯演,人工規(guī)則防火墻在防護(hù)能力上可以抵御常見攻擊,只能亡羊補(bǔ)牢不能防患未然秧了。寶塔內(nèi)置 waf 還有一個(gè) Apache 版本[3]跨扮,與 nginx 類似,只是一個(gè)基于 Apache 一個(gè)基于 Nginx验毡,這兩者的差別見仁見智衡创,寶塔官方推薦的是 nginx 版本。

寶塔軟件商店中的免費(fèi) waf

寶塔自帶了一個(gè)軟件商店晶通,抱著試試看的態(tài)度搜了一下璃氢,還真找到了 3 款 waf。前兩個(gè)是官方內(nèi)置的收費(fèi)版录择,第 3 個(gè)則是免費(fèi)版拔莱。這一看碗降,不得了啊隘竭,這是打算跟官方同臺(tái)競(jìng)技啊。趕緊裝上試試讼渊。

感謝作者 “民國(guó)三年一場(chǎng)雨”动看,民國(guó)三年就是 1914年,一百多年過去了爪幻,也不知道雨里發(fā)生什么菱皆。考慮到這個(gè)應(yīng)用只有 403.95k 大小挨稿,總覺得這個(gè)功能可能沒有想的那么多仇轻。

image.png

根據(jù)配置界面,啟用防護(hù)奶甘,然后試著發(fā)起一次攻擊請(qǐng)求篷店,然后被攔截了。后臺(tái)管理界面看到的效果記錄是

image.png

攔截效果是

image.png

攔截頁面上還有提示臭家,誤報(bào)請(qǐng)聯(lián)系寶塔 http://www.bt.cn/bbs疲陕?這不是官方 waf 么?為什么非要偽裝一下自己钉赁?在一個(gè)隱蔽角落還找到一個(gè)“教程”鏈接[4]蹄殃,發(fā)帖人是寶塔技術(shù)-小強(qiáng)[5],這下是官方的免費(fèi) waf 沒跑了你踩。

另外我還發(fā)現(xiàn)诅岩,這個(gè)免費(fèi)防火墻讳苦,在軟件商店里瀏覽的時(shí)候是找不到的,必須搜索才能搜出來按厘。所以医吊,其實(shí),人家是不希望你繼續(xù)使用這個(gè) waf 的逮京。并且在使用時(shí)卿堂,還遇到了其它問題

管理界面不好找

我需要先進(jìn)應(yīng)用商店,搜索 waf懒棉,然后找到之后草描,在通過 “設(shè)置” 按鈕進(jìn)入

防御類型固定

想要防御什么類型的攻擊,都是提前設(shè)置好的策严,只能防御這么多穗慕,并且不能新增

內(nèi)置規(guī)則太少

每種防御類型都需要自行配置,雖然有內(nèi)置規(guī)則妻导,但規(guī)則不多逛绵,并且都是比較常見的規(guī)則

image.png

總體體驗(yàn)下來,有種我防御了倔韭,但好像防御不高的感覺术浪。

而且,這是怎么回事寿酌?我寶塔自己的 WordPress 用寶塔自己的防火墻掃描胰苏,怎么還掃出 2 個(gè) webshell?這是誰出問題了醇疼?

image.png
其它 waf

https://github.com/httpwaf/httpwaf2.0

很久沒更新了

https://github.com/openresty/

不好塞進(jìn)寶塔里

https://www.modsecurity.org/

老牌項(xiàng)目了硕并,但是外國(guó)產(chǎn)品,用不慣

http://www.goodwaf.cn/

這個(gè)不錯(cuò)秧荆,但是也沒法塞進(jìn)寶塔里

? https://waf-ce.chaitin.cn/

巧了倔毙,這個(gè)原生 docker,剛好兼容寶塔乙濒,稍加改造陕赃,順利上線,看看我的 waf 效果圖琉兜。

image.png

  1. https://www.bt.cn/new/index.html ?

  2. https://www.bt.cn/new/product_nginx_firewall.html ?

  3. https://www.bt.cn/new/product/btwaf_httpd.html ?

  4. https://www.bt.cn/bbs/thread-57590-1-1.html ?

  5. https://www.bt.cn/bbs/home.php?mod=space&uid=34807 ?

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末凯正,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子豌蟋,更是在濱河造成了極大的恐慌廊散,老刑警劉巖,帶你破解...
    沈念sama閱讀 210,978評(píng)論 6 490
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件梧疲,死亡現(xiàn)場(chǎng)離奇詭異允睹,居然都是意外死亡运准,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 89,954評(píng)論 2 384
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門缭受,熙熙樓的掌柜王于貴愁眉苦臉地迎上來胁澳,“玉大人,你說我怎么就攤上這事米者【禄” “怎么了?”我有些...
    開封第一講書人閱讀 156,623評(píng)論 0 345
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵蔓搞,是天一觀的道長(zhǎng)胰丁。 經(jīng)常有香客問我,道長(zhǎng)喂分,這世上最難降的妖魔是什么锦庸? 我笑而不...
    開封第一講書人閱讀 56,324評(píng)論 1 282
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮蒲祈,結(jié)果婚禮上甘萧,老公的妹妹穿的比我還像新娘。我一直安慰自己梆掸,他們只是感情好扬卷,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,390評(píng)論 5 384
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著沥潭,像睡著了一般邀泉。 火紅的嫁衣襯著肌膚如雪嬉挡。 梳的紋絲不亂的頭發(fā)上钝鸽,一...
    開封第一講書人閱讀 49,741評(píng)論 1 289
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音庞钢,去河邊找鬼拔恰。 笑死,一個(gè)胖子當(dāng)著我的面吹牛基括,可吹牛的內(nèi)容都是我干的颜懊。 我是一名探鬼主播,決...
    沈念sama閱讀 38,892評(píng)論 3 405
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼风皿,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼河爹!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起桐款,我...
    開封第一講書人閱讀 37,655評(píng)論 0 266
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤咸这,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后魔眨,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體媳维,經(jīng)...
    沈念sama閱讀 44,104評(píng)論 1 303
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡酿雪,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,451評(píng)論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了侄刽。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片指黎。...
    茶點(diǎn)故事閱讀 38,569評(píng)論 1 340
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖州丹,靈堂內(nèi)的尸體忽然破棺而出醋安,到底是詐尸還是另有隱情,我是刑警寧澤墓毒,帶...
    沈念sama閱讀 34,254評(píng)論 4 328
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布茬故,位于F島的核電站,受9級(jí)特大地震影響蚁鳖,放射性物質(zhì)發(fā)生泄漏磺芭。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,834評(píng)論 3 312
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一醉箕、第九天 我趴在偏房一處隱蔽的房頂上張望钾腺。 院中可真熱鬧,春花似錦讥裤、人聲如沸放棒。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,725評(píng)論 0 21
  • 一樁弒父案己英,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽间螟。三九已至,卻和暖如春损肛,著一層夾襖步出監(jiān)牢的瞬間厢破,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,950評(píng)論 1 264
  • 情欲美人皮
    我被黑心中介騙來泰國(guó)打工治拿, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留摩泪,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,260評(píng)論 2 360
  • 代替公主和親
    正文 我出身青樓劫谅,卻偏偏與公主長(zhǎng)得像见坑,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子捏检,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,446評(píng)論 2 348

推薦閱讀更多精彩內(nèi)容