以往,运营型的web为了安全目的,才使用WAF进行安全防护。
而现如今,WAF对企业web来说,已然成了刚需。为何?等保、网络安全法的硬性要求!
当然,这样要求显然是对的:没有网络安全,就没有国家安全。
企业如何为web建立WAF防护呢?
通常有以下几种方案:
1、购买安全厂商的硬件WAF
适用于大的企业、有自己独立web服务器的企业。
优点是:简单粗暴,买了接入用就是了。
缺点是:贵、且有门槛:如果web本身用的是虚拟主机,当然是买了也没法用的,没法接。
2、接入云WAF平台
现在云WAF平台不少,国内国外的都有。
优点是:用起来不复杂,改个域名解析就可以了。
缺点是:
a、速度影响,云WAF是反向代理,原本访问模式是:
接入云WAF后,变成:
即多了一个中间环节,数据经过了中转,自然访问速度会受影响。
b、理论风险
接入云WAF后,双向数据会全部流经云WAF,从理论上而言,云WAF可以获取任意流经的信息,包括帐号密码、各种重要信息等。
注:这里讲的是理论可能性、技术可能性。并不是说云WAF一定会这样做。
此外,云WAF的价格也不便宜。
3、自己部署WAF或建立云WAF平台
有安全维护、或是网站维护人员的企业,可以选择自己部署WAF或建立企业自己的云WAF平台。
至于如何操作?
国内大约有四五十家WAF企业,思路自然是从WAF企业获取WAF,自己安装。
如果WAF具备云WAF构架,那么部署WAF即完成了自己的云WAF平台!
综合比对以上三个方案,适合中小企业的,当属第三方案了。
实操
以上理论颇多,下面是实操环节。
读到这里,可能已有朋友疑虑:
从WAF企业获取WAF产品,那不也是一笔费用吗,而且购买WAF通常门槛不少,有登记企业信息、审核环节等等,否则连WAF也拿不到!标题中所讲的“免费”在哪?
莫急,确实一般如此,但不绝对。有的WAF是开放式的,比如:ShareWAF!
ShareWAF是本文的主角。20分钟,为中小企业建立云WAF平台,靠的就是它,而且:免费!
1、下载ShareWAF
首先来到ShareWAF官网,找到下载地址。
亲验:没有提交信息、审核环节,可以直接下。
下载的时间,可以浏览一下网站,粗略了解一下产品信息,还可以跟产品客服在线聊聊天:)
ShareWAF的各种产品文档也都是公开的,可以直接查看、下载:
更多的产品介绍这里就不详述了,总体感觉:满专业、挺强大的一款产品,商业级别的,还是主动防护型WAF!
下载过程很快完成:
解压到一个目录:
根据提示,ShareWAF基于NodeJS运行环境,需要安装NodeJS(ShareWAF官网也有提到这一点。)
下载安装NodeJS:
过程也很快,用不了几分钟。
然后进入命令行、来到ShareWAF目录,进行安装:
安装其实就一条命令:
npm install
了解nodejs的朋友应该知道,这是下载项目需要的各种三方模块。
这个下载过程是从NodeJS官网下载,国外的服务器地址,如果下载过程较慢,可以换用国内的镜像地址,就会很快了。切换镜像地址的方法?百度一下,你就知道:)
安装完成后,接下来是配置。
配置就更简单了,只需配入一个IP地址:
到此,安装、配置都完成了。就可以开始使用了,你已经拥有了一个云WAF平台!
再来简单了解一下使用吧,看看我们的云WAF平台是什么样的:
1、启动ShareWAF
一条命令:
node sharewaf
2、访问后台
访问地址:http://127.0.0.1:8080/
本次测试部署在了本地,如果是部署在虚拟主机等外网环境,用真实外网地址访问。
记的访问后台是要带端口号的。
注:还记的上面的配置环节吗?IP、端口都是可配、可更改的。
可以自主注册帐号:
也可通过访问管理员后台批量添加帐号:
云WAF嘛,这是必须的:)
测试一下:
先修改host,做本地域名解析:
这是本地测试,所以需要修改host做本地域名解析。
如果是实际部署,部署到了自己的WEB服务器上,这一步是不需要的,也不需要修改真实的域名解析。
不过,如果是部署到真实环境中,80端口是需要让给ShareWAF的。
访问试试:
从消息头中可以看到ShareWAF标识,说明web已在ShareWAF保护之下。
更多的ShareWAF功能这里就不详述了,毕竟也是款商业的WAF,操作说明书也有数十页,要熟练掌握也需要研究一番。
到此,属于自己的云WAF平台,已就绪!
云WAF平台建立技能已GET!
而且全程免费!
而且下载、安装、配置、使用,整个过程也就是十几分钟的事!
中小企业自建云WAF,也不复杂嘛!