apache防火墙使用帮助

简介：
        一直都有用户建议我们开发木马扫描，木马清理模块，但我们认为与其亡羊补牢，不如直接在源头上阻止站点被挂马的事情发生，《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙，能有效阻止大部分渗透攻击，且提供高度自由的规则自定义功能，为站点加一道铜墙铁壁，目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户，效果良好。

注意：
1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
2、如果您不了解正则表达式，请不要随意修改防火墙自带规则
3、宝塔网站防火墙依赖luaJIT组件，部分nginx版本可能要重装后才能使用

应用场景：所有动态网站

特色：
1、面向站点的规则应用
2、可单独关闭或开启某一站点的防护功能
3、高度自由的规则应用，允许用户编辑和选择某一站点是否使用此规则


1.防御CC的简介
1.CC 防御和恶意容忍度的区别
1.1 CC防御是指的是触发了设置的阀值而进行拦截
1.2 恶意容忍度 -->代表的是触发了多少次的恶意请求进行封锁IP


简单举例：
CC攻击:192.168.1.10 IP 对网站www.bt.cn  60秒内访问了/index.php  666 次，那么这个防火墙认为是一个CC 攻击进行拦截。
恶意容忍度: 192.168.1.10 IP 对网站www.bt.cn 60秒内 攻击了10次（恶意行为），那么防火墙认为这是一个非法的IP进行拦截。

二、防御设置
1.1 普通CC防御
如果你对你自己的网站不是很了解。或者你对CC这块不是很了解的话。可以使用默认设置


PS：周期指的是多长时间内。某个IP 触发的频率。进行拦截。如上的意思是：单个IP 请求一个URI 60s 内请求超过120 次。进行封锁300秒

1.2 增强模式

增强模式：CC防御威力加强版，开启后可能会影响用户体验，建议在用户受到大量CC攻击时开启。
四层防御：基于网络层开发的四层防御




四层防御简介：
这个是一个通过系统防火墙进行拦截IP 的一个操作。在大量CC的时候。防火墙是一个七层的应用，对于封锁过后的IP 那么ip 也是可以访问到防火墙那层，
虽然封锁过后的IP 访问不到数据。但是还是会对服务器造成一些内存的损耗。通过四层的去拦截的话。就无需再有新的内存去处理这些请求了。

1.3 GET参数过滤（默认设置即可）

例如:  
/index.php?id=1&id2=1
id=1&id2=1 是过滤的参数和值
index.php 是URI
那么GET参数过滤只会取get传递的参数，进行一个判断是否是恶意的参数。

1.4 GET-URI过滤（默认设置即可）

这块主要拦截的是一个备份文件被非法下载，或者sql文件被下载。

1.5 POST过滤（默认设置即可）

这里是对post的传递参数进行过滤，如果没有特殊需求建议不要修改。

1.6 User-Agent过滤（默认设置即可）

这里是对用户的恶意UA 进行了拦截，例如拦截go的UA 直接填入go即可。

1.7 Cookie过滤（默认设置即可）

这里是对用户提交的Cookie 进行过滤，如果没有特殊需求建议不要修改。

1.8 常用扫描器（默认设置即可）

这里是对扫描器的特征匹配，可有效拦截扫描器的访问。


2.各类黑白名单的简介
UA白名单   --->初始化阶段User-Agent白名单      
UA黑名单   --->初始化阶段User-Agent黑名单      
IP白名单     --->所有规则对IP白名单无效      
IP黑名单     --->禁止访问的IP      
URL白名单  --->大部分规则对URL白名单无效      
URL黑名单  --->禁止访问的URL地址      


2.1 UA 白名单（如果没有需要默认即可）

没有特殊需求默认就行了，添加格式如下，例如添加某个蜘蛛UA访问
例子：

1. Googlebot/2.0

复制代码

2.2 UA 黑名单（拦截恶意蜘蛛UA）

这里的话。最常用的就是拦截爬虫。不想被爬虫爬取网站。只需要把他关键词加入进去即可拦截（不会写拦截日志）
例子：

1. Googlebot/2.0

复制代码

2.3 IP白名单

不描述了，都可以看懂。

2.4 IP黑名单

将需要拉黑的IP添加即可

2.5 URL白名单（需要注意格式）

这个地方需要特别注意了。
格式很重要。例如误拦截的url如下： /index/index/aaa.php?id=eradasa&adas
你只需要填写他的URL 不需要添加他的参数。
如下：
^/index/index/aaa.php
只需要添加^/index/index/aaa.php 到URL 白名单即可


2.6 URL黑名单（需要注意格式）

这个地方需要特别注意了。
格式很重要。例如误拦截的url如下： /index/index/aaa.php?id=eradasa&adas
你只需要填写他的URL 不需要添加他的参数。
如下：
^/index/index/aaa.php
只需要添加^/index/index/aaa.php 到URL 黑名单即可