以往,運營型的web爲了安全目的,才使用WAF進行安全防護。
而現如今,WAF對企業web來說,已然成了剛需。爲何?等保、網絡安全法的硬性要求!
當然,這樣要求顯然是對的:沒有網絡安全,就沒有國家安全。
企業如何爲web建立WAF防護呢?
通常有以下幾種方案:
1、購買安全廠商的硬件WAF
適用於大的企業、有自己獨立web服務器的企業。
優點是:簡單粗暴,買了接入用就是了。
缺點是:貴、且有門檻:如果web本身用的是虛擬主機,當然是買了也沒法用的,沒法接。
2、接入雲WAF平臺
現在雲WAF平臺不少,國內國外的都有。
優點是:用起來不復雜,改個域名解析就可以了。
缺點是:
a、速度影響,雲WAF是反向代理,原本訪問模式是:
接入雲WAF後,變成:
即多了一箇中間環節,數據經過了中轉,自然訪問速度會受影響。
b、理論風險
接入雲WAF後,雙向數據會全部流經雲WAF,從理論上而言,雲WAF可以獲取任意流經的信息,包括帳號密碼、各種重要信息等。
注:這裏講的是理論可能性、技術可能性。並不是說雲WAF一定會這樣做。
此外,雲WAF的價格也不便宜。
3、自己部署WAF或建立雲WAF平臺
有安全維護、或是網站維護人員的企業,可以選擇自己部署WAF或建立企業自己的雲WAF平臺。
至於如何操作?
國內大約有四五十家WAF企業,思路自然是從WAF企業獲取WAF,自己安裝。
如果WAF具備雲WAF構架,那麼部署WAF即完成了自己的雲WAF平臺!
綜合比對以上三個方案,適合中小企業的,當屬第三方案了。
實操
以上理論頗多,下面是實操環節。
讀到這裏,可能已有朋友疑慮:
從WAF企業獲取WAF產品,那不也是一筆費用嗎,而且購買WAF通常門檻不少,有登記企業信息、審覈環節等等,否則連WAF也拿不到!標題中所講的“免費”在哪?
莫急,確實一般如此,但不絕對。有的WAF是開放式的,比如:ShareWAF!
ShareWAF是本文的主角。20分鐘,爲中小企業建立雲WAF平臺,靠的就是它,而且:免費!
1、下載ShareWAF
首先來到ShareWAF官網,找到下載地址。
親驗:沒有提交信息、審覈環節,可以直接下。
下載的時間,可以瀏覽一下網站,粗略瞭解一下產品信息,還可以跟產品客服在線聊聊天:)
ShareWAF的各種產品文檔也都是公開的,可以直接查看、下載:
更多的產品介紹這裏就不詳述了,總體感覺:滿專業、挺強大的一款產品,商業級別的,還是主動防護型WAF!
下載過程很快完成:
解壓到一個目錄:
根據提示,ShareWAF基於NodeJS運行環境,需要安裝NodeJS(ShareWAF官網也有提到這一點。)
下載安裝NodeJS:
過程也很快,用不了幾分鐘。
然後進入命令行、來到ShareWAF目錄,進行安裝:
安裝其實就一條命令:
npm install
瞭解nodejs的朋友應該知道,這是下載項目需要的各種三方模塊。
這個下載過程是從NodeJS官網下載,國外的服務器地址,如果下載過程較慢,可以換用國內的鏡像地址,就會很快了。切換鏡像地址的方法?百度一下,你就知道:)
安裝完成後,接下來是配置。
配置就更簡單了,只需配入一個IP地址:
到此,安裝、配置都完成了。就可以開始使用了,你已經擁有了一個雲WAF平臺!
再來簡單瞭解一下使用吧,看看我們的雲WAF平臺是什麼樣的:
1、啓動ShareWAF
一條命令:
node sharewaf
2、訪問後臺
訪問地址:http://127.0.0.1:8080/
本次測試部署在了本地,如果是部署在虛擬主機等外網環境,用真實外網地址訪問。
記的訪問後臺是要帶端口號的。
注:還記的上面的配置環節嗎?IP、端口都是可配、可更改的。
可以自主註冊帳號:
也可通過訪問管理員後臺批量添加帳號:
雲WAF嘛,這是必須的:)
測試一下:
先修改host,做本地域名解析:
這是本地測試,所以需要修改host做本地域名解析。
如果是實際部署,部署到了自己的WEB服務器上,這一步是不需要的,也不需要修改真實的域名解析。
不過,如果是部署到真實環境中,80端口是需要讓給ShareWAF的。
訪問試試:
從消息頭中可以看到ShareWAF標識,說明web已在ShareWAF保護之下。
更多的ShareWAF功能這裏就不詳述了,畢竟也是款商業的WAF,操作說明書也有數十頁,要熟練掌握也需要研究一番。
到此,屬於自己的雲WAF平臺,已就緒!
雲WAF平臺建立技能已GET!
而且全程免費!
而且下載、安裝、配置、使用,整個過程也就是十幾分鐘的事!
中小企業自建雲WAF,也不復雜嘛!