这几天在折腾雷池WAF，其实还是很好折腾的。我在《把服务器“藏”起来，让网站快起来！》可能说的不是太直接了当，后来又重新上了一张图，这样看起来更加一目了然。当然，还得要说下硬件环境，就是从海鲜上花了三四十块钱买了阿里云香港轻量24元每月的那款VPS安装雷池作为前端，而后端同样需要采用香港的VPS，这样速度才可以真正快起来。 今天就来折腾折腾怎么利用雷池WAF，把博客放在家里的服务器上。

首先介绍下我的硬件环境，家里一台J4125配置了16G内存、1T固态硬盘、4T机械硬盘，这台做成了all in one。ESXI虚拟机做底层，虚拟了爱快做为主路由拨号、Op旁路由、黑群晖，前几天又才折腾了一个debian安装了宝塔准备放网站。网络环境同家里500M电信，上行是40M、公网IP。而外部网络环境就是从海鲜上花了三四十块钱收的阿里云香港轻量24块钱每月的那一款。首先来上个图吧！

博友们访问博客首先向安装了雷池WAF阿里云香港轻量发送请求，由雷池反代后再直接访问了家里的虚拟机上的博客。是的，路线是绕到香港去了，但是这条路线是优质线路，速度方面并没有感觉到慢。下面来说说设置方法吧！

设置动态域名解析、端口映射

家里有公网IP，但是是动态的，每次重启光猫后IP就会变化。我这里是从爱快上设置了动态域名解析，网上教程很多，不再赘述。把相关服务的端口必须要映射出去，这个也是在爱快的操作。

设置域名解析

网站的域名解析IP设置为安装雷池WAF的那台香港轻量。

雷池WAF设置

首先申请证书，傻瓜化，会点鼠标就行；然后就是添加站点。

域名填写你网站的域名；证书选择你刚才申请的证书；上游服务器填写你动态域名解析的那个域名+网站映射出来的端口，如：http://xxx.laozhang.org:5425/

完成以上操作后，你就可以不需要加端口号直接使用域名访问家里虚拟机上的网站了！怎么样，即没有端口号、速度也不慢、还有雷池WAF安全保护，不是美滋滋！

网站给用户最好的体检就是速度要快，想要网站速度要快，可以把域名备案选国内的服务服务器。但是大家都知道域名备案后把网站放在国内后续会有很多问题。所以很大一部分人就干脆放弃了速度而选择把服务器放在海外。把服务器放在海外，也可以选择对大陆优化的线路，但是这样的线路成本是非常的高。

阿里云香港轻量，那个速度真的是杠杠的，谁用谁知道。但是，24元每月的那款配置只有2C1G的，说真的1G内存真的有点太小了。34块钱每月的配置是2C2G，这款拿来做站还不错，一年408块钱虽然可以接受但是感觉还是有点高。最为重要的一点就是听不少人说阿里云香港轻量虽然线路非常的好，硬件性能却非常的拉，安装个Docker都会把CPU给干爆了。阿里云发放的学生300元优惠卷，用这个卷可以买到一年的2C1G的那一款香港轻量，海鲜上这个卷最初卖30块钱，后来9月中旬新卷被阿里指定商品后老卷涨到了70元，也就是说70块钱可以搞到阿里云香港轻量2C1G款一年时间。

那怎么样花最少的钱让网站的速度飞起来呢，这里老张来谈一谈怎么样花最少的钱让网站的速度最大化。请出今天的主角，雷池WAF。

雷池WAF：网站防护软件，它本质是一个反向代理，架设在网站前面，可以灵活设定各种规则，对所有请求进行过滤，不让黑客"越雷池半步"。它底层基于 Nginx，自带图形操作界面，简单好用。它的核心是智能语义分析算法，用来判断可疑请求，相当于一层自定义的软件防火墙，它在 GitHub 已经收获了12.5K star，目前是全球排名第一的开源 WAF 项目。它可以自己架设，很适合个人和小企业使用。如果你需要防护暴露在公网的 Web 服务器，不妨用它试试看。

目前我准备的方案是阿里云香港轻量作为前端，安装雷池WAF；后端采用HH家的香港性能机（去年黑五推出的一款2刀一个月可以搞到2C6G的香港VPS。），安装宝塔做网站。通过雷池WAF，把阿里香港轻量和HH香港性能机组合起来，既有了HH机器的性能又有了阿里香港轻量的速度，同时还多了一层安全保护。至于花费嘛，和34元每月的阿里香港轻量差不多，但是性能得到了提长、防护上有了保障。

雷池的安装、设置非常的简单，不做赘述。这里给大家避一个坑，我在把甲骨文新加坡VPS的两个小破站做雷池WAF反代的时候，出现了一个问题，只要通过雷池反代，wordpress的CSS文件就加载不出来，。AI给出的解释如下：

在使用雷池进行前端代理和后端反向代理时，老张遇到了WordPress样式丢失和后台无法访问的问题。初步分析认为是SSL跳转的问题，但检查后发现实际上宝塔配置没有问题。更深入的分析显示，网站在反向代理期间，由于回源使用HTTP协议，导致WordPress误认为站点也是HTTP，从而加载了错误的资源（CSS、JS等），最终导致样式丢失和重定向过多的错误。

为了解决这一问题，建议采取以下步骤：

1. 确保前端使用HTTPS，回源采用HTTP：这样可以利用Cloudflare（CF）的证书，免去直接在源服务器上处理SSL证书的烦恼，简化维护和更新。
2. 更新WordPress配置：在wp-settings.php文件中添加$_SERVER['HTTPS'] = 'on';一行代码，以强制WordPress将网站协议识别为HTTPS，这样可以防止出现HTTP资源加载的问题。

通过以上方法，最终达到了正确加载资源并解决了访问问题，确保了WordPress的正常运行。

具体原因可以看NL论坛坛主的文章分析《WordPress 反代后，css丢失或者后台进不去的问题的解决》，解决的方法是编辑 wp-settings.php ，在 <? php 下增加一行

$_SERVER['HTTPS'] = 'on';