宝塔面板专业版 – Nginx防火墙的设置教程

有点飘了,竟然敢用专业版的收费防火墙了。这收费版的Nginx防火墙 ,国外主机优惠简单试用了一下,发现功能还是很丰富的,使用起来也很简单,这篇文章就来说说收费版的Nginx防火墙如何设置,算是给初次设置的同学一个参考。

要使用这个防火墙,你得购买了,19.8一个月,废话不多说了,我们看看专业版防火墙应该如何设置。目前的最新版本是Nginx防火墙 8.1.2。其他关于宝塔waf的文章:

  • 宝塔面板安装VeryNginx – 自带控制面板的免费强大的WAF防火墙
  • 宝塔面板6.X开启隐藏的 waf 防火墙的方法
  • BT(宝塔面板)6.6nginx自编译 ngx_lua_waf web 应用防火墙模块
  • 宝塔面板第三方应用 – Nginx免费防火墙的试用教程

一:Nginx防火墙首页

如何安装就不去多说了,我们打开这个防火墙,首先进入到首页,这里可以看到防火墙的总开关,这个和免费防火墙是一样的。还可以看到各种攻击的报表。

比如:POST渗透、GET渗透、CC攻击、恶意User-Agent、Cookie渗透、恶意扫描、恶意HEAD请求、网址自定义拦截、网址保护、恶意文件上传、禁止的扩展名、禁止PHP脚本等信息。具体看图吧。

  • 在此处关闭防火墙后,所有站点将失去保护
  • 宝塔网站防火墙会使nginx有一定的性能损失(<5% 10C静态并发测试结果)
  • 宝塔网站防火墙仅主要针对网站渗透攻击,暂时不具备系统加固功能

二、全局配置

全局配置是核心了,所有Nginx防火墙的设置都在这里。这里设置好之后,新添加的站点将继承这里的规则。具体的功能如下:

  1. CC防御                   防御CC攻击,具体防御参数请到站点配置中调整
  2. 恶意容忍度             封锁连续恶意请求,请到站点配置中调整容忍阈值
  3. GET-URI过滤          过滤uri、uri参数中常见sql注入、xss等攻击
  4. GET-参数过滤         过滤uri、uri参数中常见sql注入、xss等攻击
  5. POST过滤               过滤POST参数中常见sql注入、xss等攻击
  6. User-Agent过滤     通常用于过滤浏览器、蜘蛛及一些自动扫描器
  7. Cookie过滤            过滤利用Cookie发起的渗透攻击
  8. 禁止海外访问          禁止中国大陆以外的地区访问站点(默认开启,非特殊需求强烈建议关闭)
  9. 常见扫描器             过滤常见扫描测试工具的渗透测试
  10. UA白名单               初始化阶段User-Agent白名单
  11. UA黑名单               初始化阶段User-Agent黑名单
  12. IP白名单                 所有规则对IP白名单无效
  13. IP黑名单                 禁止访问的IP
  14. 蜘蛛池                   从云端获取蜘蛛池列表
  15. URL白名单            大部分规则对URL白名单无效
  16. URL关键词拦截     从URL中拦截关键词
  17. URL黑名单            禁止访问的URL地址 403
  18. 敏感文字替换        替换设置的敏感文字
  19. ipv6访问支持      支持ipv6地址访问服务器
  20. 其它                   其它非通用过滤

目前有20个功能模块可以设置,这里说说CC防御 如何设置。

2.1CC防御

一般的个人博客,建议的规则:周期:60秒 频率:60次 封锁时间:300秒 、增强模式:关闭 、四层防御:开启、 自动模式:开启,具体的设置看图吧。

自动模式:按照默认的60秒内遭遇600次的访问则转到增强模式(默认的配置即可)

这里说下四层防御,宝塔的防火墙是一个七层防御(应用层)的防御,应用层的缺陷在于,拦截以后对方还可以发包,链接服务器导致链接数过大的问题。 四层防御在于网络层的拦截ip操作,也就是说攻击IP 在一定限度内如果超过了这个阀值。直接进入到系统防火墙中。

2.2其他的设置

【禁止海外访问】这个功能(默认开启,非特殊需求强烈建议关闭)其余的功能我们默认即可,如果遇到问题,可以在单独关闭或者开启,这些自行调试吧。

三、站点配置

站点配置可以针对单个域名设置规则,比全局配置要更加详细,可以单独设置域名防火墙开关、CC攻击防御规则,URL白名单等。若使用CDN则需将CDN打钩。不然会导致获取IP不准确等等。

日志后面的设置,就是具体到某个网站的,可以单独设置规则。看图:

四、封锁历史

和免费版本的防火墙一样,只能解封所有的恶意攻击、CC攻击IP。不能单独解封,所以这个收费版有点不走心啊。

Webshell查杀和操作日志不做解释,因为和免费版本的一毛一样。

五:一些调试

就这样设置好使用起来还是会有问题的。比如说,国外主机优惠在后台上传图片会报错。防火墙的日志里提示:/wp-admin/async-upload.php  cc攻击,被过滤,所以这里需要调整,我们把这个点击误报,然后提交到白名单即可解决。

点击误报即可解封并且收录到白名单中,如图:

当然调试就是这样调试的,如果使用中还遇到问题,也不要惊慌,可以在日志中查看是不是误报,如果是就赶紧恢复到白名单中。这样使用起来就没问题了。

六:总结

19块钱的防火墙,你也不要指望有多好。使用中如果我们开启了post过滤,会有不能发表文章,不能留言等错误。所以我们需要在拦截日志查看原因,然后点击误报恢复到白名单中。

要调试之后才能打磨出一个适合自己的防火墙。这个专业版的防火墙使用了一圈,突然觉得免费版本的防火墙真香。但是专业版防火前功能还是足够丰富的,比如cdn功能,敏感词替换等等这些功能都非常实用。