工作原理

​​

雷池通过阻断流向 Web 服务的恶意 HTTP 流量来保护 Web 服务。雷池作为反向代理接入网络，通过在 Web 服务前部署雷池，可在 Web 服务和互联网之间设置一道屏障。

雷池的核心功能如下:

• 防护 Web 攻击
• 防爬虫, 防扫描
• 前端代码动态加密
• 基于源 IP 的访问速率限制
• HTTP 访问控制

🔥 核心能力

对于你的网站而言, 雷池可以实现如下效果:

• ​阻断 Web 攻击​

  • 可以防御所有的 Web 攻击，例如 SQL 注入​、XSS​、代码注入​、操作系统命令注入​、CRLF 注入​、XXE​、SSRF​、路径遍历​ 等等。

• ​限制访问频率​

  • 限制用户的访问速率，让 Web 服务免遭 CC 攻击​、暴力破解​、流量激增​ 和其他类型的滥用。

• ​人机验证​

  • 互联网上有来自真人用户的流量，但更多的是由爬虫, 漏洞扫描器, 蠕虫病毒, 漏洞利用程序等自动化程序发起的流量，开启雷池的人机验证功能后真人用户会被放行，恶意爬虫将会被阻断。

• ​身份认证​

  • 雷池的 "身份认证" 功能可以很好的解决 "未授权访问" 漏洞，当用户访问您的网站时，需要输入您配置的用户名和密码信息，不持有认证信息的用户将被拒之门外。

• ​动态防护​

  • 在用户浏览到的网页内容不变的情况下，将网页赋予动态特性，对 HTML 和 JavaScript 代码进行动态加密，确保每次访问时这些代码都以随机且独特的形态呈现。

环境依赖

安装雷池前请确保你的系统环境符合以下要求

• 操作系统：Linux
• CPU 指令架构：x86_64, arm64
• CPU 指令架构：x86_64 架构必须支持 ssse3， 推荐支持 avx2指令集
• 软件依赖：Docker 20.10.14 版本以上
• 软件依赖：Docker Compose 2.0.0 版本以上
• 最低资源需求：1 核 CPU / 1 GB 内存 / 5 GB 磁盘

可以根据以下命令来查看相关信息

uname -m                                    # 查看指令架构
cat /proc/cpuinfo| grep "processor"         # 查看 CPU 信息
lscpu | grep ssse3                          # 确认 CPU 是否支持 ssse3 指令集
lscpu | grep avx2                          # 确认 CPU 是否支持 avx2 指令集
docker version                              # 查看 Docker 版本
docker compose version                      # 查看 Docker Compose 版本
docker-compose version                      # 查看老版本 docker-compose 版本
free -h                                     # 查看内存信息
df -h                                       # 查看磁盘信息

推荐部署方式

单台服务器docker部署 性能最大化 反代源服务器

推荐运行方式:

cdn --》雷池 --》 源（负载均衡）其实一个就够了，没必要上负载，咱又不是百万大站

推荐雷池限制仅cdn回源IP访问

源限制仅雷池部署服务器ip可通信443/80 或者你得业务端口

docker 自动安装

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

将上方命令复制粘贴到终端中

​​

后续按照提示操作即可​

浏览器访问你ip+端口9443即可(这里的ip视你所在ip而定，内网搭建用内网ip,默认访问外网)

​

输入这里的账密，点击登录

​​

登录后默认如图所示

​​

第一件事情是什么？添加网站？不！是在通用设置里，控制台管理进行安全设置

安全设置

​​

PS：

这里的二次验证推荐大家开启，我是因为防火墙限制仅我那台操作机(堡垒机)登录，所以开不开都一样

添加证书

是不是以为接下来就可以直接添加站点了？不，第一步先添加证书，同时预防一下ssl导致的源IP泄露

​​

点击ssl给这个网站加上一张空证书，用的是亚洲诚信测试证书生成，域名的话随便填

点击刚刚添加的网站，网站名，添加一张空白的证书，我已经生成好了直接复制就可以使用

这里也可以使用在线生成：

SSL 证书生成 - 锤子在线工具

​​

将生成的证书与密钥粘贴到雷池中，点击提交

同理自己正式签发的证书也记得上传哦！免费的let或者智慧云CDN后台生成的证书上传即可

​​

添加站点

1. 第一个站点请添加，www.www.www 或任意输入即可

​​

接下来就是添加在用的站点了

2. 添加正式站点

​​

注意：上游服务器哪里，如果你得源服务器启用了https可以选择上游为https://IP

比如我是宝塔 外网IP是 144.155.23.33，网站是www.luoca.net 源启用了TLS（https）

那么如图所示

​​

这里也可设置http毕竟http来说会比https快(反正是回源)，前提是你源比如宝塔里的https设置里没设置强制https哦！

​​

更换解析

去到你得域名托管商 或者你得dns解析服务商，修改你的dns记录

如果是套了CDN的去你cdn哪里修改回源IP为雷池的ip即可

不需要套cdn的 dns解析服务商，修改你的dns记录 修改解析值为雷池的ip即可

比如我是阿里云的dns ,用了智慧云CDN 雷池IP是 114.232.22.34

1. cdn设置如图：

​​

2.阿里云dns解析设置

记录类型和记录值 以cdn返回的 解析值为准

​​

最好接接入完毕了

高级配置

最后记得在防护应用 ---》高级配置中按需设置哦！

​​

防护效果验证

​​

同时雷池后台能查看防护日志

​​

怎么样？是不是很强！速度搭建接入吧！