接上一篇，chaitin雷池出了社區(qū)版，換上來試試，目前版本功能還比較少，沒有訪問日志，只告警不阻斷的模式，只有有攻擊的時(shí)候才記錄日志，希望能盡快迭代功能。（家用測(cè)試，侵刪）

項(xiàng)目地址：https://github.com/chaitin/safeline

docker環(huán)境安裝：https://docs.docker.com/engine/install/centos/

一、部署：還是上一次的一樣虛機(jī)上，

100G硬盤，1核，1G內(nèi)存，CentOS 7 最小化安裝，裝服務(wù)器就不寫了

二、關(guān)閉防火墻

service firewalld stop

如果直接用上次部署的那個(gè)機(jī)器，注意殺掉之前的進(jìn)程，不會(huì)殺的話直接重啟服務(wù)器（reboot）就行了

三、安裝docker及docker compose

網(wǎng)址：https://docs.docker.com/engine/install/centos/

按照文檔直接一步一步復(fù)制粘貼即可

sudo yum install -y yum-utils

sudo yum-config-manager \

??? --add-repo \

??? https://download.docker.com/linux/centos/docker-ce.repo

sudo yum install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

一路y

安裝常用工具

yum install wget

yum install unzip

yum install net-tools

yum install telnet

提前開啟docker服務(wù)，等下安裝會(huì)用到

service docker start

下載安裝引導(dǎo)包：

`wget https://github.com/chaitin/safeline/releases/download/v1.0.2/safeline.zip -O safeline.zip && unzip safeline.zip`

這步可能報(bào)錯(cuò)或者卡住，需要能訪問github，多試幾次，實(shí)在不行我發(fā)包給你們

執(zhí)行安裝：

cd safeline

./safeline-ce.sh

按y

等所有的條加載完，就安裝完畢了，裝不上說明網(wǎng)有問題，多試幾次，或者切換科學(xué)環(huán)境

docker ps查看當(dāng)前起的容器：

docker image ls 查看下載的鏡像：

四、界面配置

訪問https://IP:9443進(jìn)行訪問

然后需要掃碼綁定令牌，我個(gè)人用的synology的令牌 secure signin，Google的令牌或者微軟的應(yīng)該也都能用。

群暉的在下面鏈接里面搜下

https://www.synology.cn/zh-cn/support/download/DS920+?version=7.1#androids

或者直接下載：

https://cndl.synology.cn/download/Mobile/Android-SecureSignIn/1.1.1-121/Android-Authenticator.1.1.1-121.cn.apk

進(jìn)來以后當(dāng)前功能還比較少

新建站點(diǎn)吧，只講HTTPS站點(diǎn)和證書制作，

1、域名：可填可不填，無所謂；

2、端口：waf用來代理業(yè)務(wù)的端口，假設(shè)為5001

3、證書：可以先點(diǎn)生成自簽證書，確認(rèn)部署狀態(tài)無問題，后續(xù)再替換程對(duì)應(yīng)的正確證書

4、上游服務(wù)器：填寫上游服務(wù)器URL，如http://IPA:5000,注意這里只能填寫http的，和之前httpwaf一樣，做SSL加載，不支持直接加HTTPS的URL

配置完畢后，訪問 https://wafip:5001

能夠正確顯示頁(yè)面內(nèi)容說明部署無問題，下一步替換正確的SSL證書

五、上傳SSL證書

1、修改本地電腦hosts文件，將域名指到對(duì)應(yīng)IP

C:\Windows\System32\drivers\etc

或者本地有dns服務(wù)器的話加一條重寫：

2、下載SSL證書

找不見地方的看上一篇，有詳細(xì)步驟

這次下載Apache對(duì)應(yīng)的證書文件

解壓后看到有三個(gè)文件，

key是私鑰，直接拖到下面

crt的是證書文件，有倆，需要合成一下，順序是先xxxxx.public.crt，后面跟著xxxxx.com.crt

點(diǎn)提交，無報(bào)錯(cuò)即可

如果有報(bào)錯(cuò)，很有可能就是crt文件合成的時(shí)候有了空格或者空行，或者順序錯(cuò)了

路由器映射wafIP+業(yè)務(wù)代理端口即可，不要映射9443！??！

六、測(cè)試

目前沒有訪問日志，只能通過攻擊進(jìn)行測(cè)試了

打個(gè)小sql，刷個(gè)日志看看

https://domain:port/?id=1%20AND%201=1

防護(hù)效果：

產(chǎn)生對(duì)應(yīng)日志，點(diǎn)擊詳情可以查看攻擊報(bào)文：

順便吐槽一下，那個(gè)“這是誤報(bào)，點(diǎn)擊反饋”點(diǎn)一下直接就提交了，沒有確認(rèn)窗口

chaitin的口碑和產(chǎn)品還是可以的，希望功能盡快多起來，同時(shí)還得觀察下是否會(huì)上報(bào)防護(hù)日志、流量之類，有數(shù)據(jù)上報(bào)的話可能還是還回去httpwaf好一些，畢竟waf上是有SSL證書和私鑰的，個(gè)人還是不太喜歡會(huì)收集用戶數(shù)據(jù)的東西。