中小企业自建云WAF有多难？只需20分钟！而且：全程免费！

以往，运营型的web为了安全目的，才使用WAF进行安全防护。

而现如今，WAF对企业web来说，已然成了刚需。为何？等保、网络安全法的硬性要求！

当然，这样要求显然是对的：没有网络安全，就没有国家安全。

企业如何为web建立WAF防护呢？

通常有以下几种方案：

1、购买安全厂商的硬件WAF

适用于大的企业、有自己独立web服务器的企业。

优点是：简单粗暴，买了接入用就是了。

缺点是：贵、且有门槛：如果web本身用的是虚拟主机，当然是买了也没法用的，没法接。

2、接入云WAF平台

现在云WAF平台不少，国内国外的都有。

优点是：用起来不复杂，改个域名解析就可以了。

缺点是：

a、速度影响，云WAF是反向代理，原本访问模式是：

接入云WAF后，变成：

即多了一个中间环节，数据经过了中转，自然访问速度会受影响。

b、理论风险

接入云WAF后，双向数据会全部流经云WAF，从理论上而言，云WAF可以获取任意流经的信息，包括帐号密码、各种重要信息等。

注：这里讲的是理论可能性、技术可能性。并不是说云WAF一定会这样做。

此外，云WAF的价格也不便宜。

3、自己部署WAF或建立云WAF平台

有安全维护、或是网站维护人员的企业，可以选择自己部署WAF或建立企业自己的云WAF平台。

至于如何操作？

国内大约有四五十家WAF企业，思路自然是从WAF企业获取WAF，自己安装。

如果WAF具备云WAF构架，那么部署WAF即完成了自己的云WAF平台！

综合比对以上三个方案，适合中小企业的，当属第三方案了。

实操

以上理论颇多，下面是实操环节。

读到这里，可能已有朋友疑虑：

从WAF企业获取WAF产品，那不也是一笔费用吗，而且购买WAF通常门槛不少，有登记企业信息、审核环节等等，否则连WAF也拿不到！标题中所讲的“免费”在哪？

莫急，确实一般如此，但不绝对。有的WAF是开放式的，比如：ShareWAF！

ShareWAF是本文的主角。20分钟，为中小企业建立云WAF平台，靠的就是它，而且：免费！

1、下载ShareWAF

首先来到ShareWAF官网，找到下载地址。

亲验：没有提交信息、审核环节，可以直接下。

下载的时间，可以浏览一下网站，粗略了解一下产品信息，还可以跟产品客服在线聊聊天：）

ShareWAF的各种产品文档也都是公开的，可以直接查看、下载：

更多的产品介绍这里就不详述了，总体感觉：满专业、挺强大的一款产品，商业级别的，还是主动防护型WAF！

下载过程很快完成：

解压到一个目录：

根据提示，ShareWAF基于NodeJS运行环境，需要安装NodeJS（ShareWAF官网也有提到这一点。）

下载安装NodeJS：

过程也很快，用不了几分钟。

然后进入命令行、来到ShareWAF目录，进行安装：

安装其实就一条命令：

npm install

了解nodejs的朋友应该知道，这是下载项目需要的各种三方模块。

这个下载过程是从NodeJS官网下载，国外的服务器地址，如果下载过程较慢，可以换用国内的镜像地址，就会很快了。切换镜像地址的方法？百度一下，你就知道：）

安装完成后，接下来是配置。

配置就更简单了，只需配入一个IP地址：

到此，安装、配置都完成了。就可以开始使用了，你已经拥有了一个云WAF平台！

再来简单了解一下使用吧，看看我们的云WAF平台是什么样的：

1、启动ShareWAF

一条命令：

node sharewaf

2、访问后台

访问地址：http://127.0.0.1:8080/

本次测试部署在了本地，如果是部署在虚拟主机等外网环境，用真实外网地址访问。

记的访问后台是要带端口号的。

注：还记的上面的配置环节吗？IP、端口都是可配、可更改的。

可以自主注册帐号：

也可通过访问管理员后台批量添加帐号：

云WAF嘛，这是必须的：）

测试一下：

先修改host，做本地域名解析：

这是本地测试，所以需要修改host做本地域名解析。

如果是实际部署，部署到了自己的WEB服务器上，这一步是不需要的，也不需要修改真实的域名解析。

不过，如果是部署到真实环境中，80端口是需要让给ShareWAF的。

访问试试：

从消息头中可以看到ShareWAF标识，说明web已在ShareWAF保护之下。

更多的ShareWAF功能这里就不详述了，毕竟也是款商业的WAF，操作说明书也有数十页，要熟练掌握也需要研究一番。

到此，属于自己的云WAF平台，已就绪！

云WAF平台建立技能已GET！

而且全程免费！

而且下载、安装、配置、使用，整个过程也就是十几分钟的事！

中小企业自建云WAF，也不复杂嘛！