找回密码
 立即注册
查看: 384|回复: 0

宝塔网站防火墙使用帮助

[复制链接]

211

积分

0

金钱

211

金币

实习版主

积分
211
    发表于 2024-4-2 22:53:12 | 显示全部楼层 |阅读模式

    简介:
            一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻止站点被挂马的事情发生,《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁,目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户,效果良好。

    注意:
    1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
    2、如果您不了解正则表达式,请不要随意修改防火墙自带规则
    3、宝塔网站防火墙依赖luaJIT组件,部分nginx版本可能要重装后才能使用

    应用场景:所有动态网站

    特色:1、面向站点的规则应用
    2、可单独关闭或开启某一站点的防护功能
    3、高度自由的规则应用,允许用户编辑和选择某一站点是否使用此规则


    主要功能:
    1、常规过滤,包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等
    2、禁止国外站点访问,开启后,该站点只允许国内用户访问(包括香港、澳门、台湾)
    3、URI加密保护,常用于对网站后台的保护
    4、URI专用规则,快速修补漏洞
    5、CDN模式,如果您的站点使用了CDN,请开启CDN模式,否则防火墙可能影响网站的正常访问。

    兼容性:
    仅支持主程序Nginx1.18以上的版本使用,如果低于此版本请更换至更高版本。另外,需要LuaJIT组件的支持,
    安装Nginx时请使用编译安装模式,如果您已经安装的Nginx并非编译安装,请在业务不忙时重新编译安装后再安装Nginx防火墙。


    功能概览


    插件安装后需要在面板的软件商店中访问,宝塔面板左侧【防火墙】按钮,默认是nginx防火墙的管理页面。
    启动后它展示的默认页是概览页,展示的内容有总拦截次数、各项次数以及保护天数。

    【全局设置】
    全局设置页面将展示防火墙的所有功能,可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。
    开始前请详细阅读下列提示,非常重要、非常重要、非常重要。
    继承:全局设置将在站点配置中自动继承为默认值,现有站点不受全局设置的影响,新增站点才会直接自动继承的应用全局设置。
    优先级:UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST

    Apahe防火墙功能详解
    CC防御
    注意:全局CC设置的是初始值,新添加站点时将继承,对现有站点无效,已经存在被攻击现象的站点前往站点配置即可。
    规则说明:
    周期、频率、封锁时间:
    xx秒周期内累计请求同一URL超过
    xx次频率,触发CC防御,封锁此IP
    xx秒,所有时间取1天,最长不会超过86400秒。
    例如:
    60秒周期内累计请求同一URL超过
    180次频率,触发CC防御,封锁此IP
    300秒。
    模式:默认为标准模式,网站正常使用时建议使用标准模式,避免出现普通用户无法正常访问的情况
    四层防御:基于网络层开发的四层防御
    注意:IP封锁不等于拉黑名单,需要加黑名单需自行点击添加。
    请不要设置过于严格的CC规则,以免影响正常用户体验。

    简介:
            一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻止站点被挂马的事情发生,《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁,目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户,效果良好。

    注意:
    1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
    2、如果您不了解正则表达式,请不要随意修改防火墙自带规则
    3、宝塔网站防火墙依赖luaJIT组件,部分nginx版本可能要重装后才能使用

    应用场景:所有动态网站

    特色:1、面向站点的规则应用
    2、可单独关闭或开启某一站点的防护功能
    3、高度自由的规则应用,允许用户编辑和选择某一站点是否使用此规则


    主要功能:
    1、常规过滤,包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等
    2、禁止国外站点访问,开启后,该站点只允许国内用户访问(包括香港、澳门、台湾)
    3、URI加密保护,常用于对网站后台的保护
    4、URI专用规则,快速修补漏洞
    5、CDN模式,如果您的站点使用了CDN,请开启CDN模式,否则防火墙可能影响网站的正常访问。

    兼容性:
    仅支持主程序Nginx1.18以上的版本使用,如果低于此版本请更换至更高版本。另外,需要LuaJIT组件的支持,
    安装Nginx时请使用编译安装模式,如果您已经安装的Nginx并非编译安装,请在业务不忙时重新编译安装后再安装Nginx防火墙。


    功能概览


    插件安装后需要在面板的软件商店中访问,宝塔面板左侧【防火墙】按钮,默认是nginx防火墙的管理页面。
    启动后它展示的默认页是概览页,展示的内容有总拦截次数、各项次数以及保护天数。




    【全局设置】
    全局设置页面将展示防火墙的所有功能,可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。
    开始前请详细阅读下列提示,非常重要、非常重要、非常重要。
    继承:全局设置将在站点配置中自动继承为默认值,现有站点不受全局设置的影响,新增站点才会直接自动继承的应用全局设置。
    优先级:UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST






    Apahe防火墙功能详解
    CC防御
    注意:全局CC设置的是初始值,新添加站点时将继承,对现有站点无效,已经存在被攻击现象的站点前往站点配置即可。
    规则说明:
    周期、频率、封锁时间:
    xx秒周期内累计请求同一URL超过
    xx次频率,触发CC防御,封锁此IP
    xx秒,所有时间取1天,最长不会超过86400秒。
    例如:
    60秒周期内累计请求同一URL超过
    180次频率,触发CC防御,封锁此IP
    300秒。
    模式:默认为标准模式,网站正常使用时建议使用标准模式,避免出现普通用户无法正常访问的情况
    四层防御:基于网络层开发的四层防御
    注意:IP封锁不等于拉黑名单,需要加黑名单需自行点击添加。
    请不要设置过于严格的CC规则,以免影响正常用户体验。




    恶意容忍度
    某一IP对网站进行了多少次的恶意请求后,nginx防火墙将进行对该IP的封锁。这不同于CC防御,恶意请求有可能是SQL注入、XSS等恶意传参、CC,当此IP的访问行为达到了设置的阈值,nginx防火墙就会做出封锁动作。
    举例:192.168.1.10这个IP对www.bt.cn网站60秒进行了6次恶意攻击(包含SQL注入、XSS),触发了防火墙设置的阈值,此时防火墙将会对192.168.1.10进行拦截。
    注意:全局应用:全局设置当前恶意容忍规则,且覆盖当前全部站点的恶意容忍规则。

    UA黑白名单
    设置后,UA白名单查询到关键词直接跳过任何拦截,UA黑白名单初始化阶段在客户端UA中查找关键词,谨慎使用。UA白名单默认为空,没有就一直保持空即可。建议使用场景:例如可以禁用Google蜘蛛的UA到黑名单中,可以禁止某个浏览器UA访问,例如safari等。


    IP黑白名单
    设置后,所有规则对IP白名单无效,IP白名单前文提到位居规则顶端。IP黑名单设置后既在nginx防火墙禁止此IP访问所有网站。
    建议使用场景:自己的服务器间互动、公司内测试、公司的其他服务器IP、需要测试的服务器IP等加入IP白名单(如果没有需求就不用设置IP白名单)。IP黑名单使用场景可以禁止某个或某个段的IP访问、某个段的蜘蛛爬虫,将需要拉黑的IP添加进入即可。


    URL黑白名单
    设置后,只要是关于添加的URL请求,都是进行URL黑白名单过滤,白名单设置后该URL将会失去大部分防御规则。
    注意格式:例如误拦截的url如下: /index/index/aaa.php?id=eradasa&adas,只需要填写它的URL,不需要添加它的参数。
    有添加URL黑白名单的需求是,操作如下:^/index/index/aaa.php,只需要添加^/index/index/aaa.php到URL黑白名单即可。


    GET(GET-URL)、POST、UA(User-Agent)过滤、Cookie过滤、常见扫描器
    GET-参数过滤 --> 对GET类型的参数进行过滤
    GET-URL过滤 --> 对URI 进行过滤
    User-Agent过滤--> 对客户端的UA进行过滤
    POST过滤-->对POST传递的参数进行过滤
    Cookie过滤--> 对客户端传递的Cookie进行过滤
    常见扫描器-->对已知的扫描器进行封锁
    建议:保持默认即可,不建议修改;需要自定义规则时,建议添加新的规则,不建议改动原来的,全部支持正则表达式。


    GET(GET-URL)
    GET参数和GET-URL的区别
    例如:/index.php?id=1&id2=1,id=1&id2=1是过滤的参数和值,index.php是URI。
    那么GET参数过滤只会取GET传递的参数,进行判断是否是恶意的参数;而GET-URL这块主要拦截的是一个备份文件被非法下载、sql文件被下载等。

    UA(User-Agent)过滤
    这里是对用户的恶意UA 进行了拦截,例如拦截go的UA直接填入go即可,支持正则。

    POST、Cookie过滤、常见扫描器
    这里是对POST的传递参数、用户提交的Cookie进行过滤,常见扫描器是对扫描器的特征去匹配。

    禁止境国外访问
    字面意思,设置后可禁止境外访问,用户可自行点击设置设置IP,境外IP库可同步云端。

    蜘蛛池
    云端有存储百度、谷歌、360、搜狗、雅虎、必应、头条的蜘蛛池,除了这些,用户可以对蜘蛛池自行增删蜘蛛。









    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?立即注册

    ×
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Archiver|手机版|小黑屋|天天站

    GMT+8, 2024-11-22 08:27 , Processed in 0.099620 second(s), 19 queries .

    Powered by Discuz! X3.5

    © 2001-2024 Discuz! Team.