小白也能搞定！雷池 WAF 反向代理部署全解析，快速搭建网站安全屏障_雷池waf配置

手把手教你用群晖Docker部署雷池WAF

作者: 知产二大爷 (社区52群)

写在前面

上回书说到如何使用PVE部署雷池AWF，之所以用PVE部署，主要是考虑与其他服务尤其是群晖进行隔离，在一定程度上可以增加安全性。

应求，本文介绍通过「群晖Docker部署雷池AWF」。

项目简介

略，详情看雷池介绍文档

我的软硬件环境

「群晖920+（系统版本DSM7.2）」
「安装环境：Docker」
「勤劳的双手和聪明的大脑」

第一步：部署雷池

第一步：部署雷池
群晖内新建一个“「leichi」”文件夹（文件夹名称随意，要注意和下面的路径映射保持一致）。

下载这个压缩包：雷池预设文件 密码:bpuf

压缩包里的文件内容如下（「注意：两个文件夹内均为空文件夹，如果不上传或创建这些空文件的话安装会报错」）：

用记事本打开“ 「.env」”文件，编辑内容（只编辑「SAFELINE_DIR」和「MGT_PORT」两个变量，其他的不变）：

复制

解释

SAFELINE_DIR=这里写你的映射路径，该路径与上面新建的文件夹路径一致，如：/volume1/docker/leichi IMAGE_TAG=latest MGT_PORT=这里写你的管理后台访问端口号，如：9443 POSTGRES_PASSWORD=R031uaOo5jdxJen5FJhQMzimV5jiyMAX SUBNET_PREFIX=172.22.222 IMAGE_PREFIX=swr.cn-east-3.myhuaweicloud.com/chaitin-safeline

保存后连同其他文件一并上传到前面设置的“「leichi」”文件夹内，如图：

进入群晖Container Manager（即docker），点击“「项目」”→“「新增」”→「填写项目名称」→点击“「设置路径」”→选择前面新建的“「leichi」”文件夹。

选择“「使用现有的docker-compose.yml来创建项目」”并点击确定。

点击下一步→后面「全部选择默认设置。」

勾选“「创建项目后立即启动」”→点击“「完成」”。

等待容器拉取镜像并创建完成，这里会「比较慢」，耐心等待。

项目创建完成后，会自动部署7个服务容器。

此时就可以正常访问控制台了，地址是你群晖的IP地址+前面“ 「.env」”文件中你设置的端口号，我这里是：https://192.168.31.83:9443

如果无法正常访问控制台，说明设置可能有问题，需要重复检查前面的设置步骤（这里可以等等看，有可能是还没部署完成）。

「此时我们还没有登录密码，因此还需要重置一下登录密码。」 群晖打开SSH功能：控制面板→终端机→启动SSH功能→点击“应用”保存。

注意，端口可以自定义，但要和下面保持一致。

「用和群辉同局域网的电脑」，Windows + R 打开运行窗口，输入 “「Powershell」” 唤起“「Windows PowerShell」”。

在“「Windows PowerShell」”中，输入：「ssh erdaye@192.168.31.83 -p 6666」

⚠️注意：

1、其中“erdaye”部分是你的群晖管理员用户名，可以是中文。

2、-p后面是你在上一步设置的端口号。

3、注意有3处空格不要删除（ssh 「这里有空格」erdaye@192.168.31.6 「这里有空格」-p 「这里有空格」6666）。

回车后，在弹出的一行输入群晖管理员用户的密码。

注意，这里输入时不会显示字符，输入完成直接回车即可。

如果密码正确则会弹出如下图所示的几段文字，并且弹出的用户名改变，如果没有弹出，则重复上述步骤。

输入“sudo -i”并回车，再次输入密码后回车，此时将进入“root”用户权限。

输入“docker exec safeline-mgt resetadmin”，回车重置密码，稍等片刻弹出如下所示即表示密码重置完成。

复制重置后的密码即可登录控制台，「此时别忘了去群晖控制面板关闭SSH功能」。

第二步：设置雷池WAF
访问控制台，地址是你前面设置的IP地址,端口9443：https://192.168.31.83:9443

出现这个提示，点高级，点继续访问即可：

输入前面重置生成的账号密码。

进入控制台界面

其他设置可参考《手把手教你用PVE部署“雷池WAF”,不让黑客越雷池一步（折腾NAS系列五）》中的相关内容，及官方文档，不再赘述。

第三步：雷池WAF的升级
进入雷池的docker项目，点击“「操作」”→点击“「清除」”，「等待提示清除完成后」，重新进入项目点击“「构建」”，即可完成升级。