一、产品简介与技术特性
雷池WAF(Web Application Firewall)是一款基于容器技术的开源Web应用防火墙,通过流量分析与智能拦截机制,可有效防御SQL注入、XSS攻击、恶意爬虫等常见Web攻击。社区版面向中小型企业及开发者提供以下核心功能:
可视化攻击日志分析
智能语义规则引擎
多站点并行防护
实时流量监控仪表盘
自动化威胁情报更新
二、环境准备与系统检测
1. 硬件资源要求
资源类型
最低配置
生产建议
CPU
1核
4核
内存
1GB
8GB
磁盘
5GB
50GB
2. 系统环境检测(必须逐项验证)
2.1 操作系统检查
# 确认Linux内核版本
uname -a | grep -i linux
# 输出示例:
Linux ser0OZHcAAxhjpp 6.1.0-10-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.37-1 (2023-07-03) x86_64 GNU/Linux
2.2 CPU架构验证
uname -m
# 有效输出应为:
x86_64 或 arm64
2.3 x86架构SSSE3指令集检测
lscpu | grep -i ssse3
# 必须显示"ssse3"字样,否则无法运行
2.4 软件依赖检查(手动安装需要检查)
# Docker版本检测(需≥20.10.14)
docker --version | grep -oE '[0-9]+\.[0-9]+\.[0-9]+'
# Docker Compose版本验证(需≥2.0.0)
docker compose version | grep -i version
三、安装方式全解析
1. 自动安装模式(推荐新手)
# 使用官方脚本自动化部署
sudo bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
安装日志解读:
[INFO 15:45:07]: SafeLine,中文名 "雷池",是一款简单好用, 效果突出的 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。
[INFO 15:45:07]: 雷池通过过滤和监控 Web 应用与互 联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS 、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。
选择你要执行的动作 [ 1.安装 2.升级 3.卸载 4.修复 5.重启 ] (1/2/3/4/5): 1
[INFO 15:45:11]: 即将为您安装雷池 WAF
[INFO 15:45:11]: 检查 docker 版本
[WARN 15:45:11]: 运行雷池 WAF 依赖 Docker, 但是 Docker 没安装
是否需要为你自动安装 Docker 的最新版本 [ y.是 n.否 ] (y/n): y
[INFO 15:45:15]: 正在为你安装 Docker, 需要几分钟时间, 请耐心等待
[INFO 15:46:36]: 检查 docker compose 版本
[INFO 15:46:37]: 检查安装环境已完成
请输入雷池 WAF 的安装目录 (留空则为默认值 /data/safeline): /data/safeline
[INFO 15:47:00]: "/www/data/safeline" 路径有 46.40 GB 的空间可用
[INFO 15:47:00]: 正在下载 docker-compose.yaml 文件
[INFO 15:47:00]: 正在更新 .env 配置文件
[INFO 15:47:31]: 正在获取雷池 WAF 最新版本
[INFO 15:47:31]: 目标版本:8.1.1
[INFO 15:47:31]: 正在拉取 Docker 镜像
[+] Pulling 70/70
✔ luigi Pulled 14.1s
✔ postgres Pulled 34.3s
✔ fvm Pulled 25.6s
✔ chaos Pulled 21.0s
✔ detect Pulled 17.3s
✔ mgt Pulled 5.0s
✔ tengine Pulled 8.4s
[INFO 15:48:05]: 正在启动 Docker 容器
[INFO 15:48:10]: 雷池 WAF 安装完成
[INFO 15:48:10]: 等待 mgt 启动
[INFO 15:48:15]: 等待 mgt 启动
[INFO 15:48:20]: 等待 mgt 启动
[INFO 15:48:25]: 等待 mgt 启动
[INFO 15:48:30]: 等待 mgt 启动
[INFO 15:48:35]: 等待 mgt 启动
[INFO 15:48:40]: 等待 mgt 启动
[INFO 15:48:45]: 设置 admin
[INFO 15:48:50]:
[INFO] Initial username:admin
[INFO] Initial password:password
[INFO] Done
[INFO 15:48:50]: 雷池 WAF 管理面板: https://10.120.120.10:9443/
[INFO 15:48:50]: 雷池 WAF 管理面板: https://0.0.0.0:9443/
2. 手动安装模式(适合定制化需求)
2.1. 安装docker
bash <(curl -sSL https://docker-install.cdnmirror.top/docker.sh)
2.2. 创建雷池目录
mkdir -p /opt/safeline && cd /opt/safeline
2.3. 下载雷池 compose 编排脚本
wget https://waf-ce.chaitin.cn/release/latest/compose.yaml
2.4. 配置雷池 compose 环境变量
请修改POSTGRES_PASSWORD中的yourpassword为自己的密码
cd "/opt/safeline"
echo "SAFELINE_DIR=/opt/safeline
IMAGE_TAG=latest
MGT_PORT=9443
POSTGRES_PASSWORD=yourpassword
SUBNET_PREFIX=172.22.222
IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline
ARCH_SUFFIX=
RELEASE=
REGION=" > ".env"
配置文件的格式说明如下:
SAFELINE_DIR: 雷池安装目录,如 /data/safeline
IMAGE_TAG: 要安装的雷池版本,保持默认的 latest 即可
MGT_PORT: 雷池控制台的端口,保持默认的 9443 即可
POSTGRES_PASSWORD: 雷池所需数据库的初始化密码,请随机生成一个
SUBNET_PREFIX: 雷池内部网络的网段,保持默认的 172.22.222 即可
IMAGE_PREFIX: 雷池镜像源的前缀,建议根据服务器地理位置选择合适的源
ARCH_SUFFIX: 雷池架构的后缀,ARM 服务器需要配置为 -arm
RELEASE: 更新通道,LTS 版本需要配置为 -lts
2.5. 启动雷池
cd "/data/safeline" && docker compose up -d --force-recreate
雷池安装成功以后,你可以打开浏览器访问 https://
3. 离线安装方案(无外网环境)
对于纯离线环境的用户,如果你的设备完全无法连接互联网,可以参考这种方式安装雷池。
但是需要注意,纯离线环境下雷池的部分能力可能会受限。
操作流程:
在联网设备下载离线包
curl -fsSLk https://waf-ce.chaitin.cn/release/latest/offline.zip -o safeline-offline.zip
传输至目标服务器后解压
unzip safeline-offline.zip && cd offline_pkg
加载容器镜像
docker load -i safeline-images.tar.gz
启动服务
docker compose -f docker-compose-offline.yml up -d
四、控制台访问与初始化
1. 防火墙配置(按需操作)
CentOS/RHEL:
sudo firewall-cmd --permanent --add-port=9443/tcp
sudo firewall-cmd --reload
Ubuntu/Debian:
sudo ufw allow 9443/tcp
sudo ufw reload
2. 首次登录流程
浏览器访问 https://<服务器IP>:9443
忽略证书警告(首次使用自签名证书)
输入初始凭证:
用户名:admin
密码:通过命令获取:
docker exec safeline-mgt cat /run/secrets/password
3. 账户安全强化
重置管理员密码:
docker exec safeline-mgt resetadmin
# 输出示例:New password: 9Xp!K4mz%vR8
开启双因素认证:
登录后进入「系统设置」→「安全策略」→ 启用Google Authenticator
五、生产环境优化建议
1. 资源分配调整
编辑 docker-compose.yml:
services:
safeline-mgt:
deploy:
resources:
limits:
cpus: '2'
memory: 4096M
2. 持久化数据存储
# 创建数据卷目录
mkdir -p /data/safeline/{mysql,redis}
# 修改volume映射
vim docker-compose.yml
# 修改对应服务的volumes配置
六、故障排查指南
1. 容器启动异常
# 查看实时日志
docker compose logs -f
# 常见错误处理:
# 端口冲突 → 修改9443端口
# 镜像拉取失败 → 检查docker仓库连接
2. 性能调优参数
# 调整Nginx worker数量
echo "worker_processes auto;" > config/nginx/worker.conf
3. 版本升级操作
docker compose pull
docker compose down
docker compose up -d
七、安全防护实战演示
完成安装后,您可以通过以下步骤快速接入业务防护:
控制台点击「防护站点」→「新增站点」
填写域名和源站IP(如:example.com → 192.168.1.100:80)
修改DNS解析,将域名A记录指向雷池服务器IP
启用「智能防护模式」和「CC攻击防护」
建议在测试环境验证规则后,通过「流量镜像」逐步切量至生产环境。
延伸阅读:
官方文档中心:https://waf-ce.chaitin.cn/docs
社区支持论坛:https://forum.chaitin.cn
威胁情报订阅:contact@chaitin.com
通过本指南,您已完成从基础部署到生产调优的全流程操作。建议定期检查系统更新,结合业务流量特征定制防护策略,构建动态安全防御体系。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。