大家好,这里是Cherry,喜爱折腾、捡垃圾、玩数码,热衷于分享NAS、docker玩耍经验~
前言
使用NAS,局域网永远是首选环境,因为NAS的核心用途永远是存储服务,局域网的安全性、稳定性、高速率,是保证存储快速、稳定传输的第一因素。而玩NAS,互联网才一定是首选环境,无论是人在外需要存储/读取数据,亦或是使用NAS上的各类软件应用,我们都离不开互联网。
相比较于局域网,互联网服务往往面临着更多的网络安全风险,如何保障NAS以及NAS上的web服务,是每一个NAS用户的必修课。
这里不得不表扬极空间,通过集成性极高的客户端和远程访问应用,将互联网端使用WEB服务的不安全因素全部挡在了门外,从根源上解决网络安全问题。
但是,也有一些NAS上的服务是提供给其它人使用的,这些服务需要通过域名、IP的形式进行公开发布,那就给了一些坏坏的人提供了可攻击的目标!
今天,Cherry为大家带来一款开源的Waf工具——SamWaf,它支持完全私有部署,加密本地存储的数据,易于启动,并支持 Linux 和 Windows 64 位。
什么是Waf?
Web应用防火墙(Web Application Firewall,简称WAF)是一种专门设计用于保护Web应用程序免受各种网络攻击的安全解决方案。通过监控、过滤和阻止HTTP/HTTPS数据流,为Web应用程序提供防护。
SamWaf功能特性:
- 完全开源的代码
- 支持私有化部署
- 轻量级,不依赖第三方服务
- 完全独立引擎,保护功能不依赖IIS、Nginx
- 可自定义的保护规则,支持脚本和 GUI 编辑
- 支持允许列表访问
- 支持 IP 黑名单
- 支持 URL 允许列表
- 支持 URL 访问限制
- 支持指定的数据隐私输出
- 支持CC频率访问
- 支持全局一键配置
- 支持针对不同网站的单独保护策略
- 加密日志存储
- 加密的通信日志
- Data obfuscation 数据混淆
一、部署教程
第一步:下载(导入)镜像
如果大家在极空间的docker设置里配置了代理或者其它镜像库的,我们可以先下载镜像。在【docker】-【仓库】内,搜索镜像名samwaf/samwaf,选择第一个进行下载。
如果没办法解决docker访问的,可以选择【镜像】-【本地镜像】-【导入镜像】-【从极空间导入】,镜像地址看下面的链接。
阿里云盘:www.alipan.com/s/wZRgF1sA4BY
夸克网盘:pan.quark.cn/s/3fedad84147e
第二步:创建容器
选择下载(导入)完成的samwaf镜像,点击【添加到容器】。
建议去掉极空间的docker性能限制,因为极空间的性能足够强,多跑几个docker不再话下,限制docker性能反而会让服务运行卡顿。
【文件夹路径】中,点击【添加】-【添加文件/文件夹】,或者直接双击灰字部分。
在【存储空间/docker】下创建一个samwaf文件夹,然后在其下继续创建/config,/data,/logs三个子文件夹,并与装载路径一一对应。
/SATA存储/docker/samwaf/config:/app/conf
/SATA存储/docker/samwaf/data:/app/data
/SATA存储/docker/samwaf/data:/app/data
【端口】中,容器端口分别填入26666(webui),443(https端口),80(http端口)。左侧的本地端口自己定义为不冲突的端口即可。全部设置完成后,点击应用启动容器即可。
第三步:配置远程访问
打开极空间【远程访问】应用,填入本地ip,以及samwaf的webui端口。
二、系统使用
1、系统初始化
samwaf的默认账号密码是admin/admin868,初次登录如果系统版本偏低的,系统还会弹框提示进行热升级,目前最新版本是v1.3.6。
如果大家确定要把waf作为外网防护工具的话,请务必修改密码,并且密码程度越复杂越好,否则被人攻击进waf后,反而被一锅端。
2、配置防护网站
正式使用WAF,我们需要创建一个防护网站,即防护目标。当互联网流量访问目标web服务的时候,会先经过waf服务器,然后在waf规则下将流量转发给真正的web服务,以此来达到安全防护的目的。
点击左侧【网站防护】-【新增防护】,这里一共有三块地方需要设置。
①最上方的网站指的是访问网站,即用户的入口网站。可以填写固定IP,也可以填写域名(一般是二级域名),如果填写域名的话,需要把域名DNS解析到极空间NAS上。这里的端口,根据http/https来区分,http就填80,https就填443,填别的没用。
②中间的来源严格端口,主要是判断来源端口,直接选关闭就行了。
③最下方的后端IP,主要指的是实际要访问的网站局域网信息,就按照实际应用地址如实填写。
切换到【引擎自带防护】功能里,默认的Bot监测、Sql注入、扫描工具监测等等功能都是默认开放的,遇到不想要的功能再选择关闭就行。如果你不清除具体含义,建议按照默认的来。
3、编辑防护策略
完成防护网站配置后,我们可以根据需要设定一些自定义规则,这里比较简单的IP黑白名单、URL黑白名单就不具体介绍了,就是字面意思。
防御规则,使用的是条件->域->执行的操作,可以根据访问者的IP、端口、方法、ck等进行判断,并且根据不同值进行不同处置方式,是比较专业的自定义规则。
CC防御,主要解决高频访问问题,默认的1秒钟内超30次后的访问,自动拦截。
此外,证件夹用于存储SSL证书,这里没办法上传证书,必须复制证书内的值进去。
4、数据分析
当我们设置完规则以后,只要WAF服务开启,那么所有域名访问流量都会经过一次筛选和防护。我们再仪表盘里,可以看到访问量、攻击数、异常IP、QPS等信息。
点击到具体的防护日志后,有每一次流量访问的URL申请信息,支持筛选正常或异常数据。
每一条具体的明细都有访问日期、方法、源IP、源端口、响应回复、头等信息,我们可以根据日志信息去优化拦截。
总结
所谓道路千万条,安全第一条,我们在任何时候都不应该放松对网络攻击的警惕。通过在极空间NAS里部署一套web服务防护软件,可以有效提高极空间在互联网端的网络安全能力,并与内置的远程访问应用一内一外互相配合,实现360度安全防护。
不过需要注意的是,WAF在提供网络防护的同时,也承载了更多的网络流量,这让NAS同时承受2倍的网络读写,并同样会影响到CPU、内存的使用率,因此部分性能较差的NAS可能无法提供过多的web服务。
如果大家在选购的时候,考虑到未来不断扩充的服务需求,建议还是往更高配置的型号去购买,比如极空间的Z4 Pro性能版、Z423 标准版、Z423旗舰版等型号,足以应对各式各样的存储、docker、虚拟机需求。
「双11全民创作季」它终于来啦!带#双11给你种草#、#双11购后晒#分享购物攻略经验、入手心得,不仅可以抽取AirPods4、3元E卡,还能赢iPhone 16 Pro/华为P70 Pro,快来参与活动吧,活动详情戳
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
,
