宝塔网站防火墙使用帮助

简介：
        一直都有用户建议我们开发木马扫描，木马清理模块，但我们认为与其亡羊补牢，不如直接在源头上阻止站点被挂马的事情发生，《宝塔网站防火墙》是基于nginx/apache模块开发的一套应用层防火墙，能有效阻止大部分渗透攻击，且提供高度自由的规则自定义功能，为站点加一道铜墙铁壁，目前宝塔官网、官方论坛已经成为《宝塔网站防火墙》的首个用户，效果良好。

注意：
1、请根据自己的网站环境 选择是支持Nginx还是支持Apache的防火墙
2、如果您不了解正则表达式，请不要随意修改防火墙自带规则
3、宝塔网站防火墙依赖luaJIT组件，部分nginx版本可能要重装后才能使用

应用场景：所有动态网站

特色：1、面向站点的规则应用
2、可单独关闭或开启某一站点的防护功能
3、高度自由的规则应用，允许用户编辑和选择某一站点是否使用此规则


主要功能：
1、常规过滤，包括GET(URI、URI参数)、POST、Cookie、User-Agent、Header、IP黑白名单、URI黑白名单等
2、禁止国外站点访问，开启后，该站点只允许国内用户访问(包括香港、澳门、台湾)
3、URI加密保护，常用于对网站后台的保护
4、URI专用规则，快速修补漏洞
5、CDN模式，如果您的站点使用了CDN，请开启CDN模式，否则防火墙可能影响网站的正常访问。

兼容性：
仅支持主程序Nginx1.18以上的版本使用，如果低于此版本请更换至更高版本。另外，需要LuaJIT组件的支持，
安装Nginx时请使用编译安装模式，如果您已经安装的Nginx并非编译安装，请在业务不忙时重新编译安装后再安装Nginx防火墙。


功能概览


插件安装后需要在面板的软件商店中访问，宝塔面板左侧【防火墙】按钮，默认是nginx防火墙的管理页面。
启动后它展示的默认页是概览页，展示的内容有总拦截次数、各项次数以及保护天数。




【全局设置】
全局设置页面将展示防火墙的所有功能，可在此设置全局规则、各种类型的黑白名单、响应状态码等。apache防火墙暂不支持导入导出防火墙的配置。
开始前请详细阅读下列提示，非常重要、非常重要、非常重要。
继承：全局设置将在站点配置中自动继承为默认值，现有站点不受全局设置的影响，新增站点才会直接自动继承的应用全局设置。
优先级：UA白名单> UA黑名单 >IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止国外IP访问 > User-Agent > URI过滤 > URL参数 > Cookie > POST






Apahe防火墙功能详解
CC防御
注意：全局CC设置的是初始值，新添加站点时将继承，对现有站点无效，已经存在被攻击现象的站点前往站点配置即可。
规则说明：
周期、频率、封锁时间：
xx秒周期内累计请求同一URL超过
xx次频率，触发CC防御，封锁此IP
xx秒，所有时间取1天，最长不会超过86400秒。
例如：
60秒周期内累计请求同一URL超过
180次频率，触发CC防御，封锁此IP
300秒。
模式：默认为标准模式，网站正常使用时建议使用标准模式，避免出现普通用户无法正常访问的情况
四层防御：基于网络层开发的四层防御
注意：IP封锁不等于拉黑名单，需要加黑名单需自行点击添加。
请不要设置过于严格的CC规则，以免影响正常用户体验。




恶意容忍度
某一IP对网站进行了多少次的恶意请求后，nginx防火墙将进行对该IP的封锁。这不同于CC防御，恶意请求有可能是SQL注入、XSS等恶意传参、CC，当此IP的访问行为达到了设置的阈值，nginx防火墙就会做出封锁动作。
举例：192.168.1.10这个IP对www.bt.cn网站60秒进行了6次恶意攻击（包含SQL注入、XSS），触发了防火墙设置的阈值，此时防火墙将会对192.168.1.10进行拦截。
注意：全局应用:全局设置当前恶意容忍规则，且覆盖当前全部站点的恶意容忍规则。





UA黑白名单
设置后，UA白名单查询到关键词直接跳过任何拦截，UA黑白名单初始化阶段在客户端UA中查找关键词，谨慎使用。UA白名单默认为空，没有就一直保持空即可。建议使用场景：例如可以禁用Google蜘蛛的UA到黑名单中，可以禁止某个浏览器UA访问，例如safari等。


IP黑白名单
设置后，所有规则对IP白名单无效，IP白名单前文提到位居规则顶端。IP黑名单设置后既在nginx防火墙禁止此IP访问所有网站。
建议使用场景：自己的服务器间互动、公司内测试、公司的其他服务器IP、需要测试的服务器IP等加入IP白名单（如果没有需求就不用设置IP白名单）。IP黑名单使用场景可以禁止某个或某个段的IP访问、某个段的蜘蛛爬虫，将需要拉黑的IP添加进入即可。


URL黑白名单
设置后，只要是关于添加的URL请求，都是进行URL黑白名单过滤，白名单设置后该URL将会失去大部分防御规则。
注意格式：例如误拦截的url如下： /index/index/aaa.php?id=eradasa&adas，只需要填写它的URL，不需要添加它的参数。
有添加URL黑白名单的需求是，操作如下：^/index/index/aaa.php，只需要添加^/index/index/aaa.php到URL黑白名单即可。


GET（GET-URL）、POST、UA（User-Agent）过滤、Cookie过滤、常见扫描器
GET-参数过滤 --> 对GET类型的参数进行过滤
GET-URL过滤 --> 对URI 进行过滤
User-Agent过滤--> 对客户端的UA进行过滤
POST过滤-->对POST传递的参数进行过滤
Cookie过滤--> 对客户端传递的Cookie进行过滤
常见扫描器-->对已知的扫描器进行封锁
建议：保持默认即可，不建议修改；需要自定义规则时，建议添加新的规则，不建议改动原来的，全部支持正则表达式。


GET（GET-URL）
GET参数和GET-URL的区别
例如：/index.php?id=1&id2=1，id=1&id2=1是过滤的参数和值，index.php是URI。
那么GET参数过滤只会取GET传递的参数，进行判断是否是恶意的参数；而GET-URL这块主要拦截的是一个备份文件被非法下载、sql文件被下载等。

UA（User-Agent）过滤
这里是对用户的恶意UA 进行了拦截，例如拦截go的UA直接填入go即可，支持正则。

POST、Cookie过滤、常见扫描器
这里是对POST的传递参数、用户提交的Cookie进行过滤，常见扫描器是对扫描器的特征去匹配。

禁止境国外访问
字面意思，设置后可禁止境外访问，用户可自行点击设置设置IP，境外IP库可同步云端。

蜘蛛池
云端有存储百度、谷歌、360、搜狗、雅虎、必应、头条的蜘蛛池，除了这些，用户可以对蜘蛛池自行增删蜘蛛。

后续在使用的过程中遇到问题的用户，这边建议重新发帖，在此帖中回复这边可能不能及时看到您的问题。
重新发帖以便快速获得技术支持，或者扫下面的二维码直接联系我们

建议增加各大CDN节点IP，和百度蜘蛛节点等，开启了会屏蔽百度蜘蛛的

垃圾的玩儿，开启后各种乱七八糟的拦截，网站打不开出现错误代码520，就连百度蜘蛛都照拦不误！像这种脑残的玩儿还收费？想钱想疯了吧？

求解决安装防火墙无法打开 Nginx 1.15.10

怎么一更新nginx就停止运行了？重启说配置问题，卸载防火墙又好了

dangao5 发表于 2018-5-23 18:06
能否禁止中国访客访问？

良哥，会考虑开发吗？

tjsky 发表于 2018-5-23 19:49
常规过滤和nginx1.12自带的WAF防火墙有啥区别。
PS：开启Cookie后会阻止百度的抓取，导致百度无法索引到二 ...

新的网站防火墙是花了几个月时间筹备来打磨的产品，效果肯定会更好，具备真正的实用意义。
我们官网也开启了cookie，百度收录正常。如果有拦截记录，请提供下拦截详情

开启防火墙后，重启服务器Nginx无法启动，卸载防火墙后启动Nginx正常
系统: CentOS Linux 7.5.1804 (Core)　
宝塔版本: 5.9.11
Nginx1.14

开了网站防火墙，个别手机在系统浏览器里无法打开网站（其他浏览器可以打开）显示空白，关了防火墙又能打开了。这是咋回事

功能看着挺强大的。请问什么时候能开放使用啊？

baobaoge 发表于 2018-5-21 16:43
功能看着挺强大的。请问什么时候能开放使用啊？

等下就来了

liang2580 发表于 2018-5-21 17:20
等下就来了

期待。。。

好像已经开放了，19.8元一个月

什么时候支持Apache啊！期待！

防御CC吗   如果有我就可以卸载云锁了

2块钱带CC合适吧 或者20包年 或者所有功能打包吧

这个如果后期更换服务器还能用吗？

能否禁止中国访客访问？

常规过滤和nginx1.12自带的WAF防火墙有啥区别。
PS：开启Cookie后会阻止百度的抓取，导致百度无法索引到二级页面
关闭就可以成功抓取，管理员检查下？

CC规则设置3秒5次，亲测防不住2H2G  100代理IP直接C死

开启防火墙后，无法添加网站，并且nginx1.12出错.  

Nginx配置规则错误:
nginx: the configuration file /www/server/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /www/server/nginx/conf/nginx.conf test failed