前言

當個人或企業站點上線后面臨的首要威脅往往來自網絡攻擊——據統計，超過60%的Web應用漏洞利用嘗試在流量到達服務器前即被攔截。而國產開源項目雷池（SafeLine）正是為此而生：它以反向代理形態部署，在流量抵達網站前完成智能清洗，成為防御黑客滲透的第一道防線。

CPolar在此場景中扮演關鍵角色：當雷池部署于內網環境時（如企業私有云或本地服務器），開發者可通過CPolar快速創建加密隧道。此舉既避免了直接暴露Web服務端口的風險，又實現了遠程運維的即時性——例如安全團隊可隨時通過公網URL檢查攻擊日志或更新防護策略。

其核心優勢包括：

• 精準防御：語義分析引擎無需依賴規則庫，能識別繞過傳統WAF的0day攻擊；
• 極低延遲：單請求檢測耗時僅1ms級，在2000+ TPS場景下仍保持線性性能；
• 高可用架構：基于Nginx內核開發，服務穩定性達99.99%，支持彈性擴容。

【視頻教程】

1.安裝Docker

軟件依賴：Docker 20.10.6 版本以上

我這里演示的環境是Ubuntu22.04，Docker版本是24.0.5

在終端中執行下方命令安裝docker：

curl -fsSL https://get.docker.com -o get-docker.sh

然后再啟動docker

sudo sh get-docker.sh

最后我們在docker容器中運行下 hello world 看一下是否安裝成功。

sudo docker container run hello-world

可以看到出現了hello world，說明我們已經安裝docker成功，就可以進行下一步了

2.本地部署SafeLine

本項目提供了最簡單的方式，使用項目提供的一鍵安裝腳本，用root用戶執行以下命令即可

sudo bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

輸入后會提示建議關閉防火墻，按‘’Y‘’即可

看到提示后按照自己喜好填寫安裝目錄，留空就會安裝到默認里。

出現下方二維碼后顯示安裝成功

現在就已經安裝成功了，您可以通過打開Web瀏覽器輸入localhost:9443。但你會發現跳出一個錯誤的頁面。

別擔心，因為本地請求的是https協議，瀏覽器會有安全提示，我們點高級跳過（Advanced），再點擊接受并繼續（Accept the Risk and Continue）就可以了。

3.使用SafeLine

第一次登錄雷池需要初始化你的管理員賬戶（默認會執行），如果沒有找到賬戶密碼，手動執行以下命令即可

sudo docker exec safeline-mgt resetadmin

命令執行完成后會隨機重置 admin賬戶的密碼，輸出結果如下

我們直接復制粘貼就可以進入到雷池的管理界面了。

首先我們要配置一下要保護的站點，這里也說明一下，正常使用的時候，不建議把雷池和實際的業務應用部署到一臺服務器上，這樣對于服務器的負載會很大，存在隱患，最好是單獨的一臺服務器來部署雷池，之后將流量轉給真實應用。

一些關鍵字段的說明如下:

• 域名: 通過雷池訪問該站點時使用的域名 (支持使用 * 做為通配符)
• 端口: 雷池監聽的端口 (如需配置 HTTPS 服務, 請勾選 SSL 選項并配置對應的 SSL 證書)
• 上游服務器: 被保護的 Web 服務的實際地址

配置完成后，用瀏覽器訪問域名，能獲取到業務網站的響應，并且數據統計頁的 “今日請求數” 增加，那恭喜你, 說明你配置的完全正確。

我們可以簡單的模擬下對網站進行攻擊，比如SQL注入伙XSS攻擊

• 模擬 SQL 注入攻擊: https://chaitin.com/?id=1+and+1=2+union+select+1
• 模擬 XSS 攻擊: https://chaitin.com/?id=<img+src=x+onerror=alert()>
• 模擬路徑穿越攻擊: https://chaitin.com/?id=../../../../etc/passwd
• 模擬代碼注入攻擊: https://chaitin.com/?id=phpinfo();system('id')
• 模擬 XXE 攻擊: https://chaitin.com/?id=<?xml+version="1.0"?><!DOCTYPE+foo+SYSTEM+"">

不出意外的話，這些攻擊都將被雷池攔截，如下圖所示。

對于你的網站而言, 雷池可以實現如下效果:

• 阻斷 Web 攻擊
• 可以防御所有的 Web 攻擊，例如 SQL 注入、XSS、代碼注入、操作系統命令注入、CRLF 注入、XXE、SSRF、路徑遍歷 等等。
• 限制訪問頻率
• 限制用戶的訪問速率，讓 Web 服務免遭 CC 攻擊、暴力破解、流量激增 和其他類型的濫用。
• 人機驗證
• 互聯網上有來自真人用戶的流量，但更多的是由爬蟲, 漏洞掃描器, 蠕蟲病毒, 漏洞利用程序等自動化程序發起的流量，開啟雷池的人機驗證功能后真人用戶會被放行，惡意爬蟲將會被阻斷。
• 身份認證
• 雷池的 “身份認證” 功能可以很好的解決 “未授權訪問” 漏洞，當用戶訪問您的網站時，需要輸入您配置的用戶名和密碼信息，不持有認證信息的用戶將被拒之門外。
• 動態防護
• 在用戶瀏覽到的網頁內容不變的情況下，將網頁賦予動態特性，對 HTML 和 JavaScript 代碼進行動態加密，確保每次訪問時這些代碼都以隨機且獨特的形態呈現。

小結

上面在本地Linux中使用Docker成功部署了SafeLine，并局域網訪問成功。SafeLine還有很多玩法可以自己嘗試下去開發。總的來說是一款非常不錯的WAF產品，作為開源產品它的功能和完成度非常的高，而且還是國產的開源項目，必須要加分！

如果想在公網遠程管理SafeLine，就可以創建一個公網地址，這里我使用的是cpolar內網穿透，通過cpolar轉發本地端口映射的http公網地址，我們可以很容易實現遠程訪問，而無需自己注冊域名購買云服務器，可節省大量的資金。

4.cpolar內網穿透工具安裝

下面是安裝cpolar步驟：

Cpolar官網地址: https://www.cpolar.com

使用一鍵腳本安裝命令

sudo curl https://get.cpolar.sh | sh

安裝完成后，執行下方命令查看cpolar服務狀態：（如圖所示即為正常啟動）

sudo systemctl status cpolar

Cpolar安裝和成功啟動服務后，在瀏覽器上輸入ubuntu主機IP加9200端口即:【http://localhost:9200】訪問Cpolar管理界面，使用Cpolar官網注冊的賬號登錄,登錄后即可看到cpolar web 配置界面,接下來在web 界面配置即可：

5.創建遠程連接公網地址

登錄cpolar web UI管理界面后,點擊左側儀表盤的隧道管理——創建隧道：

• 隧道名稱：可自定義，本例使用了: SafeLine注意不要與已有的隧道名稱重復
• 協議：http
• 本地地址：https://localhost:9443
• 域名類型：隨機域名
• 地區：選擇China Top

創建成功后,打開左側在線隧道列表,可以看到剛剛通過創建隧道生成了兩個公網地址，接下來就可以在其他電腦（異地）上，使用任意一個地址在瀏覽器中訪問即可。

如下圖所示，成功實現使用公網地址異地遠程訪問本地部署的SafeLine。

使用上面的cpolar https公網地址，在任意設備的瀏覽器進行訪問，即可成功看到我們SafeLine管理界面，這樣一個利用公網地址可以進行遠程訪問的隧道就創建好了，隧道使用了cpolar的公網域名，無需自己購買云服務器，可節省大量資金。使用cpolar創建隧道即可發布到公網進行遠程訪問，新域名登錄，可能需要重新登陸!

6.固定Uptime Kuma公網地址

由于以上使用cpolar所創建的隧道使用的是隨機公網地址，24小時內會隨機變化，不利于長期遠程訪問。因此我們可以為其配置二級子域名，該地址為固定地址，不會隨機變化。

注意需要將cpolar套餐升級至基礎套餐或以上，且每個套餐對應的帶寬不一樣。【cpolar.cn已備案】

點擊左側的預留，選擇保留二級子域名，地區選擇china top，然后設置一個二級子域名名稱，填寫備注信息，點擊保留。

保留成功后復制保留的二級子域名地址：

登錄cpolar web UI管理界面，點擊左側儀表盤的隧道管理——隧道列表，找到所要配置的隧道，點擊右側的編輯。

修改隧道信息，將保留成功的二級子域名配置到隧道中

• 域名類型：選擇二級子域名
• Sub Domain：填寫保留成功的二級子域名
• 地區: China Top

點擊更新

更新完成后，打開在線隧道列表，此時可以看到隨機的公網地址已經發生變化，地址名稱也變成了保留和固定的二級子域名名稱。

最后，我們使用固定的公網地址訪問SafeLine管理界面可以看到訪問成功，一個永久不會變化的遠程訪問方式即設置好了。

接下來就可以隨時隨地進行公網訪問管理SafeLine了，把公網地址分享給身邊的人，還可以方便團隊協作。自己用的話，無需云服務器，還可以實現異地遠程訪問！以上就是如何在Linux Ubuntu系統Docker本地安裝SafeLine并實現異地遠程訪問進行管理的全部過程，感謝觀看！

當語義分析遇上智能反向代理，雷池SafeLine與CPolar的組合正在重新定義開源WAF的價值邊界。通過加密隧道實現的安全管控不僅降低了運維復雜度，更在防護未知威脅時展現出獨特優勢——這種技術融合既保障了對攻擊流量的精準攔截能力，又為分布式團隊協作提供了可靠支撐。對于追求“低成本、高效率”安全方案的企業而言，這或許正是平衡防御強度與資源消耗的理想路徑之一。

cpolar官網-安全的內網穿透工具 | 無需公網ip | 遠程訪問 | 搭建網站