李逍遙

寶塔Linux面板專業版:收費版Nginx防火墻設置教程

李逍遙 程序開發 2021-09-26

寶塔Linux面板專業版nginx防火墻試用了一下,發現功能還是很豐富的,使用起來也很簡單,這篇文章就來說說收費版的Nginx防火墻如何設置,算是給初次設置的同學一個參考。

要使用這個防火墻,你得購買了,29.8一個月,找不到月付(實際278.93元/年),廢話不多說了,我們看看專業版Nginx防火墻應該如何設置。目前,教程用的版本是8.1.2,最新版本是Nginx防火墻8.8.9(但總體來說相差沒那么大)。

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

一:Nginx防火墻首頁

如何安裝就不去多說了,我們打開這個防火墻,首先進入到首頁,這里可以看到防火墻的總開關,這個和免費防火墻是一樣的。還可以看到各種攻擊的報表。

比如:POST滲透、GET滲透、CC攻擊、惡意User-Agent、Cookie滲透、惡意掃描、惡意HEAD請求、網址自定義攔截、網址保護、惡意文件上傳、禁止的擴展名、禁止PHP腳本等信息。具體看圖吧。

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

在此處關閉防火墻后,所有站點將失去保護

寶塔網站防火墻會使nginx有一定的性能損失(<5% 10C靜態并發測試結果)

寶塔網站防火墻僅主要針對網站滲透攻擊,暫時不具備系統加固功能

二、全局配置

全局配置是核心了,所有Nginx防火墻的設置都在這里。這里設置好之后,新添加的站點將繼承這里的規則。具體的功能如下:

CC防御 防御CC攻擊,具體防御參數請到站點配置中調整

惡意容忍度 封鎖連續惡意請求,請到站點配置中調整容忍閾值

GET-URI過濾 過濾uri、uri參數中常見sql注入、xss等攻擊

GET-參數過濾 過濾uri、uri參數中常見sql注入、xss等攻擊

POST過濾 過濾POST參數中常見sql注入、xss等攻擊

User-Agent過濾 通常用于過濾瀏覽器、蜘蛛及一些自動掃描器

Cookie過濾 過濾利用Cookie發起的滲透攻擊

禁止海外訪問 禁止中國大陸以外的地區訪問站點(默認開啟,非特殊需求強烈建議關閉)

常見掃描器 過濾常見掃描測試工具的滲透測試

UA白名單 初始化階段User-Agent白名單

UA黑名單 初始化階段User-Agent黑名單

IP白名單 所有規則對IP白名單無效

IP黑名單 禁止訪問的IP

蜘蛛池 從云端獲取蜘蛛池列表

URL白名單 大部分規則對URL白名單無效

URL關鍵詞攔截 從URL中攔截關鍵詞

URL黑名單 禁止訪問的URL地址 403

敏感文字替換 替換設置的敏感文字

ipv6訪問支持 支持ipv6地址訪問服務器

其它 其它非通用過濾

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

目前有20個功能模塊可以設置,這里說說CC防御 如何設置。

2.1 CC防御

一般的個人博客,建議的規則:周期:60秒 頻率:60次 封鎖時間:300秒 、增強模式:關閉 、四層防御:開啟、 自動模式:開啟,具體的設置看圖吧。

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

自動模式:按照默認的60秒內遭遇600次的訪問則轉到增強模式(默認的配置即可)

這里說下四層防御,寶塔的防火墻是一個七層防御(應用層)的防御,應用層的缺陷在于,攔截以后對方還可以發包,鏈接服務器導致鏈接數過大的問題。 四層防御在于網絡層的攔截ip操作,也就是說攻擊IP 在一定限度內如果超過了這個閥值。直接進入到系統防火墻中。

2.2 其他的設置

【禁止海外訪問】這個功能(默認開啟,非特殊需求強烈建議關閉)其余的功能我們默認即可,如果遇到問題,可以在單獨關閉或者開啟,這些自行調試吧。

三、站點配置

站點配置可以針對單個域名設置規則,比全局配置要更加詳細,可以單獨設置域名防火墻開關、CC攻擊防御規則,URL白名單等。若使用CDN則需將CDN打鉤。不然會導致獲取IP不準確等等。

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

日志后面的設置,就是具體到某個網站的,可以單獨設置規則??磮D:

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

四、封鎖歷史

和免費版本的防火墻一樣,只能解封所有的惡意攻擊、CC攻擊IP。不能單獨解封,所以這個收費版有點不走心啊。

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

Webshell查殺和操作日志不做解釋,因為和免費版本的一毛一樣。

五:一些調試

就這樣設置好使用起來還是會有問題的。比如說,在后臺上傳圖片會報錯。防火墻的日志里提示:/wp-admin/async-upload.php cc攻擊,被過濾,所以這里需要調整,我們把這個點擊誤報,然后提交到白名單即可解決。

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

點擊誤報即可解封并且收錄到白名單中,如圖:

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發

當然調試就是這樣調試的,如果使用中還遇到問題,也不要驚慌,可以在日志中查看是不是誤報,如果是就趕緊恢復到白名單中。這樣使用起來就沒問題了。

六:總結

使用中如果我們開啟了post過濾,會有不能發表文章,不能留言等錯誤。所以我們需要在攔截日志查看原因,然后點擊誤報恢復到白名單中。

要調試之后才能打磨出一個適合自己的防火墻。這個專業版的防火墻使用了一圈,突然覺得免費版本的防火墻真香。但是專業版防火前功能還是足夠豐富的,比如cdn功能,敏感詞替換等等這些功能都非常實用。

本文固定鏈接:http://www.yuntue.com/post/30455.html | 云服務器 ,轉載請注明出處!

 寶塔Linux面板專業版:收費版Nginx防火墻設置教程 程序開發
發表評論
最近更新中文字幕免费完整版