各位师傅好，本文章介绍软件版 嵌入式模式雷池WAF的快速上线配置。

嵌入式的部署场景

雷池WAF支持嵌入部署在用户已有Nginx/Tengine反向代理集群中，实现物理旁路、逻辑串联的部署模式。该模式需用户Nginx、Tengine集群支持加载动态模块，将雷池（SafeLine）流量牵引SO模块在用户环境中编译后，添加至反向代理集群中，从而将Web访问流量牵引至检测节点中，根据检测结果通知Nginx/Tengine集群转发或阻断。

部署特点

• 该模式可在不改变原有反代集群模式下实现雷池（SafeLine）的嵌入式部署，适合已建设反向代理集群，且运维管理能力较强的用户采用。
• 引流方式：在Nginx或Tengine中加载一个雷池WAF动态so模块，动态模块实现对HTTP流量进行阻塞，并复制一份发送给雷池检测节点进行检测并返回检测结果给动态模块，动态模块根据返回结果拦截攻击请求，放行正常请求，检测节点把攻击日志实时上报到雷池管理节点中。若业务为HTTPS流量时，则由Nginx/Tengine经过证书卸载后，再送到雷池节点进行检测；
• 默认对Nginx/Tengien引流过来的流量，使用 默认防护策略进行检测；
• 使用响应HTTP/HTTPS状态码和页面的方式拦截攻击请求，支持定制拦截攻击页面；
• 不改变网络拓扑，WEB Server无需改变获取用户源IP的方式，不经过Nginx或Tengine的业务流量无法接入到雷池WAF；
• 雷池WAF动态模块跟Nginx运行环境强相关，不同的Nginx运行环境需要编译相对应的模块进行使用。

配置上线

配置思路

1、添加站点（观察模式）
2、Nginx/Tengine上线so模块，引流量及测试验证
3、观察期分析日志
4、快速消除误报（接口开发不规范）
5、开启拦截模式

添加站点

嵌入式模式 与 硬件透明桥工作逻辑类似，在不添加任何站点的情况下，会对流量使用默认防护策略进行检测，因此 嵌入式添加站点时，也需要添加一个缺省站点，使用观察模式，避免非预期误拦截。

添加缺省站点

点击“网站防护”>“防护站点管理”， 点击右上角添加站点，如下填写后，点击确定，创建站点成功。

添加客户指定站点

点击“网站防护”>“防护站点管理”， 点击右上角添加站点，如下填写后，点击确定，创建站点成功。

切流量及测试验证

1、配合客户进行Nginx/Tengine的so模块上线部署，相关上线配置文档请咨询长亭科技技术支持。
2、登录web界面查看统计信息界面，查看请求数是否发生变化（当WAF正常检测到HTTP流量时，请求数会开始增加）

3、通过模拟攻击，确认攻击是否正常产生日志: http://www.dvwa.com/login.php?id=1 or 1=1 ，上面我们配置了观察模式，所以此处是放行。

观察分析日志

通常使用观察模式 ，分析运行大概2～3天左右，分析产生的攻击日志是否有误报现象。

误报消除

使用误报消除功能（自定义规则-检测模块控制），将误报的请求、检测模块进行加白。

开启拦截

点击“网站防护”>“防护站点管理”， 编辑站点，将防护策略 改为 默认防护策略。