以往,运营型的web为了安全目的,才使用WAF进行安全防护。

而现如今,WAF对企业web来说,已然成了刚需。为何?等保、网络安全法的硬性要求!

当然,这样要求显然是对的:没有网络安全,就没有国家安全。

企业如何为web建立WAF防护呢?

通常有以下几种方案:

1、购买安全厂商的硬件WAF

适用于大的企业、有自己独立web服务器的企业。

优点是:简单粗暴,买了接入用就是了。

缺点是:贵、且有门槛:如果web本身用的是虚拟主机,当然是买了也没法用的,没法接。

2、接入云WAF平台

现在云WAF平台不少,国内国外的都有。

优点是:用起来不复杂,改个域名解析就可以了。

缺点是:

a、速度影响,云WAF是反向代理,原本访问模式是:

接入云WAF后,变成:

即多了一个中间环节,数据经过了中转,自然访问速度会受影响。

b、理论风险

接入云WAF后,双向数据会全部流经云WAF,从理论上而言,云WAF可以获取任意流经的信息,包括帐号密码、各种重要信息等。

注:这里讲的是理论可能性、技术可能性。并不是说云WAF一定会这样做。

此外,云WAF的价格也不便宜。

3、自己部署WAF或建立云WAF平台

有安全维护、或是网站维护人员的企业,可以选择自己部署WAF或建立企业自己的云WAF平台。

至于如何操作?

国内大约有四五十家WAF企业,思路自然是从WAF企业获取WAF,自己安装。

如果WAF具备云WAF构架,那么部署WAF即完成了自己的云WAF平台!

综合比对以上三个方案,适合中小企业的,当属第三方案了。

实操

以上理论颇多,下面是实操环节。

读到这里,可能已有朋友疑虑:

从WAF企业获取WAF产品,那不也是一笔费用吗,而且购买WAF通常门槛不少,有登记企业信息、审核环节等等,否则连WAF也拿不到!标题中所讲的“免费”在哪?

莫急,确实一般如此,但不绝对。有的WAF是开放式的,比如:ShareWAF!

ShareWAF是本文的主角。20分钟,为中小企业建立云WAF平台,靠的就是它,而且:免费!

1、下载ShareWAF

首先来到ShareWAF官网,找到下载地址。

亲验:没有提交信息、审核环节,可以直接下。

下载的时间,可以浏览一下网站,粗略了解一下产品信息,还可以跟产品客服在线聊聊天:)

ShareWAF的各种产品文档也都是公开的,可以直接查看、下载:

更多的产品介绍这里就不详述了,总体感觉:满专业、挺强大的一款产品,商业级别的,还是主动防护型WAF!

下载过程很快完成:

解压到一个目录:

根据提示,ShareWAF基于NodeJS运行环境,需要安装NodeJS(ShareWAF官网也有提到这一点。)

下载安装NodeJS:

过程也很快,用不了几分钟。

然后进入命令行、来到ShareWAF目录,进行安装:

安装其实就一条命令:

npm install

了解nodejs的朋友应该知道,这是下载项目需要的各种三方模块。

这个下载过程是从NodeJS官网下载,国外的服务器地址,如果下载过程较慢,可以换用国内的镜像地址,就会很快了。切换镜像地址的方法?百度一下,你就知道:)

安装完成后,接下来是配置。

配置就更简单了,只需配入一个IP地址:

到此,安装、配置都完成了。就可以开始使用了,你已经拥有了一个云WAF平台!

再来简单了解一下使用吧,看看我们的云WAF平台是什么样的:

1、启动ShareWAF

一条命令:

node sharewaf

2、访问后台

访问地址:http://127.0.0.1:8080/

本次测试部署在了本地,如果是部署在虚拟主机等外网环境,用真实外网地址访问。

记的访问后台是要带端口号的。

注:还记的上面的配置环节吗?IP、端口都是可配、可更改的。

可以自主注册帐号:

也可通过访问管理员后台批量添加帐号:

云WAF嘛,这是必须的:)

测试一下:

先修改host,做本地域名解析:

这是本地测试,所以需要修改host做本地域名解析。

如果是实际部署,部署到了自己的WEB服务器上,这一步是不需要的,也不需要修改真实的域名解析。

不过,如果是部署到真实环境中,80端口是需要让给ShareWAF的。

访问试试:

从消息头中可以看到ShareWAF标识,说明web已在ShareWAF保护之下。

更多的ShareWAF功能这里就不详述了,毕竟也是款商业的WAF,操作说明书也有数十页,要熟练掌握也需要研究一番。

到此,属于自己的云WAF平台,已就绪!

云WAF平台建立技能已GET!

而且全程免费!

而且下载、安装、配置、使用,整个过程也就是十几分钟的事!

中小企业自建云WAF,也不复杂嘛!