经过飞牛事件,求分享具有一定安全性的 Web / WAF 方案
最近看到飞牛事件,开始认真审视自己对外发布服务的安全性,想向大家请教一些相对成熟、可落地的 Web / WAF 方案。
当前现状
- 通过 Lucky 作为反向代理对外发布应用
- 对外暴露面较小,主要是自建服务( NAS / Web 等)
期望能力
- 支持 SSL 证书自动申请与续期( ACME / Let’s Encrypt ,有尝试过 NPM 或者 cerd ,家庭缺少部分端口,似乎不太好用,也可以大佬分享下)
- 具备 可用的 WAF 规则集
- 偏向 自建 / 私有化部署 / 开源
已完成的测试
雷池( SafeLine )
- 整体体验不错,拦截能力和规则集都比较成熟
- 但日志、分析等关键能力基本在 Pro 版本
- 对个人 / 自建环境来说 pro 成本偏高,最终放弃
南墙( OpenWAF )
- 能用,部署和使用相对轻量
- 可控性略弱 ,毕竟不是专业的从业人员。
- 日常防护可以,但整体不够“顺手”
想请教大家
- 是否有更合适的 Web / WAF 方案推荐?
- 是否有实际长期运行的经验分享(误报率、维护成本、性能等)?
- 如果是「反向代理 + WAF + 自动证书」这一套,大家目前都怎么组合?
感谢分享 🙏