宝塔面板专业版 – Nginx防火墙的设置教程

有点飘了，竟然敢用专业版的收费防火墙了。这收费版的Nginx防火墙 ，大鸟简单试用了一下，发现功能还是很丰富的，使用起来也很简单，这篇文章就来说说收费版的Nginx防火墙如何设置，算是给初次设置的同学一个参考。

要使用这个防火墙，你得购买了，19.8一个月，废话不多说了，我们看看专业版防火墙应该如何设置。目前的最新版本是Nginx防火墙 8.1.2。其他关于宝塔waf的文章：

一：Nginx防火墙首页

如何安装就不去多说了，我们打开这个防火墙，首先进入到首页，这里可以看到防火墙的总开关，这个和免费防火墙是一样的。还可以看到各种攻击的报表。

比如：POST渗透、GET渗透、CC攻击、恶意User-Agent、Cookie渗透、恶意扫描、恶意HEAD请求、网址自定义拦截、网址保护、恶意文件上传、禁止的扩展名、禁止PHP脚本等信息。具体看图吧。

• 在此处关闭防火墙后,所有站点将失去保护
• 宝塔网站防火墙会使nginx有一定的性能损失(<5% 10C静态并发测试结果)
• 宝塔网站防火墙仅主要针对网站渗透攻击,暂时不具备系统加固功能

二、全局配置

全局配置是核心了，所有Nginx防火墙的设置都在这里。这里设置好之后，新添加的站点将继承这里的规则。具体的功能如下：

2.1CC防御

一般的个人博客，建议的规则：周期：60秒 频率：60次 封锁时间：300秒 、增强模式:关闭 、四层防御:开启、 自动模式：开启，具体的设置看图吧。

自动模式：按照默认的60秒内遭遇600次的访问则转到增强模式（默认的配置即可）

这里说下四层防御，宝塔的防火墙是一个七层防御（应用层）的防御，应用层的缺陷在于，拦截以后对方还可以发包，链接服务器导致链接数过大的问题。 四层防御在于网络层的拦截ip操作，也就是说攻击IP 在一定限度内如果超过了这个阀值。直接进入到系统防火墙中。

2.2其他的设置

【禁止海外访问】这个功能（默认开启，非特殊需求强烈建议关闭）其余的功能我们默认即可，如果遇到问题，可以在单独关闭或者开启，这些自行调试吧。

三、站点配置

站点配置可以针对单个域名设置规则，比全局配置要更加详细，可以单独设置域名防火墙开关、CC攻击防御规则，URL白名单等。若使用CDN则需将CDN打钩。不然会导致获取IP不准确等等。

日志后面的设置，就是具体到某个网站的，可以单独设置规则。看图：

四、封锁历史

和免费版本的防火墙一样，只能解封所有的恶意攻击、CC攻击IP。不能单独解封，所以这个收费版有点不走心啊。

Webshell查杀和操作日志不做解释，因为和免费版本的一毛一样。

五：一些调试

就这样设置好使用起来还是会有问题的。比如说，大鸟在后台上传图片会报错。防火墙的日志里提示：/wp-admin/async-upload.php  cc攻击，被过滤，所以这里需要调整，我们把这个点击误报，然后提交到白名单即可解决。

点击误报即可解封并且收录到白名单中，如图：

当然调试就是这样调试的，如果使用中还遇到问题，也不要惊慌，可以在日志中查看是不是误报，如果是就赶紧恢复到白名单中。这样使用起来就没问题了。

六：总结

19块钱的防火墙，你也不要指望有多好。使用中如果我们开启了post过滤，会有不能发表文章，不能留言等错误。所以我们需要在拦截日志查看原因，然后点击误报恢复到白名单中。

要调试之后才能打磨出一个适合自己的防火墙。这个专业版的防火墙使用了一圈，突然觉得免费版本的防火墙真香。但是专业版防火前功能还是足够丰富的，比如cdn功能，敏感词替换等等这些功能都非常实用。