GoForum › 🌐 V2EX
经过飞牛事件,求分享具有一定安全性的 Web / WAF 方案
Nectar1899 ·
2026-02-06 14:22 ·
0 次点赞 · 2 条回复
最近看到飞牛事件,开始认真审视自己对外发布服务的安全性,想向大家请教一些相对成熟、可落地的 Web / WAF 方案。
当前现状
- 通过 Lucky 作为反向代理对外发布应用
- 对外暴露面较小,主要是自建服务( NAS / Web 等)
期望能力
- 支持 SSL 证书自动申请与续期( ACME / Let’s Encrypt ,有尝试过 NPM 或者 cerd ,家庭缺少部分端口,似乎不太好用,也可以大佬分享下)
- 具备 可用的 WAF 规则集
- 偏向 自建 / 私有化部署 / 开源
已完成的测试
雷池( SafeLine )
- 整体体验不错,拦截能力和规则集都比较成熟
- 但日志、分析等关键能力基本在 Pro 版本
- 对个人 / 自建环境来说 pro 成本偏高,最终放弃
南墙( OpenWAF )
- 能用,部署和使用相对轻量
- 可控性略弱 ,毕竟不是专业的从业人员。
- 日常防护可以,但整体不够“顺手”
想请教大家
- 是否有更合适的 Web / WAF 方案推荐?
- 是否有实际长期运行的经验分享(误报率、维护成本、性能等)?
- 如果是「反向代理 + WAF + 自动证书」这一套,大家目前都怎么组合?
感谢分享 🙏
2 条回复
路由器把 IP 地址限制到你们城市或者省才能访问或者最大范围仅中国 IP 访问。挂上 WAF 把 IP 地址限制打开,用户认证打开,黑名单和白名单都打开人机验证打开。搞到非常难访问的程度基本就没有问题了。
web 应用–>NGINX 反代(开启基本认证)—>WAF(IP 地址限制到你们省市,黑名单常用封禁国内爬虫恶意 IP ,CC 和人机验证打开,用户认证打开)—>出口路由器(限制访问为国内 IP 地址访问,开启国内爬虫和恶意 IP 封堵)—>公网
你想用首先得是国内正常 IP—>进入出口路由器—>过 WAF 的省内 IP 认证–>人机验证–>CC 防护–>用户认证–>攻击防护—->过 NGINX 反代基本认证—>再到 web 应用。
上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的,二是的攻破 WAF 的各项防护,在攻破 NGINX 的基本认证防护,最后才是 web 应用的。 可以选择性的打开或者关闭某些防护,根据你的实际需求来做。 我这边把除了 NGINX 的基本防护关闭了,别的全部都打开了。现在没有任何问题包括外部扫描都没有了,除了国内两个省的 IP 地址可以访问别的都不行。
添加回复
你还需要 登录
后发表回复
反代上套一个 basic auth 就行了