绿联 NAS 安装 雷池 WAF，防护 WEB 安全

先看这里：
（1）如果绿联NAS只用中继转发，就不用看这个教程了
（2）本教程也可参考适用于其他品牌NAS的 雷池WAF 安装


一、雷池WAF 应用说明
雷池 WAF 是长亭科技推出的一款基于智能语义分析的 开源 Web应用防火墙 ，旨在解决传统WAF误报率高的问题。它采用容器化技术部署，具备高性能、轻量级、无需专业规则维护的特点，有效防护SQL注入、XSS、命令注入、爬虫及CC攻击。

如果你的绿联 NAS 还采用除了中继访问之外的公网访问，建议安装此 Docker。

官网：https://waf-ce.chaitin.cn/
帮助文档：https://help.waf-ce.chaitin.cn/n ... 0-bafa-8ed8d2fc2bc1


二、安装说明
1. 安装命令：
    SSH 进入绿联系统，在终端运行命令：sudo bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

2. 安装过程
（1）首先输入 1，执行 雷池docker的安装，随后输入 拟安装 雷池WAF 的docker的完整路径


（2）静待几分钟之后，完成安装。注意，首次安装完成后，终端中会输出默认的用户名（admin) 和密码 ，务必保存下来用于首次登录；

（3）在浏览器中输入 https://[NAS IP]:9443 即可访问 雷池WAF 的页面，用（2）中的用户名和密码首次登录，首页如下图所示：


（4）按照如下图的方式修改 用户名和密码，并用新的 用户名+密码 重新登录系统：


（5）添加 防护应用，按照如下图方式添加 应用（该应用即是 横插在 公网 和 绿联NAS 之间的一道 WAF防火墙，所有公网流量得先经过这个应用筛一遍，才会将合法请求传给绿联NAS）：



（6）选择新添加的这个应用，点击进入详情页，首先分别点击底部的 "访问日志"、"错误日志"，在弹出的窗口的顶部勾选方框，使得后续的访问测试得以查看具体的访问日志和报错日志；       再继续点击详情页中间的 "CC防护" 、"Bot防护" 、"身份认证" 、"攻击防护"，进行相关安全防护设置（可以得测试通过之后再配置这里的4个模块，具体的防护配置请自己研究）


（7）2个小问题需手动修改：第1-修改nginx.conf文件
打开本地 雷池docker的安装路径，找到 [你的雷池路径]/safeline/resources/nginx/nginx.conf，打开文件，在文件最后增加三行代码（否则可能拿不到访问NAS的IP），见下图
    set_real_ip_from 127.0.0.1;
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;


（8）2个小问题需手动修改：第2-docker文件夹权限问题
首次安装雷池之后，雷池的文件夹下面有两个文件夹的归属不是root，必须改掉，否则可能无法打通链路。在终端依次执行以下命令，解决此问题：

•     首先进入到你的雷池的docker目录： cd [你的雷池路径]/safeline
•     停掉整个雷池的docker：sudo docker compose down
•     删掉部分文件：sudo find ./resources -name "*.sock" -delete
•     重设整个雷池docker的目录权限：sudo chown -R root:root .
•                                                    sudo chmod -R 777 .
•     重启雷池docker：sudo docker compose  up -d
  

   
（9）开始测试公网访问绿联NAS（测试公网访问的流量能否穿过雷池再去往绿联NAS）：在浏览器中输入 绿联NAS的公网访问方式，检验雷池的应用的详情页的 ”访问日志“、”报错日志“中是否有日志，如果有，根据具体日志解决报错即可。

• 如果 绿联NAS直接有公网域名，那直接访问即可；
• 如果 绿联NAS是通过公网域名反代转发到本地绿联NAS，那么记得（5）中添加的域名必须是公网服务器的域名，而 端口应该是公网服务器转发到本地NAS的本地端口，切勿搞错；如果公网服务器有使用lucky，需要做IP透传，关注下图中的子规则设置：
  

（10）当查看应用的访问日志时，如果能得到下图的效果时，基本就可以了。务必要能抓到访问NAS的IP，否则无法针对性做出防护。



（11）设置桌面快捷方式



（12）缺点：雷池Docker有点占内存，估计需要1G以上内存；    绿联NAS中安装的雷池docker，没办法在 docker app 中 一键启动/关闭 所有雷池的相关容器。因此，只能在绿联的某个目录下（比如/usr/local/safeline），创建waf.sh：sudo vi /usr/local/safeline/waf.sh，填入下述代码并保存（注意替换 WAF_DIR 后面的目录，替换为你自己的雷池docker目录）。增加waf.sh的执行权限 sudo chmod +x /usr/local/safeline/waf.sh。  

#!/bin/bash
# 自动定位到雷池目录
WAF_DIR="/volume1/docker/safeline"

case "$1" in
  start)
    cd $WAF_DIR && sudo docker compose up -d
    ;;
  stop)
    cd $WAF_DIR && sudo docker compose stop
    ;;
  status)
    cd $WAF_DIR && sudo docker compose ps
    ;;
  *)
    echo "用法: waf.sh {start|stop|status}"
esac

后续可在绿联的终端中用命令整体启动雷池（sudo bash /usr/local/safeline/waf.sh start）、整体关闭雷池（sudo bash /usr/local/safeline/waf.sh stop）、查看雷池状态（sudo bash /usr/local/safeline/waf.sh status）。



三、感谢大家的阅读，文中可能有疏漏之处，请大佬们不吝赐教。

第7步：修改nginx.conf配置，添加

1. set_real_ip_from 127.0.0.1;
   
2. real_ip_header X-Forwarded-For;
   
3. real_ip_recursive on;

复制代码

这一步可以在“防护应用”->“高级设置”->“源 IP 获取方式” 这里修改一下，能够拿到真实IP.

Lucky中带雷池的 你这要通过docker安装 没区别

茂茂阿丶 发表于 2026-2-10 12:13
Lucky中带雷池的 你这要通过docker安装 没区别

Lucky中的WAF不是雷池，是CorazaWAF

为啥我arm安装启动就提示内核不支持，dockercomp的配置文件我也改成了-arm的