【运维】雷池Safeline防火墙调优指南

554次阅读

7 条评论

共计 1983 个字符，预计需要 5 分钟阅读。

安装雷池防火墙后，有些用户想要调整一些配置却无从下手，现给出一些我的折腾方案。本文将持续更新！

在操作任何雷池配置文件时，请注意备份原内容。另外雷池升级时可能会还原更改，请注意重新修改！

调整HSTS头（标准时长，preload等）

详细内容和解释可以参照下面这篇文章，下面仅给出雷池的操作

【NGINX】如何优雅地实现80端口重定向到443端口

引子今日有需求对一台服务器进行https改造，也就是需要实现HSTS头的设置和端口跳转。HSTS头设置是比较...

跳转

首先取消勾选“强制HTTPS”选项。

在/data/safeline/resources/nginx/proxy_params中加入如下内容：

if ($is_https = https) {
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
}

if ($is_https = http) {
    rewrite ^ https://$host$request_uri permanent;
}

在/data/safeline/resources/nginx/nginx.conf的结尾include上方，加入如下内容：

map $scheme $is_https {
        default https;
        http http;
    }

然后在终端（ssh）中reload一下：

docker exec safeline-tengine nginx -s reload

本方法已在本站测试通过。

调整TLS版本

在/data/safeline/resources/nginx/nginx.conf找到如下内容

##
# SSL Settings
##

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

修改成以下内容

# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;

然后在终端（ssh）中reload一下：

docker exec safeline-tengine nginx -s reload

本方法也已在本站测试通过。

注意：该方法会造成极老式设备无法连接，需要完美兼容性请慎用

连接雷池PG数据库

首先，在linux机器上安装pg数据库客户端

sudo apt install postgresql-client

然后，查找雷池数据库的密码，可以在/data/safeline/.env中查找到

接着查询safeline-pg容器的IP

docker inspect safeline-pg | grep "IPAddress"

最后输入命令连接

psql -h 172.22.222.2 -p 5432 -U safeline-ce

正文完

nginx WordPress 代码教程网站资源软件雷池

发表至：新手引导

4个月前 (04月06日)

再看一点

转载说明：除特殊说明外本站文章皆由CC-4.0协议发布，转载请联系站长并注明出处。

【新手引导】C#关键字速查表

【新手引导】创建窗体项目

【运维】雷池Safeline防火墙调优指南

【后端开发】如何在Linux上快速安装NodeJS

【NGINX】如何优雅地实现80端口重定向到443端口

wintsa 评论达人 LV.1

2024-04-18 09:30:29 回复

The plain HTTP request was sent to HTTPS port
400 BAD
有被吓到，在公司。一堆人正在用，赶紧恢复了

中国香港

lvshujun 博主

2024-04-18 16:08:39 回复

@wintsa 是哪个出现这样的问题?我这边正常的.

中国

wintsa 评论达人 LV.1

2024-04-19 22:07:04 回复

@lvshujun 就是按着你教程做的。。。先说一下我的环境，waf 反代到nginx的443端口，因为waf并不支持负载均衡之类的nginx设置。reload完直接就400bad

美国凤凰城

lvshujun 博主

2024-04-20 17:02:32 回复

@wintsa 我下周一测试一下，可能是环境造成的

中国杭州

lvshujun 博主

2024-04-20 23:01:20 回复

@wintsa 有了修改，再试试看？

中国杭州

闲言碎语评论达人 LV.1

2024-04-23 16:50:20 回复

谢谢博主

中国天津

lvshujun 博主

2024-04-25 12:38:50 回复

@闲言碎语已经添加!

中国

【运维】雷池Safeline防火墙调优指南

调整HSTS头（标准时长，preload等）

【NGINX】如何优雅地实现80端口重定向到443端口

调整TLS版本

连接雷池PG数据库

【运维】如何在1Panel中用上HTTP3