从0到1：Web防护容器化部署实战指南——15分钟构建企业级WAF安全屏障

安全痛点解析：未防护网站的致命风险

2023年某电商平台因未启用WAF（Web应用防火墙）防护，遭遇SQL注入攻击导致10万用户数据泄露，直接损失超500万元；同年某政府网站因缺乏CC攻击防护，服务器被恶意流量淹没，服务中断达4小时。这些真实案例揭示了现代Web服务面临的三大核心威胁：应用层漏洞利用、恶意流量攻击和数据泄露风险。

BunkerWeb作为一款开源容器化WAF解决方案，通过"默认安全"设计理念，将OWASP Top 10防护规则、HTTPS加密、DDoS缓解等核心功能打包为即插即用的容器服务。其创新之处在于：采用多阶段过滤引擎（如图1所示），在请求到达后端服务前完成恶意流量清洗；支持Kubernetes与Docker双环境部署；提供可视化管理界面降低安全配置门槛。

图1：BunkerWeb请求过滤流程图 - 展示从接入层到应用层的多层次安全防护架构

极速部署方案：Docker与K8s双路径实现

Docker单机部署（适合开发测试）

🔧 部署步骤：

# 克隆项目仓库
git clone https://gitcode.com/GitHub_Trending/bu/bunkerweb
cd bunkerweb/examples/docker-configs

# 启动基础服务栈（包含WAF核心与示例应用）
docker-compose up -d \
  --cap-add=NET_ADMIN  # 启用网络控制权限，用于DDoS防护
  --env-file=variables.env  # 加载环境变量配置

核心配置文件说明（./examples/docker-configs/docker-compose.yml）：

version: '3'
services:
  bunkerweb:
    image: bunkerity/bunkerweb:1.6.4
    ports:
      - "80:8080/tcp"
      - "443:8443/tcp"
    environment:
      - SERVER_NAME=app.example.com  # 防护域名
      - SECURITY_LEVEL=medium  # 中等安全级别
      - AUTO_LETS_ENCRYPT=yes  # 自动证书管理
    volumes:
      - ./bw-data:/data  # 持久化配置数据

Kubernetes简化部署（适合生产环境）

🔧 部署步骤：

# 应用命名空间与RBAC配置
kubectl apply -f ./examples/kubernetes-configs/kubernetes.yml

# 查看部署状态
kubectl get pods -n bunkerweb

关键配置项（./examples/kubernetes-configs/kubernetes.yml）：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: bunkerweb
  namespace: bunkerweb
spec:
  replicas: 2  # 双副本确保高可用
  template:
    spec:
      containers:
      - name: bunkerweb
        image: bunkerity/bunkerweb:1.6.4
        ports:
        - containerPort: 8080
        - containerPort: 8443
        env:
        - name: KUBERNETES_MODE
          value: "yes"  # 启用K8s自动发现

⚠️ 国内环境适配：

1. 替换镜像源：sed -i 's/bunkerity/bunkerity-cn/g' docker-compose.yml
2. 配置DNS服务器：在环境变量中添加DNS_RESOLVERS=223.5.5.5 119.29.29.29

防护规则引擎：从默认防护到自定义规则

OWASP规则集启用与调优

BunkerWeb默认集成OWASP ModSecurity Core Rule Set (CRS) 3.3.2，通过Web界面启用高级防护：

1. 登录管理后台（默认地址：https://服务器IP）
2. 导航至Plugins > ModSecurity
3. 启用以下核心规则组：
   • SQL注入防护（942xxx规则ID）
   • XSS攻击防护（941xxx规则ID）
   • 远程代码执行防护（932xxx规则ID）

图2：BunkerWeb管理控制台 - 展示安全概览与核心功能入口

自定义SQL注入拦截规则

🔧 添加自定义规则步骤：

1. 在管理界面进入Configs > Custom Rules
2. 创建新规则文件custom-sql.conf，添加：

SecRule ARGS "@rx (?i)union.*select" "id:100001,deny,status:403,msg:'SQL Union Select Detected'"

3. 应用配置并验证规则生效

规则参数说明：

• ARGS：检查所有请求参数
• @rx：正则匹配模式
• deny,status:403：阻止请求并返回403状态码
• msg：日志记录消息

监控告警体系：构建安全可视化平台

Prometheus监控配置

1. 启用内置Prometheus指标端点：

environment:
  - METRICS=yes
  - METRICS_PATH=/metrics
  - METRICS_PORT=9000

2. 关键安全指标说明：
   • bunkerweb_requests_total：总请求数
   • bunkerweb_blocked_requests_ratio：拦截率（计算公式：拦截请求数/总请求数）
   • bunkerweb_modsecurity_interventions_total：WAF规则触发次数

安全事件告警阈值设置

在Settings > Alerts配置告警规则：

• 严重攻击告警：单IP 5分钟内触发10次SQL注入规则
• 异常流量告警：请求量突增超过基线200%
• 证书到期告警：SSL证书剩余有效期小于30天

攻防实战演示：模拟攻击与防护验证

SQL注入攻击测试

# 模拟基础SQL注入尝试
curl "https://app.example.com/product?id=1' OR '1'='1"

# 查看拦截日志
docker logs bunkerweb 2>&1 | grep "SQL Union Select Detected"

预期结果：返回403 Forbidden，日志中出现"[client x.x.x.x] ModSecurity: Access denied with code 403"记录

XSS攻击防护验证

# 模拟存储型XSS攻击
curl -X POST https://app.example.com/comment \
  -d "content=<script>alert('xss')</script>"

防护效果：BunkerWeb将拦截请求并在日志中标记"XSS Attack Detected"

图3：服务创建向导（简易模式）- 展示安全级别与域名配置选项

性能优化与最佳实践

Nginx核心参数调优

修改Settings > Advanced > Nginx Config：

worker_processes auto;  # 自动匹配CPU核心数
worker_connections 10240;  # 提高并发连接数
keepalive_timeout 15;  # 减少长连接资源占用
gzip_comp_level 6;  # 平衡压缩比与CPU消耗

生产环境部署建议

1. 高可用架构：至少部署2个WAF实例，通过负载均衡器分发流量
2. 数据持久化：使用PVC存储配置与日志数据（K8s环境）
3. 定期更新：启用自动规则更新（Settings > Updates）
4. 安全基线：实施每月安全配置审查，确保符合CIS基准

总结与互动

通过本文学习，你已掌握：容器化WAF部署流程、自定义安全规则编写、攻击防护验证方法。BunkerWeb的"默认安全"理念让即使没有专业安全团队的组织也能构建企业级防护体系。

思考问题：

1. 在微服务架构中，你认为WAF应该部署在Ingress层还是每个服务前？为什么？
2. 除了本文介绍的防护手段，还有哪些措施可以防御零日漏洞攻击？

欢迎在评论区分享你的实践经验与安全防护心得！