雷池（SafeLine）是长亭开源免费 WAF，采用反向代理架构，可防御 SQL 注入、XSS、CC 攻击、爬虫、暴力破解等 Web 威胁。本文全程新手向，从买服务器、域名，到一键安装 WAF、部署网站、域名解析、HTTPS 证书、安全防护上线全流程，附带界面示意图。

一、前期资源采购：服务器 + 域名

1. 云服务器选购

硬件配置标准

• 最低配置：1 核 1G 内存、20G 硬盘（个人博客、小型静态站）

• 推荐配置：2 核 2G 内存、40G 硬盘（业务程序 + WAF 同机部署）

• 操作系统：Debian 12 / Ubuntu 22.04 / CentOS7（本文以 Debian 12 演示）

安全组放行端口（重中之重）

服务器后台安全组必须提前放行 4 个端口：

1. 22：SSH 远程连接服务器

1. 9443：雷池 WAF 后台管理面板 HTTPS 端口

1. 80：HTTP 网站入口

1. 443：HTTPS 加密网站入口

2. 域名注册与解析准备

1. 在阿里云 / 腾讯云注册一级域名（如demo.com），开启 WHOIS 隐私保护

1. 记录服务器公网 IP，后续添加 A 记录：域名 → 服务器公网 IP

1. 可同步申请免费 SSL 证书（阿里云 / Let’s Encrypt 均可，后续导入雷池）

二、服务器初始化与远程连接

1. 本地打开 SSH 工具（Xshell、FinalShell、Windows PowerShell）

bash # 连接命令，替换为公网IP ssh root@你的服务器公网IP

1. 系统基础更新

bash apt update && apt upgrade -y

1. 放行系统防火墙端口（Debian/Ubuntu ufw）

bash ufw allow 22/tcp ufw allow 80/tcp ufw allow 443/tcp ufw allow 9443/tcp ufw reload

三、一键安装雷池 SafeLine WAF

雷池官方提供全自动部署脚本，自动安装 Docker、拉取镜像、启动服务，全程复制执行即可。

1. 执行安装脚本

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

2. 安装交互选择

1. 弹出选项输入 1 选择安装

1. 未检测 Docker 时输入 y 自动安装 Docker 环境

1. 安装路径默认回车 /data/safeline

1. 等待镜像拉取、容器启动完成

3. 获取后台登录信息

安装结束终端会打印：

• 管理地址：https://服务器IP:9443

• 默认账号：admin

• 初始密码（可手动查询密码）

bash # 查看初始密码 docker exec safeline-mgt cat /run/secrets/password

四、登录雷池后台并初始化安全设置

1. 浏览器输入 https://公网IP:9443，自签名证书警告选择「继续访问」

1. 输入 admin + 初始密码，首次登录强制修改高强度密码（大小写 + 数字 + 符号）

1. 绑定 2FA 双重验证（推荐腾讯身份验证器 / 谷歌验证器），防止后台被盗号

五、部署后端 Web 业务站点（两种部署模式）

雷池为反向代理模式：外网流量先进雷池清洗攻击流量，再转发到后端网站程序。分同机部署（WAF + 网站一台服务器）、分离部署（独立业务服务器）。

模式一：同机部署（新手首选）

1. 后端网站修改监听端口，禁止占用 80/443
   示例：Nginx 网站原本 80 端口，改为127.0.0.1:8080，仅本地访问

nginx # /etc/nginx/conf.d/demo.conf server {     listen 127.0.0.1:8080; # 只对内监听     server_name demo.com;     root /var/www/demo; }

重载 Nginx：nginx -s reload
2. 测试后端可用性：curl http://127.0.0.1:8080，能返回页面即正常

模式二：分离部署（生产推荐）

1. 业务服务器仅内网互通，安全组只放行雷池服务器 IP 访问网站端口

1. 雷池上游地址填写业务服务器内网 IP + 端口，隔绝业务服务器直连公网

六、雷池后台添加防护应用（接入网站）

1. 左侧菜单栏：防护应用 → 右上角添加应用

1. 核心参数填写（以域名demo.com为例）

配置项	填写示例	说明
对外域名	Demo.com	访问网站的公网域名
监听端口	80、443	雷池对外接收流量端口
上游服务器	http://127.0.0.1:8080	后端网站本地地址端口
SSL 开关	开启	启用 HTTPS 加密

1. SSL 证书配置

• 方式 1：雷池内申请免费 Let’s Encrypt 证书（自动续签）

• 方式 2：上传域名服务商下载的 PEM 证书文件

1. 防护策略默认启用：SQL 注入、XSS、CC、路径遍历、爬虫拦截、暴力破解全部自动开启；新手保持默认「拦截模式」即可。

七、域名 DNS 解析上线

1. 进入域名服务商 DNS 解析后台

1. 添加 A 记录：

• 主机记录：@（根域名）、www（www 子域名）

• 记录值：填写服务器公网 IP

• TTL：默认 10 分钟

1. 等待解析生效（通常 5–30 分钟），可使用ping demo.com验证 IP 指向正确

八、访问测试与拦截验证

1. 正常访问测试

浏览器打开 https://demo.com，正常加载网站页面即为部署成功。

2. 攻击拦截测试（验证 WAF 生效）

在地址栏输入注入测试链接：
https://demo.com/?id=union select 1,2
雷池会直接弹出访问被拦截页面，日志后台可查看攻击来源 IP、攻击类型。

3. 日志查看

左侧菜单安全日志，可查看拦截记录、访问统计、CC 攻击、爬虫访问明细。

九、进阶安全优化配置

1. IP 黑白名单：信任 IP 加入白名单（如自己办公网），恶意攻击 IP 拉黑永久拦截

1. CC 防护阈值：限制单 IP 每秒请求数，防刷站

1. 自定义拦截规则：屏蔽敏感 URL、恶意 UA 扫描器

1. 后台访问限制：系统设置里限制仅固定 IP 可访问 9443 管理面板

1. 自动备份：开启雷池配置定时备份，防止配置丢失

十、常见故障排错

1. 打不开 9443 后台：检查云安全组、服务器防火墙是否放行 9443 端口

1. 网站 502 错误：上游后端服务未启动、端口填写错误、内网不通

1. HTTPS 证书报错：证书文件格式错误、域名不匹配、未正确上传

1. 攻击不拦截：站点策略改成了「观察模式」，切换为拦截模式即可

1. 忘记 admin 密码：执行重置命令

bash docker exec safeline-mgt resetadmin

整体架构总结

用户浏览器 → DNS 解析 → 服务器 80/443 → 雷池 WAF 清洗攻击 → 转发至后端 Nginx / 程序服务
全程零付费、开源免费商用无限制，一台低配云服务器即可实现全站 Web 安全防护。