NAS用户注意!互联网安全这样做,一个工具杜绝大部分低端网络攻击,极空间部署轻量级WAF应用「SamWaf」
大家好,这里是Cherry,喜爱折腾、捡垃圾、玩数码,热衷于分享NAS、docker玩耍经验~
前言
使用NAS,局域网永远是首选环境,因为NAS的核心用途永远是存储服务,局域网的安全性、稳定性、高速率,是保证存储快速、稳定传输的第一因素。而玩NAS,互联网才一定是首选环境,无论是人在外需要存储/读取数据,亦或是使用NAS上的各类软件应用,我们都离不开互联网。
相比较于局域网,互联网服务往往面临着更多的网络安全风险,如何保障NAS以及NAS上的web服务,是每一个NAS用户的必修课。
这里不得不表扬极空间,通过集成性极高的客户端和远程访问应用,将互联网端使用WEB服务的不安全因素全部挡在了门外,从根源上解决网络安全问题。
但是,也有一些NAS上的服务是提供给其它人使用的,这些服务需要通过域名、IP的形式进行公开发布,那就给了一些坏坏的人提供了可攻击的目标!
今天,Cherry为大家带来一款开源的Waf工具——SamWaf,它支持完全私有部署,加密本地存储的数据,易于启动,并支持 Linux 和 Windows 64 位。
什么是Waf?
Web应用防火墙(Web Application Firewall,简称WAF)是一种专门设计用于保护Web应用程序免受各种网络攻击的安全解决方案。通过监控、过滤和阻止HTTP/HTTPS数据流,为Web应用程序提供防护。
🔻SamWaf功能特性:
- 完全开源的代码
- 支持私有化部署
- 轻量级,不依赖第三方服务
- 完全独立引擎,保护功能不依赖IIS、Nginx
- 可自定义的保护规则,支持脚本和 GUI 编辑
- 支持允许列表访问
- 支持 IP 黑名单
- 支持 URL 允许列表
- 支持 URL 访问限制
- 支持指定的数据隐私输出
- 支持CC频率访问
- 支持全局一键配置
- 支持针对不同网站的单独保护策略
- 加密日志存储
- 加密的通信日志
- Data obfuscation 数据混淆
一、部署教程
第一步:下载(导入)镜像
如果大家在极空间的docker设置里配置了代理或者其它镜像库的,我们可以先下载镜像。在【docker】-【仓库】内,搜索镜像名samwaf/samwaf
,选择第一个进行下载。
如果没办法解决docker访问的,可以选择【镜像】-【本地镜像】-【导入镜像】-【从极空间导入】,镜像地址看下面的链接。
阿里云盘:www.alipan.com/s/wZRgF1sA4BY
夸克网盘:pan.quark.cn/s/3fedad84147e
第二步:创建容器
选择下载(导入)完成的samwaf
镜像,点击【添加到容器】。
建议去掉极空间的docker性能限制,因为极空间的性能足够强,多跑几个docker不再话下,限制docker性能反而会让服务运行卡顿。
【文件夹路径】中,点击【添加】-【添加文件/文件夹】,或者直接双击灰字部分。
在【存储空间/docker】下创建一个samwaf文件夹,然后在其下继续创建/config,/data,/logs三个子文件夹,并与装载路径一一对应。
/SATA存储/docker/samwaf/config:/app/conf
/SATA存储/docker/samwaf/data:/app/data
/SATA存储/docker/samwaf/data:/app/data
【端口】中,容器端口分别填入26666(webui),443(https端口),80(http端口)。左侧的本地端口自己定义为不冲突的端口即可。全部设置完成后,点击应用启动容器即可。
第三步:配置远程访问
打开极空间【远程访问】应用,填入本地ip,以及samwaf的webui端口。
二、系统使用
1、系统初始化
samwaf的默认账号密码是admin/admin868
,初次登录如果系统版本偏低的,系统还会弹框提示进行热升级,目前最新版本是v1.3.6。
如果大家确定要把waf作为外网防护工具的话,请务必修改密码,并且密码程度越复杂越好,否则被人攻击进waf后,反而被一锅端。
2、配置防护网站
正式使用WAF,我们需要创建一个防护网站,即防护目标。当互联网流量访问目标web服务的时候,会先经过waf服务器,然后在waf规则下将流量转发给真正的web服务,以此来达到安全防护的目的。
点击左侧【网站防护】-【新增防护】,这里一共有三块地方需要设置。
①最上方的网站指的是访问网站,即用户的入口网站。可以填写固定IP,也可以填写域名(一般是二级域名),如果填写域名的话,需要把域名DNS解析到极空间NAS上。这里的端口,根据http/https来区分,http就填80,https就填443,填别的没用。
②中间的来源严格端口,主要是判断来源端口,直接选关闭就行了。
③最下方的后端IP,主要指的是实际要访问的网站局域网信息,就按照实际应用地址如实填写。
切换到【引擎自带防护】功能里,默认的Bot监测、Sql注入、扫描工具监测等等功能都是默认开放的,遇到不想要的功能再选择关闭就行。如果你不清除具体含义,建议按照默认的来。
3、编辑防护策略
完成防护网站配置后,我们可以根据需要设定一些自定义规则,这里比较简单的IP黑白名单、URL黑白名单就不具体介绍了,就是字面意思。
防御规则,使用的是条件->域->执行的操作,可以根据访问者的IP、端口、方法、ck等进行判断,并且根据不同值进行不同处置方式,是比较专业的自定义规则。
CC防御,主要解决高频访问问题,默认的1秒钟内超30次后的访问,自动拦截。
此外,证件夹用于存储SSL证书,这里没办法上传证书,必须复制证书内的值进去。
4、数据分析
当我们设置完规则以后,只要WAF服务开启,那么所有域名访问流量都会经过一次筛选和防护。我们再仪表盘里,可以看到访问量、攻击数、异常IP、QPS等信息。
点击到具体的防护日志后,有每一次流量访问的URL申请信息,支持筛选正常或异常数据。
每一条具体的明细都有访问日期、方法、源IP、源端口、响应回复、头等信息,我们可以根据日志信息去优化拦截。
总结
所谓道路千万条,安全第一条,我们在任何时候都不应该放松对网络攻击的警惕。通过在极空间NAS里部署一套web服务防护软件,可以有效提高极空间在互联网端的网络安全能力,并与内置的远程访问应用一内一外互相配合,实现360度安全防护。
不过需要注意的是,WAF在提供网络防护的同时,也承载了更多的网络流量,这让NAS同时承受2倍的网络读写,并同样会影响到CPU、内存的使用率,因此部分性能较差的NAS可能无法提供过多的web服务。
如果大家在选购的时候,考虑到未来不断扩充的服务需求,建议还是往更高配置的型号去购买,比如极空间的Z4 Pro性能版、Z423 标准版、Z423旗舰版等型号,足以应对各式各样的存储、docker、虚拟机需求。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
无刃幻越
校验提示文案
张大妈老公公
提供了docker一键安装:
docker run -d --name=samwaf-instance \
-p 26666:26666 \
-p 80:80 \
-p 443:443 \
-v /path/to/your/conf:/app/conf \
-v /path/to/your/data:/app/data \
-v /path/to/your/logs:/app/logs \
-v /path/to/your/ssl:/app/ssl \
samwaf/samwaf
校验提示文案
闲嗑瓜子
校验提示文案
老灰灰
校验提示文案
dwdwt
校验提示文案
行者无疆2019
校验提示文案
不辣的啤特
校验提示文案
徝友10000
校验提示文案
林溪风
校验提示文案
hackchen
校验提示文案
我是四海飘零
校验提示文案
花落无声1028
校验提示文案
花落无声1028
校验提示文案
徝友10000
校验提示文案
不辣的啤特
校验提示文案
行者无疆2019
校验提示文案
老灰灰
校验提示文案
闲嗑瓜子
校验提示文案
我是四海飘零
校验提示文案
hackchen
校验提示文案
张大妈老公公
提供了docker一键安装:
docker run -d --name=samwaf-instance \
-p 26666:26666 \
-p 80:80 \
-p 443:443 \
-v /path/to/your/conf:/app/conf \
-v /path/to/your/data:/app/data \
-v /path/to/your/logs:/app/logs \
-v /path/to/your/ssl:/app/ssl \
samwaf/samwaf
校验提示文案
dwdwt
校验提示文案
林溪风
校验提示文案
无刃幻越
校验提示文案