一、环境要求与准备工作
- 系统要求
-
- 操作系统:Debian12+(推荐大版本一致,如内网使用debian12,在线主机也需debian系列)
- CPU架构:x86_64,需支持SSSE3指令集(可通过
lscpu | grep ssse3验证) - 最小配置:1核CPU/1GB内存/5GB磁盘空间(高流量场景需扩容)
- 软件依赖
-
- Docker 20.10.14+
- Docker Compose 2.0.0+
- 若离线环境需提前准备以下文件:
- Docker RPM包及本地YUM源(含createrepo工具生成)
- 雷池镜像包(
image.tar.gz) compose.yaml编排脚本
二、在线环境生成离线包(联网主机操作)
- 在可联网设备上操作
# 创建离线包目录 mkdir docker-offline && cd docker-offline # 安装必要工具 sudo apt-get update && sudo apt-get install -y curl gnupg # 添加DockerGPG密钥 curl -fsSL http://mirrors.volces.com/docker/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg # 配置Docker镜像源 echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] http://mirrors.volces.com/docker/linux/debian $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null # 更新软件源 sudo apt-get update # 下载docker全家桶及核心依赖(--download-only确保仅下载) sudo apt-get download \ docker-ce \ docker-ce-cli \ containerd.io \ docker-buildx-plugin \ docker-compose-plugin \ ca-certificates \ libltdl7 \ libseccomp2 \ iptables \ libdevmapper1.02.1 # 收集所有deb包 cp /var/cache/apt/archives/*.deb . # 确保没有遗漏的依赖,可以通过apt-cache depends命令检查每个包的依赖关系 for pkg in docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin; do echo "Checking dependencies for $pkg" apt-cache depends $pkg | grep "Depends" | sed "s/Depends: //" | xargs -I % sudo apt-get download % done # 校验文件完整性(可选) md5sum *.deb > checksum.md5 # 输出收集到的.deb包列表以供确认 echo "Collected .deb packages:" ls -lh *.deb - 打包压缩离线包目录
tar -cvf docker-offline.tar.gz docker-offline/
三、离线环境部署(内网主机操作)
- 文件传输 将打包好的
docker-offline目录通过物理介质拷贝到目标服务器的/tmp目录,然后执行命令解压tar -xvf docker-offline.tar.gz -C /tmp - 安装Docker环境
cd /tmp/docker-offline # 按依赖顺序安装 sudo dpkg -i /tmp/docker-offline/ca-certificates*.deb sudo dpkg -i /tmp/docker-offline/lib*.deb sudo dpkg -i containerd.io*.deb sudo dpkg -i docker-ce-cli*.deb sudo dpkg -i docker-ce*.deb sudo dpkg -i docker-buildx-plugin_*.deb docker-compose-plugin_*.deb sudo dpkg -i *.deb - 服务管理
# 配置守护进程 sudo mkdir -p /etc/docker sudo tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": ["https://registry-docker.cdnmirror.top"] } EOF # 启动服务 sudo systemctl enable docker sudo systemctl start docker # 验证版本 sudo docker --version - 增强配置
- 用户权限配置
# 添加当前用户到docker组 sudo usermod -aG docker $USER # 立即生效需要重新登录 newgrp docker || true - 镜像预加载(可选)
# 在在线环境提前拉取并打包镜像 docker pull ubuntu:22.04 docker save ubuntu:22.04 > ubuntu.tar # 在离线环境加载 sudo docker load -i ubuntu.tar
- 用户权限配置
- 下载雷池镜像与安装启动服务
- 创建雷池目录
mkdir -p /data/safeline && cd /data/safeline - 下载雷池社区版镜像包
cd /data/safeline wget https://demo.waf-ce.chaitin.cn/image.tar.gz - 下载compose编排脚本
cd /data/safeline wget https://waf-ce.chaitin.cn/release/latest/compose.yaml - 加载雷池社区版镜像包
cat image.tar.gz | gzip -d | docker load - 配置环境变量
cat > .env <<EOF SAFELINE_DIR=/data/safeline IMAGE_TAG=latest MGT_PORT=9443 POSTGRES_PASSWORD=$(tr -dc A-Za-z0-9 </dev/urandom | head -c 32) SUBNET_PREFIX=172.22.222 IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline ARCH_SUFFIX= RELEASE= REGION= EOF - 启动雷池服务
docker compose up -d
- 创建雷池目录
四、配置与验证
- 初始化控制台
- 访问
https://<服务器IP>:9443,首次登录需执行命令获取随机密码。docker exec safeline-mgt resetadmin
- 访问
- 添加防护站点
- 上游服务器配置:根据业务架构选择(如反向代理至Nginx或直接指向应用服务器)。
-
证书管理:上传SSL证书至控制台,支持HTTP自动跳转HTTPS。
- 防护测试
# 模拟攻击验证拦截效果 curl "http://<域名>/?id=1%20AND%201=1" # SQL注入测试 curl "http://<域名>/?html=<script>alert(1)</script>" # XSS测试成功拦截则控制台显示攻击事件。
五、常见问题与优化
- 启动报错处理
-
unknown shorthand flag: 'd' in -d:升级Docker Compose至2.0+。- 镜像加载失败:检查镜像完整性,重新导出加载。
- 性能调优
-
- 资源限制:通过
docker-compose.yaml调整容器内存与CPU配额。 - 日志管理:挂载外部目录持久化日志,避免磁盘占满。
- 资源限制:通过
- 升级与迁移
-
- 离线升级:替换镜像包后执行
docker compose down && docker compose up -d。 - 跨服务器迁移:备份
/data/safeline目录,复制至新主机按相同步骤启动。
- 离线升级:替换镜像包后执行
六、总结
本文基于雷池社区实践整合了雷池WAF离线部署的最优路径,覆盖环境准备、离线包生成、服务配置及故障排查全流程。通过语义分析引擎与轻量级设计,雷池社区版可有效防御OWASP Top 10攻击,适合内网及无外网环境的业务防护。建议定期关注官方更新,结合业务流量调整防护策略。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。