雷池(SafeLine)软件版反向代理部署--详细版
雷池(SafeLine)下一代 Web 应用防火墙,以智能语义分析为核心,结合规则库、威胁情报、流量学习、访问控制等多种防护技术于一体的攻击检测引擎,具有极低的漏报误报率和优秀的 0day 防护能力,采用多级熔断和高可用相结合的手段保障业务连续性,具备集群化、容器化等使用多种平台的部署模式,为用户提供安全、合规、稳定、易用的Web 应用安全保障。
我的部署环境系统是CentOS Linux release 7.6.1810 (Core),服务器硬件CPU至强E5-2680V4处理器,2个2.4主频28核56线程,内存DDR4 128G,硬盘两块480G固态,5块1TB SAS机械硬盘。
系统配置建议:Ubuntu>= 16.04、CentOS>=7.4、Debian >=8;推荐系统Ubuntu 18.04 CentOS 7.9,CPU≥8核心,内存≥16G,数据盘≥500G
1、先查看当前系统磁盘使用情况和系统中的硬盘信息是否存在没有挂载的情况,我的数据盘还没有分区挂载使用,如下图所示:
2、列出所有磁盘的分区详细信息,如下图所示:
3、对磁盘进行分区,分区过程中有警告建议用GPT格式,我这里直接继续进行分区了(可以考虑先进行磁盘格式转换为GTP再分区)fdisk /dev/sdb(这个路径根据fdisk -l看到没有分区的磁盘是什么路径就是写什么路径,不要照抄我的路径)n代表新建分区,p代表新建主分区,分区号、扇区、扇区大小默认即可,最后w保存,完成分区新建,如下图所示:
4、使用sgdisk -g /dev/sdb 可以直接将MBR转换为GPT,如下图所示:
5、再次查看分区信息,磁盘标签类型已经变成gpt了,但大小还是2T,如下图所示:
6、直接删掉之前的分区,重新分区,d代表删除分区,如下图所示:
7、重新进行分区,如下图所示:
8、再次查看分区详细信息,3.7T大小,没问题,如下图所示:
9、对/dev/sdb1进行Ext4格式化的操作,如下图所示:
10、新建文件夹data,将/dev/sdb1挂载到/data目录(临时挂载),发现还是只有2T,如下图所示:
11、将/dev/sdb1挂载到/data后,只显示2.2TB的可用空间,而实际分区大小为 3.7TB,可能是文件系统未扩展,解决方法如下图所示:
12、再次进行将/dev/sdb1挂载到/data目录(临时挂载),现在正常显示4.0T,如下图所示:
13、查询/dev/sdb1的UUID,实现持久化挂载,临时挂载重启系统会失效,如下图所示:
14、vi /etc/fstab #编辑fstab文件,将查询到的UUID等信息添加到fstab中,到此为止安装雷池的数据盘问题解决,如下图所示:
15、检查系统环境,进行雷池安装前的准备工作,检查selinux状态,预期结果为disabled,本环境需要修改,如下图所示:
修改完之后reboot重启服务器即可生效
16、检查firewalld状态,预期结果为inactive,本环境需要修改,如下图所示:
17、检查系统时间date,比对系统时间是否正确,如不正确需要修改,如下图所示
修改时区
修改时间
18、系统配置检查,检查文件系统类型,执行df -T后,本环境是ext4不需要做修改(当类型为xfs时,执行命令xfs_info 目录地址 | grep ftype,返回ftype=1),如下图所示
19、系统配置检查,检查root umask状态,期望umask小于等于0022,本环境是0022不需要做修改(如果不符合预期执行命令 umask 0022即可)如下图所示
20、新建文件夹/data/safeline,拷贝安装包到/data/safeline中校验md5数值是否一致,给安装包加执行权限,如下图所示:
21、运行安装包,检查是否安装docker,输入密码,(密码通过下载安装包的时候获取),没有错误告警就表示没问题,如下图所示:
INSTALL_DIR=safeline-2-date +%F
mkdir $INSTALL_DIR
mv safeline-2-software-installer-.bin $INSTALL_DIR
cd $INSTALL_DIR
chmod +x safeline-2-software-installer-.bin
./safeline-2-software-installer-*.bin
22、初始化配置,如下图所示:
启动服务
systemctl start minion
检查状态
23、打开web登录界面,根据本机设备码申请授权,导入授权的时候初始密码一点要复制记录下来,再点确认更新,如下图所示:
24、配置站点,本案例是https的站点,(http的站点不需要上次SSL证书,https的站点必须要);没有过WAF之前站点是通过防火墙直接对外映射,反向代理的雷池,需要把之前防火墙对外映射的业务服务器IP改为雷池的IP即可,公网IP和端口不变;外网用户访问站点时,防火墙先转发到雷池,雷池检测完之后再转发到业务服务器上,如下图所示:
25、测试站点防护能力,如下图所示:
——————————————————————————————————————————————————————————
至此整个雷池软件版反向代理单机安装部署过程结束。
