宝塔下的免费 waf 防火墙对比

最近搭建了一个网站以后,总觉得裸奔的网站非常不安全,需要加上防护措施。加一套 waf 防火墙,然后就可以安心的睡觉了。因为服务器使用了宝塔[1]管理,所以我需要既能跟宝塔一起用的 waf。

先说结论

  1. 宝塔自带 waf 收费
  2. 宝塔软件商店里 waf 要么不合适,要么门槛太高,不好用
  3. 其它免费 waf 大多要命令行安装,发挥不了宝塔优势

最好是有一个能在宝塔 docker 上运行的防火墙,既能用宝塔管理服务状态,又能有自己管理界面的 waf,而且要免费,还得有效。所以,我最后选择用 docker compose 模板 + 雷池 waf 社区版。安装方法参考我的另一篇文章 https://www.jianshu.com/p/978e08095628

waf 对比

宝塔内置 waf

既然用宝塔做服务管理,第一反应就是在宝塔上找找没有合适的 waf。在非常显眼的地方,找到了 “防火墙” 入口,然后看到了非常显眼的 “立即购买”。本着来都来了的想法,看了一下官方防火墙的功能介绍[2],功能还是非常多的,各位看官有钱的捧个钱场,我只能捧个人场。

image.png

另外根据文档介绍,nginx 防火墙是基于 Lua 实现的,也就是说这个防火墙的本质是人工规则,人工规则防火墙在防护能力上可以抵御常见攻击,只能亡羊补牢不能防患未然。宝塔内置 waf 还有一个 Apache 版本[3],与 nginx 类似,只是一个基于 Apache 一个基于 Nginx,这两者的差别见仁见智,宝塔官方推荐的是 nginx 版本。

宝塔软件商店中的免费 waf

宝塔自带了一个软件商店,抱着试试看的态度搜了一下,还真找到了 3 款 waf。前两个是官方内置的收费版,第 3 个则是免费版。这一看,不得了啊,这是打算跟官方同台竞技啊。赶紧装上试试。

感谢作者 “民国三年一场雨”,民国三年就是 1914年,一百多年过去了,也不知道雨里发生什么。考虑到这个应用只有 403.95k 大小,总觉得这个功能可能没有想的那么多。

image.png

根据配置界面,启用防护,然后试着发起一次攻击请求,然后被拦截了。后台管理界面看到的效果记录是

image.png

拦截效果是

image.png

拦截页面上还有提示,误报请联系宝塔 http://www.bt.cn/bbs?这不是官方 waf 么?为什么非要伪装一下自己?在一个隐蔽角落还找到一个“教程”链接[4],发帖人是宝塔技术-小强[5],这下是官方的免费 waf 没跑了。

另外我还发现,这个免费防火墙,在软件商店里浏览的时候是找不到的,必须搜索才能搜出来。所以,其实,人家是不希望你继续使用这个 waf 的。并且在使用时,还遇到了其它问题

管理界面不好找

我需要先进应用商店,搜索 waf,然后找到之后,在通过 “设置” 按钮进入

防御类型固定

想要防御什么类型的攻击,都是提前设置好的,只能防御这么多,并且不能新增

内置规则太少

每种防御类型都需要自行配置,虽然有内置规则,但规则不多,并且都是比较常见的规则

image.png

总体体验下来,有种我防御了,但好像防御不高的感觉。

而且,这是怎么回事?我宝塔自己的 WordPress 用宝塔自己的防火墙扫描,怎么还扫出 2 个 webshell?这是谁出问题了?

image.png
其它 waf

https://github.com/httpwaf/httpwaf2.0

很久没更新了

https://github.com/openresty/

不好塞进宝塔里

https://www.modsecurity.org/

老牌项目了,但是外国产品,用不惯

http://www.goodwaf.cn/

这个不错,但是也没法塞进宝塔里

https://waf-ce.chaitin.cn/

巧了,这个原生 docker,刚好兼容宝塔,稍加改造,顺利上线,看看我的 waf 效果图。

image.png

  1. https://www.bt.cn/new/index.html

  2. https://www.bt.cn/new/product_nginx_firewall.html

  3. https://www.bt.cn/new/product/btwaf_httpd.html

  4. https://www.bt.cn/bbs/thread-57590-1-1.html

  5. https://www.bt.cn/bbs/home.php?mod=space&uid=34807

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350

推荐阅读更多精彩内容