宝塔面板 + 长亭雷池 WAF 双服务器分离部署|实战保姆级教程

核心架构:一台服务器专门跑雷池 WAF(安全防护 + 反向代理),另一台跑宝塔 + 你的网站(业务服务器),业务站不直接暴露公网,所有流量先过 WAF 清洗再到网站,安全拉满,这是企业级常用的高安全部署方案。

一、前期准备(必看)

1. 两台云服务器(同地域优先,内网互通更省钱)

  • WAF 服务器:安装雷池,对公网提供 80/443 端口

    配置:1 核 2G、CentOS 7/Debian 11 均可

  • 业务服务器:安装宝塔 + WordPress,仅对 WAF 服务器开放,不直接暴露公网

    配置:2 核 2G,和之前宝塔环境一致

2. 端口放行(安全组 / 防火墙)

表格
服务器 开放端口 访问限制
WAF 服务器 80、443、8888(雷池后台) 公网可访问
业务服务器 8888(宝塔后台) 公网可访问(仅管理)
业务服务器 80、443(网站) 仅允许 WAF 服务器 IP 访问

3. 域名

提前准备好域名,后续解析到WAF 服务器公网 IP

二、第一步:业务服务器部署(宝塔 + 网站)

这台只负责跑网站,不直接对外提供访问,用你之前的 WordPress 部署流程即可:
  1. 安装宝塔面板,搭建 LNMP 环境
  2. 创建网站、上传 WordPress、完成安装
  3. 测试:业务服务器 IP 直接访问网站,确保能正常打开

【关键安全设置】

业务服务器防火墙,仅允许 WAF 服务器 IP 访问 80/443

宝塔 → 安全 → 防火墙 → 放行规则

添加规则:

  • 端口:80,443
  • 协议:TCP
  • 来源 IP:填WAF 服务器公网 IP

    (拒绝所有其他 IP 访问 80/443,彻底隐藏业务站)

三、第二步:WAF 服务器安装长亭雷池 WAF

雷池支持一键安装,纯命令行,无需复杂配置
  1. 远程连接 WAF 服务器,复制执行一键安装脚本:
bash
运行
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/install.sh)"
  1. 安装过程全程自动,等待 5 分钟即可
  2. 安装完成后,保存后台信息(务必截图):
    • 雷池后台地址:http://WAF服务器IP:8888
    • 初始账号、密码

四、第三步:雷池 WAF 配置反向代理(核心步骤)

登录雷池后台,开始配置「代理到业务服务器」,实现流量转发 + 防护
  1. 左侧菜单 → 站点管理添加站点
  2. 基础配置:
    • 站点域名:填你的博客域名
    • 监听端口:80(后续再配 443/SSL)
  3. 上游配置(关键:指向业务服务器):
    • 上游协议:HTTP
    • 上游地址:业务服务器公网 IP(同地域填内网 IP 更稳)
    • 上游端口:80
    • 负载均衡:默认轮询即可(单台业务站直接用)
  4. 点击提交,站点创建完成

五、第四步:域名解析 + HTTPS 配置

1. 域名解析

域名服务商后台,添加 A 记录:
  • 主机记录:www、@
  • 记录值:WAF 服务器公网 IP
  • 解析生效后,流量会全部走到 WAF

2. 雷池配置 SSL(HTTPS)

直接在 WAF 端配置证书,业务站无需配置,更安全:
  1. 雷池站点 → HTTPS 配置
  2. 上传 SSL 证书(申请免费 Let's Encrypt 或商用证书)
  3. 开启强制 HTTPSHTTP/2
  4. 保存后,访问https://你的域名,正常打开即成功

六、第五步:验证防护效果(实战测试)

1. 基础验证

  • 直接访问业务服务器 IP:80/443 → 无法打开(防火墙拦截,成功隐藏)
  • 访问域名 → 正常打开网站(流量走 WAF 代理)

2. WAF 防护验证

在域名后加测试攻击参数,模拟恶意访问:
plaintext
https://你的域名/?id=1' union select 1,2,3#
雷池会自动拦截,返回 403 forbidden,后台可看到攻击日志:

雷池 → 安全事件 → 可查看拦截的 SQL 注入、XSS 等攻击

七、第六步:安全加固(进阶必做)

  1. 雷池后台加固

    雷池 → 系统设置 → 修改后台 8888 端口、更换强密码,开启登录验证

  2. 宝塔后台加固

    业务服务器宝塔:开启两步验证,限制宝塔登录 IP,关闭不必要函数

  3. WAF 规则优化

    雷池默认规则已够用,可开启:

    • CC 攻击防护
    • 爬虫防护
    • 恶意 IP 封禁

八、部署逻辑总结(一眼看懂)

用户访问 → 域名解析 → WAF 服务器(雷池清洗攻击、拦截恶意流量) → 转发到 → 业务服务器(宝塔 + WordPress)
  • 业务站完全隐藏,黑客无法直接攻击
  • 所有攻击被 WAF 挡在门外
  • 双服务器分离,不占用网站服务器性能
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。