大家好，這里是Cherry，喜愛折騰、撿垃圾、玩數(shù)碼，熱衷于分享NAS、docker玩耍經(jīng)驗~

前言

使用NAS，局域網(wǎng)永遠是首選環(huán)境，因為NAS的核心用途永遠是存儲服務，局域網(wǎng)的安全性、穩(wěn)定性、高速率，是保證存儲快速、穩(wěn)定傳輸?shù)牡谝灰蛩亍６鍺AS，互聯(lián)網(wǎng)才一定是首選環(huán)境，無論是人在外需要存儲/讀取數(shù)據(jù)，亦或是使用NAS上的各類軟件應用，我們都離不開互聯(lián)網(wǎng)。

相比較于局域網(wǎng)，互聯(lián)網(wǎng)服務往往面臨著更多的網(wǎng)絡安全風險，如何保障NAS以及NAS上的web服務，是每一個NAS用戶的必修課。

這里不得不表揚極空間，通過集成性極高的客戶端和遠程訪問應用，將互聯(lián)網(wǎng)端使用WEB服務的不安全因素全部擋在了門外，從根源上解決網(wǎng)絡安全問題。

但是，也有一些NAS上的服務是提供給其它人使用的，這些服務需要通過域名、IP的形式進行公開發(fā)布，那就給了一些壞壞的人提供了可攻擊的目標！

今天，Cherry為大家?guī)硪豢铋_源的Waf工具——SamWaf，它支持完全私有部署，加密本地存儲的數(shù)據(jù)，易于啟動，并支持 Linux 和 Windows 64 位。

什么是Waf？

Web應用防火墻（Web Application Firewall，簡稱WAF）是一種專門設計用于保護Web應用程序免受各種網(wǎng)絡攻擊的安全解決方案。通過監(jiān)控、過濾和阻止HTTP/HTTPS數(shù)據(jù)流，為Web應用程序提供防護。

SamWaf功能特性：

- 完全開源的代碼

- 支持私有化部署

- 輕量級，不依賴第三方服務

- 完全獨立引擎，保護功能不依賴IIS、Nginx

- 可自定義的保護規(guī)則，支持腳本和 GUI 編輯

- 支持允許列表訪問

- 支持 IP 黑名單

- 支持 URL 允許列表

- 支持 URL 訪問限制

- 支持指定的數(shù)據(jù)隱私輸出

- 支持CC頻率訪問

- 支持全局一鍵配置

- 支持針對不同網(wǎng)站的單獨保護策略

- 加密日志存儲

- 加密的通信日志

- Data obfuscation 數(shù)據(jù)混淆

一、部署教程

第一步：下載（導入）鏡像

如果大家在極空間的docker設置里配置了代理或者其它鏡像庫的，我們可以先下載鏡像。在【docker】-【倉庫】內(nèi)，搜索鏡像名samwaf/samwaf，選擇第一個進行下載。

如果沒辦法解決docker訪問的，可以選擇【鏡像】-【本地鏡像】-【導入鏡像】-【從極空間導入】，鏡像地址看下面的鏈接。

阿里云盤：www.alipan.com/s/wZRgF1sA4BY

夸克網(wǎng)盤：pan.quark.cn/s/3fedad84147e

第二步：創(chuàng)建容器

選擇下載（導入）完成的samwaf鏡像，點擊【添加到容器】。

建議去掉極空間的docker性能限制，因為極空間的性能足夠強，多跑幾個docker不再話下，限制docker性能反而會讓服務運行卡頓。

【文件夾路徑】中，點擊【添加】-【添加文件/文件夾】，或者直接雙擊灰字部分。

在【存儲空間/docker】下創(chuàng)建一個samwaf文件夾，然后在其下繼續(xù)創(chuàng)建/config，/data，/logs三個子文件夾，并與裝載路徑一一對應。

/SATA存儲/docker/samwaf/config：/app/conf

/SATA存儲/docker/samwaf/data：/app/data

/SATA存儲/docker/samwaf/data：/app/data

【端口】中，容器端口分別填入26666（webui），443（https端口），80（http端口）。左側的本地端口自己定義為不沖突的端口即可。全部設置完成后，點擊應用啟動容器即可。

第三步：配置遠程訪問

打開極空間【遠程訪問】應用，填入本地ip，以及samwaf的webui端口。

二、系統(tǒng)使用

1、系統(tǒng)初始化

samwaf的默認賬號密碼是admin/admin868，初次登錄如果系統(tǒng)版本偏低的，系統(tǒng)還會彈框提示進行熱升級，目前最新版本是v1.3.6。

如果大家確定要把waf作為外網(wǎng)防護工具的話，請務必修改密碼，并且密碼程度越復雜越好，否則被人攻擊進waf后，反而被一鍋端。

2、配置防護網(wǎng)站

正式使用WAF，我們需要創(chuàng)建一個防護網(wǎng)站，即防護目標。當互聯(lián)網(wǎng)流量訪問目標web服務的時候，會先經(jīng)過waf服務器，然后在waf規(guī)則下將流量轉發(fā)給真正的web服務，以此來達到安全防護的目的。

點擊左側【網(wǎng)站防護】-【新增防護】，這里一共有三塊地方需要設置。

①最上方的網(wǎng)站指的是訪問網(wǎng)站，即用戶的入口網(wǎng)站。可以填寫固定IP，也可以填寫域名（一般是二級域名），如果填寫域名的話，需要把域名DNS解析到極空間NAS上。這里的端口，根據(jù)http/https來區(qū)分，http就填80，https就填443，填別的沒用。

②中間的來源嚴格端口，主要是判斷來源端口，直接選關閉就行了。

③最下方的后端IP，主要指的是實際要訪問的網(wǎng)站局域網(wǎng)信息，就按照實際應用地址如實填寫。

切換到【引擎自帶防護】功能里，默認的Bot監(jiān)測、Sql注入、掃描工具監(jiān)測等等功能都是默認開放的，遇到不想要的功能再選擇關閉就行。如果你不清除具體含義，建議按照默認的來。

3、編輯防護策略

完成防護網(wǎng)站配置后，我們可以根據(jù)需要設定一些自定義規(guī)則，這里比較簡單的IP黑白名單、URL黑白名單就不具體介紹了，就是字面意思。

防御規(guī)則，使用的是條件->域->執(zhí)行的操作，可以根據(jù)訪問者的IP、端口、方法、ck等進行判斷，并且根據(jù)不同值進行不同處置方式，是比較專業(yè)的自定義規(guī)則。

CC防御，主要解決高頻訪問問題，默認的1秒鐘內(nèi)超30次后的訪問，自動攔截。

此外，證件夾用于存儲SSL證書，這里沒辦法上傳證書，必須復制證書內(nèi)的值進去。

4、數(shù)據(jù)分析

當我們設置完規(guī)則以后，只要WAF服務開啟，那么所有域名訪問流量都會經(jīng)過一次篩選和防護。我們再儀表盤里，可以看到訪問量、攻擊數(shù)、異常IP、QPS等信息。

點擊到具體的防護日志后，有每一次流量訪問的URL申請信息，支持篩選正常或異常數(shù)據(jù)。

每一條具體的明細都有訪問日期、方法、源IP、源端口、響應回復、頭等信息，我們可以根據(jù)日志信息去優(yōu)化攔截。

總結

所謂道路千萬條，安全第一條，我們在任何時候都不應該放松對網(wǎng)絡攻擊的警惕。通過在極空間NAS里部署一套web服務防護軟件，可以有效提高極空間在互聯(lián)網(wǎng)端的網(wǎng)絡安全能力，并與內(nèi)置的遠程訪問應用一內(nèi)一外互相配合，實現(xiàn)360度安全防護。

不過需要注意的是，WAF在提供網(wǎng)絡防護的同時，也承載了更多的網(wǎng)絡流量，這讓NAS同時承受2倍的網(wǎng)絡讀寫，并同樣會影響到CPU、內(nèi)存的使用率，因此部分性能較差的NAS可能無法提供過多的web服務。

如果大家在選購的時候，考慮到未來不斷擴充的服務需求，建議還是往更高配置的型號去購買，比如極空間的Z4 Pro性能版、Z423 標準版、Z423旗艦版等型號，足以應對各式各樣的存儲、docker、虛擬機需求。

「雙11全民創(chuàng)作季」它終于來啦！帶#雙11給你種草#、#雙11購后曬#分享購物攻略經(jīng)驗、入手心得，不僅可以抽取AirPods4、3元E卡，還能贏iPhone 16 Pro/華為P70 Pro，快來參與活動吧，活動詳情戳

作者聲明本文無利益相關，歡迎值友理性交流，和諧討論～

,