宝塔面板安装雷池waf，铁塔避雷器安装图

一篇文章告诉你雷池究竟怎么样

本文将探讨雷池社区版的性能、功能及使用体验，并与宝塔云WAF进行对比分析。

首先关注雷池社区版的检出效果与性能。根据已有的测试报告，雷池社区版在准确率上表现最佳，平均处理时间在毫秒级别内，几乎可以忽略不计。然而，考虑到“CT Stack安全社区”是长亭的网站，可能存在对雷池的偏见，因此还需参考其他来源的观点。

从互联网评价来看，雷池在性能方面有不错的评价，当QPS达到11000时，CPU占用为1核且内存稳定，与Modsecurity的规则验证功能（用于验证已知漏洞）相结合，显示出一定的可靠性和稳定性。

在技术交流群中，有人对宝塔云WAF进行了评价，认为其防御效果尚可。然而，对比宝塔的免费WAF与雷池专业版，价格方面似乎不如购买雷池专业版划算。

接下来对比雷池与宝塔的演示版本。雷池的演示版通常与最新版保持同步，且使用的是社区版，更符合个人用户的参考价值。而宝塔的演示版往往采用企业版授权，对于个人用户而言，参考价值有限。雷池的演示版在某些情况下会更新至beta版，有助于评估新版本的性能，这在使用过程中非常有益。

在功能对比方面，雷池专业版在日志导出、负载均衡、黑白名单规则（支持国家/地区和省/地区匹配）等方面提供了更丰富的功能。专业版还支持升级至加强版IP情报和打字搜索选择黑白名单规则。然而，专业版的“导出”功能有待改进，且在采集和补充规则的设置上与社区版相比并无显著差异。

在使用WAF时，可能会遇到一些常见问题。例如，后端无法获取真实IP，可通过在Nginx配置文件中添加特定代码解决。对于不想大幅改变网络结构的用户，雷池支持旁路接入，能够直接集成防护能力。

雷池存在一些缺点，如人机验证流程、黑白名单规则的匹配方式与导出功能的缺失。对于人机验证流程，用户可以通过部署两台雷池，将语义分析功能关闭，先进行人机验证再进行流量过滤。黑白名单规则只能使用AND逻辑，若需OR逻辑匹配，则需逐条添加规则。此外，雷池专业版的黑白名单规则不支持导出，这在配置多台服务器时较为不便，但目前未找到有效的解决方法。

证书申请方面，雷池仅支持HTTP验证方式，且仅支持Let’s Encrypt的证书，不支持ZeroSSL。用户可以通过在雷池的安装目录下的资源文件夹中手动管理证书文件，配合定时脚本实现自动同步面板生成的证书。

在补充规则功能上，社区版不允许关闭高级防护功能，如高强度防护或平衡防护。这限制了用户的自由度，可能会导致误报问题，影响用户体验。对于专业版的试用，用户可以通过其他渠道获取试用机会。

如何在宝塔(bt)下搭建 wordpress 网站 + 免费 waf 防火墙

宝塔运维工具结合WordPress快速创建网站。上线后，面临网络攻击，需启用网络应用防火墙WAF。因宝塔自带的WAF收费，对于小型网站来说不太划算，故选择免费的WAF—雷池WAF社区版。选择其原因是商业版背后有支持，利于维护。

搭建流程如下：

1.使用腾讯云轻应用服务器创建服务实例，选择"WordPress"操作系统。

2.设置腾讯云防火墙开放端口，添加端口8001（测试用，正式服务上线后可使用https协议的443端口，并关闭测试端口，更换其他端口亦可）。

3.安装成功后，在“应用管理”面板查看应用信息。

4.登录宝塔管理后端，环境配置成功。

5.在宝塔中添加社区版WAF，登录宝塔账号。使用docker运行雷池WAF，并通过一键安装脚本配置。

6.宝塔安装docker并完成安装。添加compose模板，手动修改1.10版本compose配置文件，并添加模板至“添加yaml模板”。

7.在宝塔面板创建compose项目，准备运行几分钟后，切换到“容器”面板，确认waf相关容器运行状态。

8.访问9443端口，进入waf管理后台，第一次访问需手动允许。登录雷池社区版WAF，采用OTP验证码登录。

9.配置waf，了解关键点：waf拦截在WordPress网站前，挂了则网站也会挂；用户访问的是waf，无风险后转发给业务服务；waf监听端口与网站不同，操作系统的限制。配置时测试网站正常访问，打开waf后端，创建防护站点，选择“防护模式”。

10.配置waf监听80/443端口，转发至网站监听的8000/8080端口。测试waf拦截危险访问，查看拦截日志，确认防护效果。

11.优化访问端口，不显示8001端口号，可使用https协议（443端口），并添加证书。waf提供自动生成证书功能，简化流程。

12.网站处于waf保护之下，关闭不安全端口。关于WAF升级，官方推荐cli模式手动升级，需编写新的compose文件，详细步骤另文记录。

至此，通过宝塔和雷池WAF社区版成功搭建WordPress网站并配置免费防火墙，保障网站安全。