惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

W
WeLiveSecurity
T
The Exploit Database - CXSecurity.com
C
CXSECURITY Database RSS Feed - CXSecurity.com
S
Security @ Cisco Blogs
T
Threat Research - Cisco Blogs
TaoSecurity Blog
TaoSecurity Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
腾讯CDC
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
T
The Blog of Author Tim Ferriss
Microsoft Azure Blog
Microsoft Azure Blog
罗磊的独立博客
F
Full Disclosure
博客园 - 【当耐特】
C
CERT Recently Published Vulnerability Notes
Engineering at Meta
Engineering at Meta
Application and Cybersecurity Blog
Application and Cybersecurity Blog
T
Threatpost
I
Intezer
V2EX - 技术
V2EX - 技术
H
Hackread – Cybersecurity News, Data Breaches, AI and More
The Hacker News
The Hacker News
小众软件
小众软件
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
B
Blog RSS Feed
Microsoft Security Blog
Microsoft Security Blog
N
News | PayPal Newsroom
MyScale Blog
MyScale Blog
AI
AI
Vercel News
Vercel News
Spread Privacy
Spread Privacy
美团技术团队
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
The GitHub Blog
The GitHub Blog
V
Vulnerabilities – Threatpost
Schneier on Security
Schneier on Security
Cyberwarzone
Cyberwarzone
G
GRAHAM CLULEY
Help Net Security
Help Net Security
Hacker News: Ask HN
Hacker News: Ask HN
Google DeepMind News
Google DeepMind News
MongoDB | Blog
MongoDB | Blog
L
LINUX DO - 热门话题
U
Unit 42
L
LangChain Blog
Recent Announcements
Recent Announcements

小威博客

Tencent EdgeOne 腾讯云CDN免费申请兑换计划申请指南 – 小威博客 XArrPay支付系统个人开心版 – 小威博客 雷池WAF安全加固:基于OAuth 2.0与微信开放平台的双因子认证 – 小威博客 雷池WAF离线安装搭建全流程指南(2025年最新版) – 小威博客 雷池WAF社区版安装配置全指南:从零搭建网站防护体系 – 小威博客 Windows 安装 NVM(Node.js 版本管理工具)教程与配置方法 – 小威博客 解决 Debian 10 中的 Locale 设置问题 – 小威博客 尊狐云 Linux 工具箱 – 小威博客 使用Docker和Nginx搭建STUN服务器并配置反向代理 – 小威博客
宝塔面板+雷池WAF实战教程:双服务器分离部署实现网站高安全防护 – 小威博客
萌新 · 2025-03-18 · via 小威博客

前言:为什么需要分离部署?

在网站安全防护场景中,将流量入口(WAF)与业务服务器分离部署是行业最佳实践。这种架构既能有效防御Web攻击,又避免单点故障风险。本教程将以宝塔面板为网站管理工具,雷池WAF为安全防护层,通过双服务器部署实现企业级防护方案。

一、部署架构与准备清单

核心拓扑图

用户访问 → 雷池WAF(防护服务器) → 宝塔网站(业务服务器)

服务器配置建议

服务器 推荐配置 内网地址 开放端口 作用说明
业务服务器 4核4G(按业务需求) 10.0.1.10 80,443 业务应用+宝塔面板可视化运维
防护服务器 2核4G(最低要求) 10.0.1.8 80,443,9443 雷池WAF流量防护过滤

环境要求

  • 两台独立云服务器(同一内网可提升性能)
  • 已备案域名(需完成DNS解析配置)
  • SSH连接工具(Xshell/FinalShell等)

二、业务服务器:宝塔面板部署详解

1. 一键安装宝塔(Linux版)

安装宝塔面板前,先执行挂载数据盘命令

if [ -f /usr/bin/curl ];then curl -sSO http://download.bt.cn/tools/auto_disk.sh && bash auto_disk.sh;else wget -O auto_disk.sh http://download.bt.cn/tools/auto_disk.sh;fi;bash auto_disk.sh
image-20250318113703391

执行一键安装宝塔Linux面板命令

if [ -f /usr/bin/curl ];then curl -sSO https://download.bt.cn/install/install_panel.sh;else wget -O install_panel.sh https://download.bt.cn/install/install_panel.sh;fi;bash install_panel.sh 256b5394

注:安装完成后,请立即修改默认8888端口和安全入口路径

image-20250318114201798

2. 网站部署最佳实践

2.1. 安装业务所需的运行环境

这里博主是以WordPress为例子,安装Nginx、MySQL、PHP8.1版本运行环境

image-20250318114559866

2.2. 安装WordPress

  1. 点击左侧侧边栏【网站】→【添加站点】→【传统项目】


  2. 填写域名,然后选择选择PHP版本(推荐7.4+)并创建FTP/数据库


image-20250318115332237

上传WordPress安装包到/www/wwwroot/你的域名 目录然后解压

宝塔面板+雷池WAF实战教程:双服务器分离部署实现网站高安全防护

访问域名正常安装即可

image-20250318120440760

3. 安全加固设置

  • 开启系统防火墙和禁Ping


    image-20250318120804930

  • 修改SSH默认22端口/安装「Fail2ban」防爆破插件


    image-20250318121115359

  • 启用「BasicAuth」和「动态口令认证」访问限制(针对面板登录)


    image-20250318121317157

1. 雷池WAF一键自动部署

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

雷池安装成功以后,你可以打开浏览器访问 https://<safeline-ip>:9443/ 来使用雷池控制台。

image-20250318130406966
image-20250318130532078

2. 防护策略优化

  1. 开启OWASP Top10防护规则集


    image-20250318130842870

  2. 设置CC攻击防护阈值(建议300次/分钟)


    建议:


    1. 某 IP 在 60 秒内请求达到 120 次,600 分钟内再次访问需要进行人机验证



    2. 某 IP 在 120 秒内触发攻击拦截次数达到 10 次,自动封禁此 IP 30 分钟



    3. 某 IP 在 60 秒内触发 400、401、403、404、405、429、444 错误达到 60 次,自动封禁此 IP 120 分钟




    image-20250318131140228

  3. 配置「加强规则」可以针对性给自己的服务定制规则(这里博主没有专业版所以没法演示)


    image-20250318131506968

  4. 配置IP黑白名单(屏蔽扫描器常见IP段)


    image-20250318131750869

  5. 站点全局配置


    建议:

    开启监听IPv6、启用 HTTP/1.0、启用 HTTP/2、HTTP 自动跳转到 HTTPS(这个看自己业务类型来选择)

    启用 HSTS、代理时修改请求中的 Host 头、为上游服务器传递 X-Forwarded-Host、 X-Forwarded-Proto

    清空并重写 X-Forwarded-For、应用不存在时返回内置证书


    image-20250318132120138

四、双服务器联动配置

1. 流量转发规则

转发类型 雷池监听端口 后端服务器地址 协议说明
HTTP 80 业务服务器内网IP:80 建议使用内网通信
HTTPS 443 防护服务器内网IP:443 需保持协议一致

2. DNS解析设置

  • 登录域名控制台
  • 将A记录指向B服务器公网IP
  • 等待全球DNS生效(可用dig +short 你的域名验证)

3. SSL证书双端配置方案

方案一:集中式管理(推荐)

  • 在雷池WAF控制台申请Let’s Encrypt证书
  • 自动续签并同步到宝塔面板

方案二:分布式管理

  • 宝塔面板申请证书 → 导出.pem/.key文件
  • 雷池控制台「站点管理」→「TLS配置」上传证书

五、全链路验证测试

1. 正常流量测试

# 使用curl模拟访问
curl -I http://你的域名
# 应返回200状态码,且响应头包含X-Safe-Line字段

2. 攻击模拟测试

# SQL注入测试
curl "http://你的域名/?id=1'%20OR%201=1--"
​
# XSS攻击测试
curl "http://你的域名/<script>alert(1)</script>"

预期结果:返回403拦截页面,雷池控制台生成安全事件记录

3. 性能压测(可选)

# 使用ab工具测试
ab -n 1000 -c 50 http://你的域名/

关注指标:每秒请求数(QPS)、错误率、服务器负载

六、运维监控与故障排查

1. 关键监控项

  • 雷池WAF:CPU使用率、拦截统计、TOP攻击IP
  • 宝塔面板:磁盘IO、数据库连接数、PHP进程状态

2. 日志分析技巧

# 实时查看WAF拦截日志
tail -f /data/safeline/logs/audit.log
​
# 筛选SQL注入攻击记录
grep 'sqli-detected' /data/safeline/logs/audit.log

3. 常见故障处理

现象:HTTPS访问出现证书错误 ➔ 解决方案:检查雷池与宝塔的证书有效期是否一致,禁用TLS1.0协议

现象:网站加载静态资源过慢 ➔ 优化建议:在雷池开启Gzip压缩,宝塔面板配置浏览器缓存

七、升级与备份方案

1. 雷池WAF升级方法

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

2. 宝塔整站备份策略

  • 使用「计划任务」每天凌晨打包网站文件
  • 开启「七牛云存储」自动同步备份
  • 数据库设置每日增量备份

结语:安全防护效果预览

通过本方案部署后,您的网站将获得:

✅ 日均拦截2000+次恶意扫描

✅ 有效防御SQL注入/XSS/CSRF等OWASP攻击

✅ 业务服务器真实IP隐藏,抗DDoS能力提升

✅ 可视化安全报表,攻击数据一目了然

[操作提示] 建议部署后运行docker stats监控资源消耗,根据业务流量动态调整服务器配置。如遇复杂攻击场景,可启用雷池「紧急模式」自动阻断可疑IP。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

个人中心

购物车

优惠劵

今日签到

有新私信 私信列表

搜索

幸运之星正在降临...

点击领取今天的签到奖励!

恭喜!您今天获得了{{mission.data.mission.credit}}积分

  • 限制以下商品使用: 限制以下商品分类使用: 不限制使用:

    所有商品和商品类型均可使用