一、环境准备：构建容器化运行基础

1.1 安装容器运行时环境

在主流Linux发行版（Ubuntu/CentOS等）上，需预先安装Docker容器引擎及编排工具。推荐使用以下命令完成基础环境搭建：

# Ubuntu系统安装示例
sudo apt update && sudo apt install -y \
    docker.io \
    docker-compose
# 启用服务并设置开机自启
sudo systemctl enable docker --now

验证安装结果时，建议同时检查客户端与服务端版本：

docker --version
docker-compose version

提示：若使用CentOS系统，需将docker.io替换为docker-ce，并通过yum包管理器安装。

1.2 配置安全组规则

在云服务器控制台中，需开放以下关键端口：

• 80/TCP：HTTP协议流量入口
• 443/TCP：HTTPS加密流量入口
• 22/TCP：SSH管理端口（建议限制源IP）

建议通过防火墙工具（如ufw或iptables）实施最小化访问控制，仅允许必要IP段访问管理端口。

二、镜像与配置管理

2.1 获取官方容器镜像

创建专用工作目录并编写编排文件：

mkdir -p ~/waf-deployment && cd ~/waf-deployment

使用YAML格式定义服务规格，关键参数说明如下：

version: '3.8'
services:
  waf-service:
    image: registry.example.com/waf:latest  # 替换为实际镜像地址
    container_name: web-firewall
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./config:/etc/waf/conf      # 配置持久化
      - ./rules:/etc/waf/rules      # 规则库更新
      - ./logs:/var/log/waf          # 日志存储
    restart: unless-stopped
    environment:
      - TZ=Asia/Shanghai            # 时区配置
      - LOG_LEVEL=info              # 日志级别

重要提示：实际部署时应从官方渠道获取镜像地址，定期更新至最新版本以获取安全补丁。

2.2 配置文件详解

典型配置目录结构应包含：

/etc/waf/conf/
├── main.conf       # 主配置文件
├── acl.conf        # 访问控制规则
└── rate_limit.conf # 流量限制规则

主配置文件关键参数示例：

# 监听配置
listen 80;
listen 443 ssl;
ssl_certificate /etc/waf/certs/fullchain.pem;
ssl_certificate_key /etc/waf/certs/privkey.pem;
# 后端代理
upstream backend {
    server 192.168.1.100:8080;  # 源站地址
    keepalive 32;
}

三、服务部署与验证

3.1 容器编排操作

执行以下命令完成服务部署：

# 拉取镜像（若未指定本地镜像）
docker-compose pull
# 启动服务（后台运行）
docker-compose up -d
# 检查运行状态
docker-compose ps

正常启动后应显示Up (healthy)状态，可通过日志监控启动过程：

docker-compose logs -f --tail=100

3.2 连通性测试

使用curl命令验证基础功能：

# HTTP访问测试
curl -I http://localhost
# HTTPS访问测试（需配置证书）
curl -kI https://localhost

预期应返回源站响应头，同时WAF日志中应记录访问请求。

四、流量代理配置

4.1 DNS解析配置

在域名管理平台将A记录指向WAF服务器公网IP，建议配置：

• 主域名（@）
• www子域名
• 其他需要防护的子域名

TTL建议设置为300秒以加快解析生效速度。

4.2 后端源站配置

通过管理界面或配置文件指定源站地址，支持多种部署模式：

• 单节点模式：直接指定IP:端口
• 集群模式：配置负载均衡地址
• 多活模式：配置多个后端并设置健康检查

4.3 HTTPS证书管理

推荐使用以下方案之一：

1. Let’s Encrypt自动证书：通过Certbot工具自动续期
2. 自有证书部署：将证书文件挂载至容器指定路径
3. 云服务商证书：从对象存储加载证书文件

证书更新后需重启容器使配置生效：

docker-compose restart

五、高级防护配置

5.1 规则引擎优化

建议根据业务特点调整防护规则：

• 启用OWASP核心规则集（CRS）
• 自定义CC攻击阈值（建议初始值：1000rpm）
• 配置数据泄露防护规则

5.2 日志分析集成

将日志输出至标准日志收集系统：

# 在docker-compose.yml中添加日志驱动配置
logging:
  driver: "json-file"
  options:
    max-size: "10m"
    max-file: "3"

或直接对接日志分析平台（如ELK、Splunk等）。

5.3 监控告警设置

建议监控以下关键指标：

• 请求处理速率（QPS）
• 拦截请求比例
• 后端响应时间
• 系统资源使用率

可通过Prometheus+Grafana方案构建可视化监控面板。

六、维护与升级

6.1 版本升级流程

1. 备份当前配置文件
2. 拉取最新镜像：docker-compose pull
3. 测试环境验证新版本
4. 生产环境平滑升级：

   docker-compose up -d --no-deps --build waf-service

6.2 故障排查指南

常见问题处理方案：
| 现象 | 可能原因 | 解决方案 |
|———|————-|————-|
| 502错误 | 后端不可达 | 检查源站健康状态 |
| 证书失效 | 证书过期 | 更新证书并重启 |
| 规则误杀 | 规则过严 | 调整CC防护阈值 |
| 性能下降 | 资源不足 | 调整容器资源限制 |

七、最佳实践建议

1. 灰度发布：先在测试环境验证规则配置
2. 最小权限原则：容器运行用户设置为非root
3. 定期审计：每月检查拦截日志与规则有效性
4. 备份机制：重要配置实行异地备份
5. 性能基准测试：使用JMeter等工具验证防护性能影响

通过本方案部署的WAF系统，可有效拦截90%以上的常见Web攻击，同时保持低于5ms的请求处理延迟。建议结合Web漏洞扫描工具定期进行安全评估，构建多层次的防御体系。