在互聯網應用快速發展的環境下，一套穩定、可面對故障的高可用 WAF (網絡應用防火墻)解決方案，是企業確保網絡安全和業務持續運行的重要基礎。本文將手把手教你如何免費打造基于 SafeLine 零價格版本的高可用 WAF 集群，實現同步配置、故障切換、無中斷協同防護。

一、前提條件

• 雷池 WAF 版本 ≥ 7.0.0
• 至少兩臺獨立運行的雷池 WAF 實例
• 所有節點均為已授權的專業版或企業版，且版本一致

二、適用場景

考慮到企業級應用對安全防護的連續性要求，以及單點故障可能帶來的業務中斷風險，因此需要一個高可用的 WAF 防護方案。特別是在以下場景：

• 金融、電商等對業務連續性要求高的行業
• 需要 7*24 小時不間斷防護的關鍵業務系統
• 
  
• 對安全防護有 SLA 承諾要求的場景

需要跨地域部署的多數據中心架構

三、解決方案

通過主從配置同步自動將雷池的網站應用，引擎規則，黑白名單，人機驗證等功能配置近實時同步到不同的從節點。具體實現方式和功能特性：金融、電商等對業務連續性要求高的行業

主節點負責配置管理和規則下發

從節點實時同步主節點配置

當主節點發生故障時，從節點可以自動接管流量

支持多從節點部署，提供更高的可用性保障

配置變更自動同步，無需人工干預

四、 方案優勢

1. 高可用性：通過主從架構和自動故障轉移，確保 WAF 服務永不中斷

2. 配置一致性：所有節點保持配置同步，避免因配置不一致導致的安全漏洞

3. 擴展性強：支持動態添加從節點，滿足業務增長需求

4. 維護便捷：集中式配置管理，降低運維復雜度

5. 成本效益：相比傳統雙機熱備方案，多節點部署提供更好的性價比

6. 業務零中斷：故障切換過程對業務透明，無需人工干預

五、開啟配置同步

1. 演示數據

本教程演示過程中使用的服務器信息說明：

主服務器：172.28.222.122

從服務器：172.28.222.123

2. 主節點操作

（1）獲取同步開啟命令

登錄 WAF 控制臺 -> 通用設置 -> 配置同步，點擊成為主節點

（2）修改通信地址

默認獲取當前訪問控制臺的地址作為后續從節點連接主節點時使用的通信地址

為了通信的安全和穩定性如果獲取的是公網地址，這里推薦改成內網地址

（3）復制同步命令

復制這里顯示的同步命令后續在從節點使用

3. 從節點操作

在從節點執行剛才的同步命令

（1）等待主從同步

預計需要等待 1-2 分鐘，此時主節點界面的顯示效果為：

從節點界面的顯示效果為：

（2）確認配置同步情況

當最近同步時間更新到最近的一兩分鐘內之后就可以在從節點確認一下網站應用和各種防護配置的同步情況了。

4. 前置負載均衡

在完成雷池 WAF 的主從配置之后，就可以通過在負載均衡讓主從接收流量了。這里使用阿里云的 SLB 作為演示。阿里云負載均衡（Server Load Balancer，簡稱SLB）是對云上流量進行按需分發的服務。通過將流量分發到不同的后端服務來擴展應用系統的服務吞吐能力，消除單點故障并提升應用系統的可用性。阿里云SLB產品家族包含應用型負載均衡ALB和網絡型負載均衡NLB。本文以 NLB 為例進行說明。

5. 創建服務器組

注意創建的時候后端協議必須選擇 TCP，調度算法必須選擇源IP哈希。為了簡單起見這里選擇開啟全端口轉發，其他配置看情況選擇。

6. 添加后端服務器

在這里選擇部署了主從節點的雷池 WAF 服務器即可

7. 創建監聽

選擇 TCP 協議，端口端視情況填寫即可。為了方便演示這里還是選擇打開全端口轉發。

8. 提交保存

確認剛才的信息選擇提交

9. 設置域名解析

將原有的域名解析的 A 記錄刪除，通過 CNAME 解析的方式將自有域名指向 NLB 實例域名。解析完成之后通過域名測試是否正常訪問即可。

六、總結

通過以上配置，我們已經成功搭建了一個高可用的雷池 WAF 集群。該方案不僅能夠提供持續的安全防護能力，還能在節點故障時實現自動切換，確保業務系統的穩定運行。在實際部署過程中，建議根據業務規模和需求選擇合適的節點數量，并定期進行故障演練，驗證高可用方案的可靠性。同時，也要注意做好監控和告警，及時發現并處理潛在問題，為業務系統提供更可靠的安全保障。

七、常見問題

問：SLB 方案還有別的選擇嗎？
答：不限制 SLB 方案，市面上常見的云廠商方案都可以選擇，甚至簡單實用 Nginx 來做也行。

問：為什么一直顯示同步中？
答：同步中只是說明主從同步的模式正常運行中，并不代表數據同步完成狀態，因此只有同步中和未同步兩種狀態。

問：從節點可以編輯配置嗎？
答：不可以。從節點是只讀狀態，只能跟隨主節點的配置。

問：從節點需要購買單獨的授權嗎？
答：是的，每個從節點都需要單獨的授權。

問：最近同步時間一直沒更新或者時間差距很大？
答：可以看看主從的 mgt 容器日志是否有明顯錯誤，或者解綁后重新嘗試同步。

問：主從可以同時接收流量嗎？
答：可以。

問：主節點會有從節點的攻擊日志、訪問日志等統計數據嗎？
答：考慮到日志同步體量等問題暫時不支持。