宝塔网站防火墙使用帮助

初玖

简介：         一直都有用户建议我们开发木马扫描，木马清理模块，但我们认为与其亡羊补牢，不如直接在源头上阻止站点被挂马的事情发生，《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙，能有效阻止大部分渗透攻击，且提供高度自由的规则自定义功能，为站点加一道铜墙铁壁，目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户，效果良好。 注意： 1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙 2、如果您不了解正则表达式，请不要随意修改防火墙自带规则 3、宝塔网站防火墙依赖luaJIT组件，部分nginx版本可能要重装后才能使用 应用场景：所有动态网站 特色：1、面向站点的规则应用 2、可单独关闭或开启某一站点的防护功能 3、高度自由的规则应用，允许用户编辑和选择某一站点是否使用此规则 主要功能： 1、常规过滤，包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等 2、禁止国外站点访问，开启后，该站点只允许国内用户访问(包括香港、澳门、台湾) 3、URI加密保护，常用于对网站后台的保护 4、URI专用规则，快速修补漏洞 5、CDN模式，如果您的站点使用了CDN，请开启CDN模式，否则防火墙可能影响网站的正常访问。 兼容性： 仅支持主程序Nginx1.18以上的版本使用，如果低于此版本请更换至更高版本。另外，需要LuaJIT组件的支持， 安装Nginx时请使用编译安装模式，如果您已经安装的Nginx并非编译安装，请在业务不忙时重新编译安装后再安装Nginx防火墙。 功能概览 插件安装后需要在面板的软件商店中访问，宝塔面板左侧【防火墙】按钮，默认是nginx防火墙的管理页面。 启动后它展示的默认页是概览页，展示的内容有总拦截次数、各项次数以及保护天数。 【全局设置】 全局设置页面将展示防火墙的所有功能，可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。 开始前请详细阅读下列提示，非常重要、非常重要、非常重要。 继承：全局设置将在站点配置中自动继承为默认值，现有站点不受全局设置的影响，新增站点才会直接自动继承的应用全局设置。 优先级：UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST Apahe防火墙功能详解 CC防御 注意：全局CC设置的是初始值，新添加站点时将继承，对现有站点无效，已经存在被攻击现象的站点前往站点配置即可。 规则说明： 周期、频率、封锁时间： xx秒周期内累计请求同一URL超过 xx次频率，触发CC防御，封锁此IP xx秒，所有时间取1天，最长不会超过86400秒。 例如： 60秒周期内累计请求同一URL超过 180次频率，触发CC防御，封锁此IP 300秒。 模式：默认为标准模式，网站正常使用时建议使用标准模式，避免出现普通用户无法正常访问的情况 四层防御：基于网络层开发的四层防御 注意：IP封锁不等于拉黑名单，需要加黑名单需自行点击添加。 请不要设置过于严格的CC规则，以免影响正常用户体验。 简介：         一直都有用户建议我们开发木马扫描，木马清理模块，但我们认为与其亡羊补牢，不如直接在源头上阻止站点被挂马的事情发生，《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙，能有效阻止大部分渗透攻击，且提供高度自由的规则自定义功能，为站点加一道铜墙铁壁，目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户，效果良好。 注意： 1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙 2、如果您不了解正则表达式，请不要随意修改防火墙自带规则 3、宝塔网站防火墙依赖luaJIT组件，部分nginx版本可能要重装后才能使用 应用场景：所有动态网站 特色：1、面向站点的规则应用 2、可单独关闭或开启某一站点的防护功能 3、高度自由的规则应用，允许用户编辑和选择某一站点是否使用此规则 主要功能： 1、常规过滤，包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等 2、禁止国外站点访问，开启后，该站点只允许国内用户访问(包括香港、澳门、台湾) 3、URI加密保护，常用于对网站后台的保护 4、URI专用规则，快速修补漏洞 5、CDN模式，如果您的站点使用了CDN，请开启CDN模式，否则防火墙可能影响网站的正常访问。 兼容性： 仅支持主程序Nginx1.18以上的版本使用，如果低于此版本请更换至更高版本。另外，需要LuaJIT组件的支持， 安装Nginx时请使用编译安装模式，如果您已经安装的Nginx并非编译安装，请在业务不忙时重新编译安装后再安装Nginx防火墙。 功能概览 插件安装后需要在面板的软件商店中访问，宝塔面板左侧【防火墙】按钮，默认是nginx防火墙的管理页面。 启动后它展示的默认页是概览页，展示的内容有总拦截次数、各项次数以及保护天数。 【全局设置】 全局设置页面将展示防火墙的所有功能，可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。 开始前请详细阅读下列提示，非常重要、非常重要、非常重要。 继承：全局设置将在站点配置中自动继承为默认值，现有站点不受全局设置的影响，新增站点才会直接自动继承的应用全局设置。 优先级：UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST Apahe防火墙功能详解 CC防御 注意：全局CC设置的是初始值，新添加站点时将继承，对现有站点无效，已经存在被攻击现象的站点前往站点配置即可。 规则说明： 周期、频率、封锁时间： xx秒周期内累计请求同一URL超过 xx次频率，触发CC防御，封锁此IP xx秒，所有时间取1天，最长不会超过86400秒。 例如： 60秒周期内累计请求同一URL超过 180次频率，触发CC防御，封锁此IP 300秒。 模式：默认为标准模式，网站正常使用时建议使用标准模式，避免出现普通用户无法正常访问的情况 四层防御：基于网络层开发的四层防御 注意：IP封锁不等于拉黑名单，需要加黑名单需自行点击添加。 请不要设置过于严格的CC规则，以免影响正常用户体验。 恶意容忍度 某一IP对网站进行了多少次的恶意请求后，nginx防火墙将进行对该IP的封锁。这不同于CC防御，恶意请求有可能是SQL注入、XSS等恶意传参、CC，当此IP的访问行为达到了设置的阈值，nginx防火墙就会做出封锁动作。 举例：192.168.1.10这个IP对www.bt.cn网站60秒进行了6次恶意攻击（包含SQL注入、XSS），触发了防火墙设置的阈值，此时防火墙将会对192.168.1.10进行拦截。 注意：全局应用:全局设置当前恶意容忍规则，且覆盖当前全部站点的恶意容忍规则。 UA黑白名单 设置后，UA白名单查询到关键词直接跳过任何拦截，UA黑白名单初始化阶段在客户端UA中查找关键词，谨慎使用。UA白名单默认为空，没有就一直保持空即可。建议使用场景：例如可以禁用Google蜘蛛的UA到黑名单中，可以禁止某个浏览器UA访问，例如safari等。 IP黑白名单 设置后，所有规则对IP白名单无效，IP白名单前文提到位居规则顶端。IP黑名单设置后既在nginx防火墙禁止此IP访问所有网站。 建议使用场景：自己的服务器间互动、公司内测试、公司的其他服务器IP、需要测试的服务器IP等加入IP白名单（如果没有需求就不用设置IP白名单）。IP黑名单使用场景可以禁止某个或某个段的IP访问、某个段的蜘蛛爬虫，将需要拉黑的IP添加进入即可。 URL黑白名单 设置后，只要是关于添加的URL请求，都是进行URL黑白名单过滤，白名单设置后该URL将会失去大部分防御规则。 注意格式：例如误拦截的url如下： /index/index/aaa.php?id=eradasa&adas，只需要填写它的URL，不需要添加它的参数。 有添加URL黑白名单的需求是，操作如下：^/index/index/aaa.php，只需要添加^/index/index/aaa.php到URL黑白名单即可。 GET（GET-URL）、POST、UA（User-Agent）过滤、Cookie过滤、常见扫描器 GET-参数过滤 --> 对GET类型的参数进行过滤 GET-URL过滤 --> 对URI 进行过滤 User-Agent过滤--> 对客户端的UA进行过滤 POST过滤-->对POST传递的参数进行过滤 Cookie过滤--> 对客户端传递的Cookie进行过滤 常见扫描器-->对已知的扫描器进行封锁 建议：保持默认即可，不建议修改；需要自定义规则时，建议添加新的规则，不建议改动原来的，全部支持正则表达式。 GET（GET-URL） GET参数和GET-URL的区别 例如：/index.php?id=1&id2=1，id=1&id2=1是过滤的参数和值，index.php是URI。 那么GET参数过滤只会取GET传递的参数，进行判断是否是恶意的参数；而GET-URL这块主要拦截的是一个备份文件被非法下载、sql文件被下载等。 UA（User-Agent）过滤 这里是对用户的恶意UA 进行了拦截，例如拦截go的UA直接填入go即可，支持正则。 POST、Cookie过滤、常见扫描器 这里是对POST的传递参数、用户提交的Cookie进行过滤，常见扫描器是对扫描器的特征去匹配。 禁止境国外访问 字面意思，设置后可禁止境外访问，用户可自行点击设置设置IP，境外IP库可同步云端。 蜘蛛池 云端有存储百度、谷歌、360、搜狗、雅虎、必应、头条的蜘蛛池，除了这些，用户可以对蜘蛛池自行增删蜘蛛。