长亭雷池 WAF 部署与实战指南
长亭雷池(SafeLine)这个 WAF 靠 AI 做智能防护,误报控制得不错,在政企和金融圈用得挺多。它能挡 OWASP Top 10 攻击,也能管 API 滥用和爬虫。下面是我在实际部署中踩过的一些坑,以及几个高频场景的配置思路,供参考。
核心优势与适用场景
跟传统 WAF 比,雷池的机器学习模型能自动揪出一些未知攻击,误报率声称在 0.1% 以内。单节点撑万级 QPS,延迟不到 10ms,对业务性能影响很小。它兼容 Nginx、Apache,支持 HTTP/HTTPS/WebSocket。
适合场景:企业官网、电商平台、API 服务、金融系统等需要七层防护的地方。
部署前准备
硬件与环境要求
- 基础防护(QPS ≤ 5000):双核 2GHz+,4GB+ 内存,20GB+ SSD。
- 中高并发(QPS 5000-20000):四核 2.5GHz+,8GB+ 内存,40GB+ SSD。
- 高可用集群(QPS ≥ 20000):建议双节点,八核以上,16GB+ 内存。
系统推荐 Ubuntu 20.04/22.04 或 CentOS 7/8/9,Docker 版本 20.10+。物理机部署要 Java 8+,K8s 则需要 1.19+。
网络规划
管理后台默认走 9443(HTTPS),最好只放内网访问。业务转发用 80/443。日志同步 9090(Prometheus)。WAF 一定要放在 Web 服务器前面,流量先过它再到后端。
部署教程
Docker 部署(推荐)
用 Docker 部署最省事,几分钟就能跑起来。
- 准备 SSL 证书:把域名证书(
fullchain.pem公钥、privkey.pem私钥)丢到/opt/chaitin/safeline/certs下。Let's Encrypt 的话,用certbot生成后复制过来就行。 - 创建数据目录:
mkdir -p /opt/chaitin/safeline/{conf,logs,certs,data} chmod -R 777 /opt/chaitin/safeline - 编写配置文件:编辑
docker-compose.yml,把BACKEND_SERVICE换成你自己的后端地址(比如192.168.1.100:80)。version: "3.8" services: safeline: image: chaitin/safeline:latest container_name: safeline-waf restart: always network_mode: host environment: - BACKEND_SERVICE=192.168.1.100:80


