【运维】雷池Safeline防火墙调优指南

749次阅读
7 条评论

共计 1983 个字符,预计需要 5 分钟阅读。

安装雷池防火墙后,有些用户想要调整一些配置却无从下手,现给出一些我的折腾方案。本文将持续更新!

在操作任何雷池配置文件时,请注意备份原内容。另外雷池升级时可能会还原更改,请注意重新修改!

调整HSTS头(标准时长,preload等)

详细内容和解释可以参照下面这篇文章,下面仅给出雷池的操作

【NGINX】如何优雅地实现80端口重定向到443端口

引子 今日有需求对一台服务器进行https改造,也就是需要实现HSTS头的设置和端口跳转。HSTS头设置是比较...

跳转

首先取消勾选“强制HTTPS”选项。

【运维】雷池Safeline防火墙调优指南

/data/safeline/resources/nginx/proxy_params中加入如下内容:

if ($is_https = https) {
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
}

if ($is_https = http) {
    rewrite ^ https://$host$request_uri permanent;
}

/data/safeline/resources/nginx/nginx.conf的结尾include上方,加入如下内容:

map $scheme $is_https {
        default https;
        http http;
    }

然后在终端(ssh)中reload一下:

docker exec safeline-tengine nginx -s reload

本方法已在本站测试通过。

调整TLS版本

/data/safeline/resources/nginx/nginx.conf找到如下内容

##
# SSL Settings
##

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

修改成以下内容

# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;

然后在终端(ssh)中reload一下:

docker exec safeline-tengine nginx -s reload

本方法也已在本站测试通过。

注意:该方法会造成极老式设备无法连接,需要完美兼容性请慎用

连接雷池PG数据库

首先,在linux机器上安装pg数据库客户端

sudo apt install postgresql-client
【运维】雷池Safeline防火墙调优指南
已安装过,此处仅做示意

然后,查找雷池数据库的密码,可以在/data/safeline/.env中查找到

【运维】雷池Safeline防火墙调优指南
如图

接着查询safeline-pg容器的IP

docker inspect safeline-pg | grep "IPAddress"
【运维】雷池Safeline防火墙调优指南
如上即为IP

最后输入命令连接

psql -h 172.22.222.2 -p 5432 -U safeline-ce
【运维】雷池Safeline防火墙调优指南
连接成功!
正文完
 
再看一点
lvshujun
版权声明:本站原创文章,由 lvshujun 于2024-04-06发表,共计1983字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请联系站长并注明出处。
评论(7 条评论)
wintsa 评论达人 LV.1
2024-04-18 09:30:29 回复

The plain HTTP request was sent to HTTPS port
400 BAD
有被吓到,在公司。一堆人正在用,赶紧恢复了

 中国香港
    lvshujun 博主
    2024-04-18 16:08:39 回复

    @wintsa 是哪个出现这样的问题?我这边正常的.

     中国
      wintsa 评论达人 LV.1
      2024-04-19 22:07:04 回复

      @lvshujun 就是按着你教程做的。。。先说一下我的环境,waf 反代到nginx的443端口,因为waf并不支持负载均衡之类的nginx设置。reload完直接就400bad

       美国凤凰城
闲言碎语 评论达人 LV.1
2024-04-23 16:50:20 回复

谢谢博主

 中国天津