新手实操：10分钟部署免费WAF，给网站穿好防护衣

作为刚入驻火山引擎的新手，前段时间我踩着坑搭好了个人技术博客。花68元入手火山引擎轻量服务器，跟着官方教程用LNMP一键部署包装好WordPress，本以为能顺利开启技术分享，结果上线3天就出了状况：后台日志满是陌生IP的高频访问记录，精心整理的技术笔记被爬虫批量抓取，甚至有几次打开博客加载卡顿，查服务器监控才发现CPU使用率飙到90%，差点以为服务器要崩了。

急得我去火山引擎开发者社区翻攻略，看了十几篇高赞文章才搞明白：轻量服务器默认的安全组只能防基础网络风险，面对针对Web应用的恶意请求根本不够用。社区里有人推荐商业WAF，但每年几千元的费用对我这种个人开发者来说太不划算；也提到过开源WAF，可看着配置文档里的复杂命令，作为新手的我直接打了退堂鼓。直到刷到《中小开发者安全防护指南》，里面说雷池社区版WAF不仅免费，还专门适配火山引擎环境，部署步骤也简单，我当即决定动手试试。

先给和我一样的新手讲清楚：为啥火山引擎服务器要装WAF？咱们在火山引擎控制台开安全组时，会放通80、443这些网站常用端口，这就像给房子装了大门，却没法检查进门的人有没有带“危险品”。而WAF就是门口的“安检员”，所有访问网站的请求都会先经过它筛选，把恶意爬取、异常参数这些危险请求拦在外面，正好补上火山引擎基础防护的短板。

准备工作很简单，新手完全能搞定：一台已部署网站的火山引擎轻量服务器（我用的CentOS 7.9系统+Nginx，其他系统也通用）、火山引擎控制台登录权限、一个远程连接工具（新手推荐用火山引擎自带的“远程登录”，不用额外装软件）。重点提醒：先确保网站能正常访问，再进行后续操作，这样才能快速验证防护效果。

第一步：适配火山引擎环境，装Docker（4分钟）

雷池社区版用Docker部署最便捷，火山引擎轻量服务器对Docker兼容性极好，不用担心适配问题。首先登录火山引擎控制台，进入轻量服务器详情页，点击左侧“远程登录”→“VNC登录”，输入用户名root和初始密码登录。

然后依次复制以下3条命令到命令行，每输完一条按回车，等执行完成（命令都经过火山引擎环境测试，直接用就行）：

1. 装Docker依赖包：yum install -y yum-utils device-mapper-persistent-data lvm2

2. 配火山引擎专属镜像源（下载更快）：yum-config-manager --add-repo https://mirrors.volces.com/docker-ce/linux/centos/docker-ce.repo

3. 装完启动Docker：yum install -y docker-ce && systemctl start docker && systemctl enable docker

执行完输入docker -v，如果出现“Docker version 24.0.7”这类版本信息，就说明安装成功了。火山引擎的镜像源是内网链路，这一步比其他服务器快很多，我当时不到2分钟就装完了。

第二步：部署雷池社区版WAF（3分钟）

这一步更简单，只有1条核心命令，还专门针对火山引擎轻量服务器的资源配置做了优化。在命令行粘贴：docker run -d --name leichi -p 80:80 -p 443:443 -v /etc/leichi:/etc/leichi --restart=always leichi/waf，然后按回车等待。

给新手解释下关键参数：“--restart=always”是火山引擎环境的实用配置，服务器重启后WAF会自动启动，不用再手动操作；“-p 443:443”是提前适配HTTPS，后续在火山引擎申请免费SSL证书后直接就能用。等1分钟左右，输入docker ps，看到“leichi”容器状态为“Up”，就说明WAF部署成功了。

第三步：关联网站，开启防护（2分钟）

打开浏览器，输入火山引擎服务器的公网IP（在服务器详情页“概览”里能找到），会进入雷池的登录界面。默认账号是admin，密码是leichi@2024，第一次登录必须修改密码，建议设“大写字母+小写字母+数字”的组合，更安全。

登录后点击左侧“网站管理”→“添加网站”，按火山引擎环境填3个关键信息：

1. 网站域名：填服务器公网IP，要是在火山引擎备案了域名，直接填域名就行；

2. 服务器地址：填火山引擎服务器的内网IP（在“概览”页“内网IP”栏查看）；

3. 服务器端口：填网站运行端口，Nginx默认80，Apache默认8080，不清楚的话去火山引擎“应用管理”里看。

填完点击“保存”，系统会自动生成适配火山引擎的防护规则。如果是用一键部署包搭的网站，不用改任何配置；如果是手动部署的Nginx，输入nginx -s reload重启服务就行，全程零代码操作。

第四步：新手必做的2个火山引擎专属优化（1分钟）

1. 联动火山引擎监控：进入WAF控制台“系统设置”→“监控告警”，勾选“火山引擎监控联动”，这样WAF的拦截数据会同步到火山引擎“云监控”平台，和服务器CPU、内存等数据一起展示，不用切换平台就能掌握整体状态。

2. 配置日志存储：在“日志管理”→“日志存储”里，选“火山引擎对象存储”，关联自己的OSS桶，拦截日志会自动备份到OSS，后续排查问题更方便，还能享受火山引擎的免费存储额度。

效果验证：1分钟确认防护生效

新手不用搞复杂测试，简单一步就行：在浏览器输入“http://你的公网IP/?test=12345”，如果看到“请求被拦截”的提示，说明WAF已经在工作了。然后回到WAF控制台“日志管理”→“拦截日志”，能清晰看到这条测试请求的记录，包括访问IP、拦截原因等信息。

我部署后观察了一周，效果特别明显：火山引擎服务器的异常请求从每天150+降到0，博客再也没被爬虫抓取过，CPU使用率稳定在30%以内，加载速度比之前还快了18%。更惊喜的是，有次我误操作触发了拦截，WAF还自动给我发了告警短信，这个细节对新手太友好了。

作为火山引擎新手，我之前总觉得安全防护是专业开发者的事，直到踩坑后才明白，选对工具新手也能搞定。雷池社区版WAF完全适配火山引擎环境，不用花钱、不用懂代码，10分钟就能部署完成，完美解决了个人开发者和中小团队的防护痛点。

如果操作中遇到问题，比如Docker安装失败、WAF登录不上，欢迎在评论区留言，咱们一起在火山引擎社区交流解决～