宝塔面板专业版 – Nginx防火墙的设置教程

2019年11月20日 6 962 2210字阅读7分22秒

有点飘了,竟然敢用专业版的收费防火墙了。这收费版的Nginx防火墙 ,大鸟简单试用了一下,发现功能还是很丰富的,使用起来也很简单,这篇文章就来说说收费版的Nginx防火墙如何设置,算是给初次设置的同学一个参考。

要使用这个防火墙,你得购买了,19.8一个月,废话不多说了,我们看看专业版防火墙应该如何设置。目前的最新版本是Nginx防火墙 8.1.2。其他关于宝塔waf的文章:

一:Nginx防火墙首页

如何安装就不去多说了,我们打开这个防火墙,首先进入到首页,这里可以看到防火墙的总开关,这个和免费防火墙是一样的。还可以看到各种攻击的报表。

比如:POST渗透、GET渗透、CC攻击、恶意User-Agent、Cookie渗透、恶意扫描、恶意HEAD请求、网址自定义拦截、网址保护、恶意文件上传、禁止的扩展名、禁止PHP脚本等信息。具体看图吧。

宝塔面板专业版 - Nginx防火墙的设置教程

  • 在此处关闭防火墙后,所有站点将失去保护
  • 宝塔网站防火墙会使nginx有一定的性能损失(<5% 10C静态并发测试结果)
  • 宝塔网站防火墙仅主要针对网站渗透攻击,暂时不具备系统加固功能

二、全局配置

全局配置是核心了,所有Nginx防火墙的设置都在这里。这里设置好之后,新添加的站点将继承这里的规则。具体的功能如下:

  1. CC防御                   防御CC攻击,具体防御参数请到站点配置中调整
  2. 恶意容忍度             封锁连续恶意请求,请到站点配置中调整容忍阈值
  3. GET-URI过滤          过滤uri、uri参数中常见sql注入、xss等攻击
  4. GET-参数过滤         过滤uri、uri参数中常见sql注入、xss等攻击
  5. POST过滤               过滤POST参数中常见sql注入、xss等攻击
  6. User-Agent过滤     通常用于过滤浏览器、蜘蛛及一些自动扫描器
  7. Cookie过滤            过滤利用Cookie发起的渗透攻击
  8. 禁止海外访问          禁止中国大陆以外的地区访问站点(默认开启,非特殊需求强烈建议关闭)
  9. 常见扫描器             过滤常见扫描测试工具的渗透测试
  10. UA白名单               初始化阶段User-Agent白名单
  11. UA黑名单               初始化阶段User-Agent黑名单
  12. IP白名单                 所有规则对IP白名单无效
  13. IP黑名单                 禁止访问的IP
  14. 蜘蛛池                   从云端获取蜘蛛池列表
  15. URL白名单            大部分规则对URL白名单无效
  16. URL关键词拦截     从URL中拦截关键词
  17. URL黑名单            禁止访问的URL地址 403
  18. 敏感文字替换        替换设置的敏感文字
  19. ipv6访问支持      支持ipv6地址访问服务器
  20. 其它                   其它非通用过滤


宝塔面板专业版 - Nginx防火墙的设置教程目前有20个功能模块可以设置,这里说说CC防御 如何设置。

2.1CC防御

一般的个人博客,建议的规则:周期:60秒 频率:60次 封锁时间:300秒 、增强模式:关闭 、四层防御:开启、 自动模式:开启,具体的设置看图吧。

宝塔面板专业版 - Nginx防火墙的设置教程

自动模式:按照默认的60秒内遭遇600次的访问则转到增强模式(默认的配置即可)

这里说下四层防御,宝塔的防火墙是一个七层防御(应用层)的防御,应用层的缺陷在于,拦截以后对方还可以发包,链接服务器导致链接数过大的问题。 四层防御在于网络层的拦截ip操作,也就是说攻击IP 在一定限度内如果超过了这个阀值。直接进入到系统防火墙中。

2.2其他的设置

【禁止海外访问】这个功能(默认开启,非特殊需求强烈建议关闭)其余的功能我们默认即可,如果遇到问题,可以在单独关闭或者开启,这些自行调试吧。

三、站点配置

站点配置可以针对单个域名设置规则,比全局配置要更加详细,可以单独设置域名防火墙开关、CC攻击防御规则,URL白名单等。若使用CDN则需将CDN打钩。不然会导致获取IP不准确等等。

宝塔面板专业版 - Nginx防火墙的设置教程

日志后面的设置,就是具体到某个网站的,可以单独设置规则。看图:

宝塔面板专业版 - Nginx防火墙的设置教程

四、封锁历史

和免费版本的防火墙一样,只能解封所有的恶意攻击、CC攻击IP。不能单独解封,所以这个收费版有点不走心啊。

宝塔面板专业版 - Nginx防火墙的设置教程

Webshell查杀和操作日志不做解释,因为和免费版本的一毛一样。

五:一些调试

就这样设置好使用起来还是会有问题的。比如说,大鸟在后台上传图片会报错。防火墙的日志里提示:/wp-admin/async-upload.php  cc攻击,被过滤,所以这里需要调整,我们把这个点击误报,然后提交到白名单即可解决。

宝塔面板专业版 - Nginx防火墙的设置教程

点击误报即可解封并且收录到白名单中,如图:

宝塔面板专业版 - Nginx防火墙的设置教程

当然调试就是这样调试的,如果使用中还遇到问题,也不要惊慌,可以在日志中查看是不是误报,如果是就赶紧恢复到白名单中。这样使用起来就没问题了。

六:总结

19块钱的防火墙,你也不要指望有多好。使用中如果我们开启了post过滤,会有不能发表文章,不能留言等错误。所以我们需要在拦截日志查看原因,然后点击误报恢复到白名单中。

要调试之后才能打磨出一个适合自己的防火墙。这个专业版的防火墙使用了一圈,突然觉得免费版本的防火墙真香。但是专业版防火前功能还是足够丰富的,比如cdn功能,敏感词替换等等这些功能都非常实用。

  • 我的微信
  • 分享宝塔面板建站技术交流等!
  • weinxin
  • 微信公众号
  • 关注本博公众号
  • weinxin
  • 版权声明: 发表于 2019年11月20日
  • 转载注明:https://www.daniao.org/7367.html

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:6   其中:访客  4   博主  2
    • avatar sansways 回复 5

      之前用过开心版,体验过。但是现在觉得免费版够用了

        • avatar 大鸟 Admin 回复

          @sansways 免费版真的是很好啊。就怕以后可能会收费。

        • avatar 猫叔 回复 4

          我给你测试测试? :grin:

            • avatar 大鸟 Admin 回复

              @猫叔 大佬,我就是水个教程,防火墙已经卸载了。 :cry: