初玖 发表于 2024-4-2 22:53:12

宝塔网站防火墙使用帮助




简介:
      一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻止站点被挂马的事情发生,《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁,目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户,效果良好。

注意:
1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
2、如果您不了解正则表达式,请不要随意修改防火墙自带规则
3、宝塔网站防火墙依赖luaJIT组件,部分nginx版本可能要重装后才能使用

应用场景:所有动态网站

特色:1、面向站点的规则应用
2、可单独关闭或开启某一站点的防护功能
3、高度自由的规则应用,允许用户编辑和选择某一站点是否使用此规则


主要功能:
1、常规过滤,包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等
2、禁止国外站点访问,开启后,该站点只允许国内用户访问(包括香港、澳门、台湾)
3、URI加密保护,常用于对网站后台的保护
4、URI专用规则,快速修补漏洞
5、CDN模式,如果您的站点使用了CDN,请开启CDN模式,否则防火墙可能影响网站的正常访问。

兼容性:
仅支持主程序Nginx1.18以上的版本使用,如果低于此版本请更换至更高版本。另外,需要LuaJIT组件的支持,
安装Nginx时请使用编译安装模式,如果您已经安装的Nginx并非编译安装,请在业务不忙时重新编译安装后再安装Nginx防火墙。


功能概览


插件安装后需要在面板的软件商店中访问,宝塔面板左侧【防火墙】按钮,默认是nginx防火墙的管理页面。
启动后它展示的默认页是概览页,展示的内容有总拦截次数、各项次数以及保护天数。

【全局设置】
全局设置页面将展示防火墙的所有功能,可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。
开始前请详细阅读下列提示,非常重要、非常重要、非常重要。
继承:全局设置将在站点配置中自动继承为默认值,现有站点不受全局设置的影响,新增站点才会直接自动继承的应用全局设置。
优先级:UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST

Apahe防火墙功能详解
CC防御
注意:全局CC设置的是初始值,新添加站点时将继承,对现有站点无效,已经存在被攻击现象的站点前往站点配置即可。
规则说明:
周期、频率、封锁时间:
xx秒周期内累计请求同一URL超过
xx次频率,触发CC防御,封锁此IP
xx秒,所有时间取1天,最长不会超过86400秒。
例如:
60秒周期内累计请求同一URL超过
180次频率,触发CC防御,封锁此IP
300秒。
模式:默认为标准模式,网站正常使用时建议使用标准模式,避免出现普通用户无法正常访问的情况
四层防御:基于网络层开发的四层防御
注意:IP封锁不等于拉黑名单,需要加黑名单需自行点击添加。
请不要设置过于严格的CC规则,以免影响正常用户体验。



简介:
      一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻止站点被挂马的事情发生,《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁,目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户,效果良好。

注意:
1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
2、如果您不了解正则表达式,请不要随意修改防火墙自带规则
3、宝塔网站防火墙依赖luaJIT组件,部分nginx版本可能要重装后才能使用

应用场景:所有动态网站

特色:1、面向站点的规则应用
2、可单独关闭或开启某一站点的防护功能
3、高度自由的规则应用,允许用户编辑和选择某一站点是否使用此规则


主要功能:
1、常规过滤,包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等
2、禁止国外站点访问,开启后,该站点只允许国内用户访问(包括香港、澳门、台湾)
3、URI加密保护,常用于对网站后台的保护
4、URI专用规则,快速修补漏洞
5、CDN模式,如果您的站点使用了CDN,请开启CDN模式,否则防火墙可能影响网站的正常访问。

兼容性:
仅支持主程序Nginx1.18以上的版本使用,如果低于此版本请更换至更高版本。另外,需要LuaJIT组件的支持,
安装Nginx时请使用编译安装模式,如果您已经安装的Nginx并非编译安装,请在业务不忙时重新编译安装后再安装Nginx防火墙。


功能概览


插件安装后需要在面板的软件商店中访问,宝塔面板左侧【防火墙】按钮,默认是nginx防火墙的管理页面。
启动后它展示的默认页是概览页,展示的内容有总拦截次数、各项次数以及保护天数。

https://www.bt.cn/bbs/data/attachment/forum/202303/10/104153veinbz6wzzncn6ic.png


【全局设置】
全局设置页面将展示防火墙的所有功能,可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。
开始前请详细阅读下列提示,非常重要、非常重要、非常重要。
继承:全局设置将在站点配置中自动继承为默认值,现有站点不受全局设置的影响,新增站点才会直接自动继承的应用全局设置。
优先级:UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST

https://www.bt.cn/bbs/data/attachment/forum/202303/10/104153ua9owu9xtum9zuqa.png




Apahe防火墙功能详解
CC防御
注意:全局CC设置的是初始值,新添加站点时将继承,对现有站点无效,已经存在被攻击现象的站点前往站点配置即可。
规则说明:
周期、频率、封锁时间:
xx秒周期内累计请求同一URL超过
xx次频率,触发CC防御,封锁此IP
xx秒,所有时间取1天,最长不会超过86400秒。
例如:
60秒周期内累计请求同一URL超过
180次频率,触发CC防御,封锁此IP
300秒。
模式:默认为标准模式,网站正常使用时建议使用标准模式,避免出现普通用户无法正常访问的情况
四层防御:基于网络层开发的四层防御
注意:IP封锁不等于拉黑名单,需要加黑名单需自行点击添加。
请不要设置过于严格的CC规则,以免影响正常用户体验。
https://www.bt.cn/bbs/data/attachment/forum/202303/10/122840hsc3csh4dc341qz3.png



恶意容忍度
某一IP对网站进行了多少次的恶意请求后,nginx防火墙将进行对该IP的封锁。这不同于CC防御,恶意请求有可能是SQL注入、XSS等恶意传参、CC,当此IP的访问行为达到了设置的阈值,nginx防火墙就会做出封锁动作。
举例:192.168.1.10这个IP对www.bt.cn网站60秒进行了6次恶意攻击(包含SQL注入、XSS),触发了防火墙设置的阈值,此时防火墙将会对192.168.1.10进行拦截。
注意:全局应用:全局设置当前恶意容忍规则,且覆盖当前全部站点的恶意容忍规则。

UA黑白名单
设置后,UA白名单查询到关键词直接跳过任何拦截,UA黑白名单初始化阶段在客户端UA中查找关键词,谨慎使用。UA白名单默认为空,没有就一直保持空即可。建议使用场景:例如可以禁用Google蜘蛛的UA到黑名单中,可以禁止某个浏览器UA访问,例如safari等。


IP黑白名单
设置后,所有规则对IP白名单无效,IP白名单前文提到位居规则顶端。IP黑名单设置后既在nginx防火墙禁止此IP访问所有网站。
建议使用场景:自己的服务器间互动、公司内测试、公司的其他服务器IP、需要测试的服务器IP等加入IP白名单(如果没有需求就不用设置IP白名单)。IP黑名单使用场景可以禁止某个或某个段的IP访问、某个段的蜘蛛爬虫,将需要拉黑的IP添加进入即可。


URL黑白名单
设置后,只要是关于添加的URL请求,都是进行URL黑白名单过滤,白名单设置后该URL将会失去大部分防御规则。
注意格式:例如误拦截的url如下: /index/index/aaa.php?id=eradasa&adas,只需要填写它的URL,不需要添加它的参数。
有添加URL黑白名单的需求是,操作如下:^/index/index/aaa.php,只需要添加^/index/index/aaa.php到URL黑白名单即可。


GET(GET-URL)、POST、UA(User-Agent)过滤、Cookie过滤、常见扫描器
GET-参数过滤 --> 对GET类型的参数进行过滤
GET-URL过滤 --> 对URI 进行过滤
User-Agent过滤--> 对客户端的UA进行过滤
POST过滤-->对POST传递的参数进行过滤
Cookie过滤--> 对客户端传递的Cookie进行过滤
常见扫描器-->对已知的扫描器进行封锁
建议:保持默认即可,不建议修改;需要自定义规则时,建议添加新的规则,不建议改动原来的,全部支持正则表达式。


GET(GET-URL)
GET参数和GET-URL的区别
例如:/index.php?id=1&id2=1,id=1&id2=1是过滤的参数和值,index.php是URI。
那么GET参数过滤只会取GET传递的参数,进行判断是否是恶意的参数;而GET-URL这块主要拦截的是一个备份文件被非法下载、sql文件被下载等。

UA(User-Agent)过滤
这里是对用户的恶意UA 进行了拦截,例如拦截go的UA直接填入go即可,支持正则。

POST、Cookie过滤、常见扫描器
这里是对POST的传递参数、用户提交的Cookie进行过滤,常见扫描器是对扫描器的特征去匹配。

禁止境国外访问
字面意思,设置后可禁止境外访问,用户可自行点击设置设置IP,境外IP库可同步云端。

蜘蛛池
云端有存储百度、谷歌、360、搜狗、雅虎、必应、头条的蜘蛛池,除了这些,用户可以对蜘蛛池自行增删蜘蛛。













页: [1]
查看完整版本: 宝塔网站防火墙使用帮助