前言
作为一个个人站长,需要有一定的安全意识与操作,减少自己的站点遭受攻击而损失费用,或导致站点在线率受影响。
其中防范攻击的一种安全前提,就是保障源站IP不泄露。
且前后端分离就可以方便在购买站点服务器的时候避免纠结全面性能与价格,
毕竟三色图定律告诉我们价格、性能、线路质量等往往无法同时满足。
WAF就是Web Application Firewall,即Web 应用程序防火墙,在一定程度上可以对网络站点做安全防护。
本文以长亭雷池WAF为例子。
1. 部署后端服务器A
简单讲就是:正常安装 代码登录后可见,正常部署服务,正常 代码登录后可见添加证书启用 代码登录后可见。
为什么要启用 代码登录后可见?主要为了全程加密传输,保证数据安全。
同时后端服务器A上的站点域名可以不解析DNS,而是通过前端服务器B修改hosts指定IP访问,保证不泄露IP到公网。
以 代码登录后可见为例子。
1.1 安装WordPress
应用商店正常安装应用
1.2 部署站点。
新建网站,正常添加域名,启用 代码登录后可见
添加反向代理,正确暴露 代码登录后可见服务。
2. 部署前端服务器B
为什么需要套娃安装 代码登录后可见?
因为感觉现阶段雷池WAF的相关站点管理可视化与配置等还不怎么方便,
直接交予 代码登录后可见管理,更换WAF服务也会更加方便。
2.1 安装B的openresty
注意,这里按需要做一两点可能的修改:
- 为了搭配WAF,部署https端口需要选择443以外的,如1443、2443等等任意的端口。
- 反代方式一:指定hosts,需要编辑 代码登录后可见文件指定后端服务器A上的域名IP。
- 反代方式二:不需要修改 代码登录后可见文件,由 代码登录后可见配置完成。
PS:不需要WAF就直接443端口就好了,按照下一步反向代理配置完就前后端分离了。
反代方式一:指定hosts时
有指定后端服务器A上的域名IP时,完整 代码登录后可见例子
代码登录后可见
2.2 B添加站点开启反向代理
前端服务器B新建网站,域名与后端服务器A上站点相同
还可以另外添加其他域名为 代码登录后可见之类的方式方便WAF接入,这里不细说,只讲 代码登录后可见接入。
添加完成后正常添加证书启用 代码登录后可见,
然后重点来了,添加反向代理。
点击编辑网站的配置文件,将反向代理区块找个合适的地方放置
2.2.1 当有指定hosts时
代码登录后可见
- 域名按需修改
- 代码登录后可见相关按需修改
- SSL代理设置部分除了域名,不懂不建议变动
2.2.2 当没有指定hosts时
更加优雅的一种方式,感谢ns论坛@We1eVen 提醒
此时直接反代源站IP,然后通过SSL的SNI指定。
代码登录后可见
- 域名、IP 按需修改
- 代码登录后可见相关按需修改
- SSL代理设置部分除了域名,不懂不建议变动
3. 前端服务器B添加WAF防护
这里直接使用从应用商店安装方式,官方安装方式自行通过官网获取。
3.1 导入应用库
按照说明导入1Panel第三方应用库
3.2 安装长亭雷池WAF
应用商店搜索安装长亭雷池WAF
3.3. 长亭雷池WAF添加站点
安装长亭雷池WAF完成后,访问相关端口,完成初始化设置。
然后我们添加站点,