当前位置:论坛首页 > Linux面板 > Linux面板教程

宝塔网站防火墙使用帮助

发表在 Linux面板2018-5-21 16:00   [复制链接] 295 401678

简介:
        一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻止站点被挂马的事情发生,《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁,目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户,效果良好。

注意:
1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
2、如果您不了解正则表达式,请不要随意修改防火墙自带规则
3、宝塔网站防火墙依赖luaJIT组件,部分nginx版本可能要重装后才能使用

应用场景:所有动态网站

特色:1、面向站点的规则应用
2、可单独关闭或开启某一站点的防护功能
3、高度自由的规则应用,允许用户编辑和选择某一站点是否使用此规则


主要功能:
1、常规过滤,包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等
2、禁止国外站点访问,开启后,该站点只允许国内用户访问(包括香港、澳门、台湾)
3、URI加密保护,常用于对网站后台的保护
4、URI专用规则,快速修补漏洞
5、CDN模式,如果您的站点使用了CDN,请开启CDN模式,否则防火墙可能影响网站的正常访问。

兼容性:
仅支持主程序Nginx1.18以上的版本使用,如果低于此版本请更换至更高版本。另外,需要LuaJIT组件的支持,
安装Nginx时请使用编译安装模式,如果您已经安装的Nginx并非编译安装,请在业务不忙时重新编译安装后再安装Nginx防火墙。


功能概览


插件安装后需要在面板的软件商店中访问,宝塔面板左侧【防火墙】按钮,默认是nginx防火墙的管理页面。
启动后它展示的默认页是概览页,展示的内容有总拦截次数、各项次数以及保护天数。

首页.png


【全局设置】
全局设置页面将展示防火墙的所有功能,可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。
开始前请详细阅读下列提示,非常重要、非常重要、非常重要。
继承:全局设置将在站点配置中自动继承为默认值,现有站点不受全局设置的影响,新增站点才会直接自动继承的应用全局设置。
优先级:UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST

全局配置.png




Apahe防火墙功能详解
CC防御
注意:全局CC设置的是初始值,新添加站点时将继承,对现有站点无效,已经存在被攻击现象的站点前往站点配置即可。
规则说明:
周期、频率、封锁时间:
xx秒周期内累计请求同一URL超过
xx次频率,触发CC防御,封锁此IP
xx秒,所有时间取1天,最长不会超过86400秒。
例如:
60秒周期内累计请求同一URL超过
180次频率,触发CC防御,封锁此IP
300秒。
模式:默认为标准模式,网站正常使用时建议使用标准模式,避免出现普通用户无法正常访问的情况
四层防御:基于网络层开发的四层防御
注意:IP封锁不等于拉黑名单,需要加黑名单需自行点击添加。
请不要设置过于严格的CC规则,以免影响正常用户体验。
CC防御.png



恶意容忍度
某一IP对网站进行了多少次的恶意请求后,nginx防火墙将进行对该IP的封锁。这不同于CC防御,恶意请求有可能是SQL注入、XSS等恶意传参、CC,当此IP的访问行为达到了设置的阈值,nginx防火墙就会做出封锁动作。
举例:192.168.1.10这个IP对www.bt.cn网站60秒进行了6次恶意攻击(包含SQL注入、XSS),触发了防火墙设置的阈值,此时防火墙将会对192.168.1.10进行拦截。
注意:全局应用:全局设置当前恶意容忍规则,且覆盖当前全部站点的恶意容忍规则。
恶意容忍度.png




UA黑白名单
设置后,UA白名单查询到关键词直接跳过任何拦截,UA黑白名单初始化阶段在客户端UA中查找关键词,谨慎使用。UA白名单默认为空,没有就一直保持空即可。建议使用场景:例如可以禁用Google蜘蛛的UA到黑名单中,可以禁止某个浏览器UA访问,例如safari等。


IP黑白名单
设置后,所有规则对IP白名单无效,IP白名单前文提到位居规则顶端。IP黑名单设置后既在nginx防火墙禁止此IP访问所有网站。
建议使用场景:自己的服务器间互动、公司内测试、公司的其他服务器IP、需要测试的服务器IP等加入IP白名单(如果没有需求就不用设置IP白名单)。IP黑名单使用场景可以禁止某个或某个段的IP访问、某个段的蜘蛛爬虫,将需要拉黑的IP添加进入即可。


URL黑白名单
设置后,只要是关于添加的URL请求,都是进行URL黑白名单过滤,白名单设置后该URL将会失去大部分防御规则。
注意格式:例如误拦截的url如下: /index/index/aaa.php?id=eradasa&adas,只需要填写它的URL,不需要添加它的参数。
有添加URL黑白名单的需求是,操作如下:^/index/index/aaa.php,只需要添加^/index/index/aaa.php到URL黑白名单即可。


GET(GET-URL)、POST、UA(User-Agent)过滤、Cookie过滤、常见扫描器
GET-参数过滤 --> 对GET类型的参数进行过滤
GET-URL过滤 --> 对URI 进行过滤
User-Agent过滤--> 对客户端的UA进行过滤
POST过滤-->对POST传递的参数进行过滤
Cookie过滤--> 对客户端传递的Cookie进行过滤
常见扫描器-->对已知的扫描器进行封锁
建议:保持默认即可,不建议修改;需要自定义规则时,建议添加新的规则,不建议改动原来的,全部支持正则表达式。


GET(GET-URL)
GET参数和GET-URL的区别
例如:/index.php?id=1&id2=1,id=1&id2=1是过滤的参数和值,index.php是URI。
那么GET参数过滤只会取GET传递的参数,进行判断是否是恶意的参数;而GET-URL这块主要拦截的是一个备份文件被非法下载、sql文件被下载等。

UA(User-Agent)过滤
这里是对用户的恶意UA 进行了拦截,例如拦截go的UA直接填入go即可,支持正则。

POST、Cookie过滤、常见扫描器
这里是对POST的传递参数、用户提交的Cookie进行过滤,常见扫描器是对扫描器的特征去匹配。

禁止境国外访问
字面意思,设置后可禁止境外访问,用户可自行点击设置设置IP,境外IP库可同步云端。

蜘蛛池
云端有存储百度、谷歌、360、搜狗、雅虎、必应、头条的蜘蛛池,除了这些,用户可以对蜘蛛池自行增删蜘蛛。




使用道具 举报 只看该作者 回复
发表于 2022-10-27 10:58:12 | 显示全部楼层
后续在使用的过程中遇到问题的用户,这边建议重新发帖,在此帖中回复这边可能不能及时看到您的问题。
重新发帖以便快速获得技术支持,或者扫下面的二维码直接联系我们
QQ截图20221027105357.png
使用道具 举报 回复 支持 反对
发表于 2018-10-10 22:24:11 | 显示全部楼层
建议增加各大CDN节点IP,和百度蜘蛛节点等,开启了会屏蔽百度蜘蛛的
使用道具 举报 回复 支持 7 反对 0
发表于 2020-11-25 20:34:11 | 显示全部楼层
垃圾的玩儿,开启后各种乱七八糟的拦截,网站打不开出现错误代码520,就连百度蜘蛛都照拦不误!像这种脑残的玩儿还收费?想钱想疯了吧?
使用道具 举报 回复 支持 3 反对 0
发表于 2020-3-4 09:24:19 | 显示全部楼层
微信图片_20200304092145.png
求解决安装防火墙无法打开 Nginx 1.15.10
使用道具 举报 回复 支持 3 反对 0
发表于 2019-11-14 19:43:56
怎么一更新nginx就停止运行了?重启说配置问题,卸载防火墙又好了
支持 3 反对 0
发表于 2018-5-24 16:32:48 | 显示全部楼层
dangao5 发表于 2018-5-23 18:06
能否禁止中国访客访问?

良哥,会考虑开发吗?
使用道具 举报 回复 支持 3 反对 0
发表于 2018-5-24 09:31:53 | 显示全部楼层
tjsky 发表于 2018-5-23 19:49
常规过滤和nginx1.12自带的WAF防火墙有啥区别。
PS:开启Cookie后会阻止百度的抓取,导致百度无法索引到二 ...

新的网站防火墙是花了几个月时间筹备来打磨的产品,效果肯定会更好,具备真正的实用意义。
我们官网也开启了cookie,百度收录正常。如果有拦截记录,请提供下拦截详情
使用道具 举报 回复 支持 3 反对 0
发表于 2018-5-25 00:38:52 | 显示全部楼层
开启防火墙后,重启服务器Nginx无法启动,卸载防火墙后启动Nginx正常
系统: CentOS Linux 7.5.1804 (Core) 
宝塔版本: 5.9.11
Nginx1.14
使用道具 举报 回复 支持 2 反对 0
发表于 2018-8-11 22:54:43 | 显示全部楼层
开了网站防火墙,个别手机在系统浏览器里无法打开网站(其他浏览器可以打开)显示空白,关了防火墙又能打开了。这是咋回事
使用道具 举报 回复 支持 1 反对 0
发表于 2018-5-21 16:43:38 | 显示全部楼层
功能看着挺强大的。请问什么时候能开放使用啊?
使用道具 举报 回复 支持 反对
发表于 2018-5-21 17:20:00 | 显示全部楼层
baobaoge 发表于 2018-5-21 16:43
功能看着挺强大的。请问什么时候能开放使用啊?

等下就来了
使用道具 举报 回复 支持 反对
发表于 2018-5-21 17:50:38 | 显示全部楼层

期待。。。
使用道具 举报 回复 支持 反对
发表于 2018-5-21 22:03:21 | 显示全部楼层
好像已经开放了,19.8元一个月
使用道具 举报 回复 支持 反对
发表于 2018-5-22 02:16:52 | 显示全部楼层
什么时候支持Apache啊!期待!
使用道具 举报 回复 支持 反对
发表于 2018-5-22 09:23:15 | 显示全部楼层
防御CC吗   如果有我就可以卸载云锁了
使用道具 举报 回复 支持 反对
发表于 2018-5-23 08:27:30 | 显示全部楼层
2块钱带CC合适吧 或者20包年 或者所有功能打包吧
使用道具 举报 回复 支持 反对
发表于 2018-5-23 14:31:35 | 显示全部楼层
这个如果后期更换服务器还能用吗?
使用道具 举报 回复 支持 反对
发表于 2018-5-23 18:06:08 | 显示全部楼层
能否禁止中国访客访问?

不能  发表于 2018-5-24 09:35
使用道具 举报 回复 支持 反对
发表于 2018-5-23 19:49:03 | 显示全部楼层
常规过滤和nginx1.12自带的WAF防火墙有啥区别。
PS:开启Cookie后会阻止百度的抓取,导致百度无法索引到二级页面
关闭就可以成功抓取,管理员检查下?
使用道具 举报 回复 支持 反对
发表于 2018-5-24 19:56:18 | 显示全部楼层
CC规则设置3秒5次,亲测防不住2H2G  100代理IP直接C死

2H2G逆不了天的  发表于 2018-5-25 09:53
使用道具 举报 回复 支持 反对
发表于 2018-5-24 21:09:50 | 显示全部楼层
开启防火墙后,无法添加网站,并且nginx1.12出错.  

Nginx配置规则错误:
nginx: the configuration file /www/server/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /www/server/nginx/conf/nginx.conf test failed

您好,配置规则有点问题,目前已经修复,卸载重装防火墙即可  发表于 2018-5-25 09:52
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

企业版年付运维跟进群

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表