寶塔Linux面板專(zhuān)業(yè)版的nginx防火墻試用了一下��,發(fā)現功能還是很豐富的�����,使用起來(lái)也很簡(jiǎn)單����,這篇文章就來(lái)說(shuō)說(shuō)收費版的Nginx防火墻如何設置���,算是給初次設置的同學(xué)一個(gè)參考�。
要使用這個(gè)防火墻��,你得購買(mǎi)了����,29.8一個(gè)月����,找不到月付(實(shí)際278.93元/年)��,廢話(huà)不多說(shuō)了���,我們看看專(zhuān)業(yè)版Nginx防火墻應該如何設置�����。目前���,教程用的版本是8.1.2�,最新版本是Nginx防火墻8.8.9(但總體來(lái)說(shuō)相差沒(méi)那么大)�。
一:Nginx防火墻首頁(yè)
如何安裝就不去多說(shuō)了��,我們打開(kāi)這個(gè)防火墻��,首先進(jìn)入到首頁(yè)��,這里可以看到防火墻的總開(kāi)關(guān)��,這個(gè)和免費防火墻是一樣的�。還可以看到各種攻擊的報表����。
比如:POST滲透��、GET滲透���、CC攻擊�、惡意User-Agent�����、Cookie滲透��、惡意掃描����、惡意HEAD請求�、網(wǎng)址自定義攔截�、網(wǎng)址保護�����、惡意文件上傳�、禁止的擴展名���、禁止PHP腳本等信息����。具體看圖吧����。
在此處關(guān)閉防火墻后,所有站點(diǎn)將失去保護
寶塔網(wǎng)站防火墻會(huì )使nginx有一定的性能損失(<5% 10C靜態(tài)并發(fā)測試結果)
寶塔網(wǎng)站防火墻僅主要針對網(wǎng)站滲透攻擊,暫時(shí)不具備系統加固功能
二�、全局配置
全局配置是核心了����,所有Nginx防火墻的設置都在這里�。這里設置好之后����,新添加的站點(diǎn)將繼承這里的規則�。具體的功能如下:
CC防御 防御CC攻擊���,具體防御參數請到站點(diǎn)配置中調整
惡意容忍度 封鎖連續惡意請求���,請到站點(diǎn)配置中調整容忍閾值
GET-URI過(guò)濾 過(guò)濾uri����、uri參數中常見(jiàn)sql注入����、xss等攻擊
GET-參數過(guò)濾 過(guò)濾uri�、uri參數中常見(jiàn)sql注入�����、xss等攻擊
POST過(guò)濾 過(guò)濾POST參數中常見(jiàn)sql注入��、xss等攻擊
User-Agent過(guò)濾 通常用于過(guò)濾瀏覽器����、蜘蛛及一些自動(dòng)掃描器
Cookie過(guò)濾 過(guò)濾利用Cookie發(fā)起的滲透攻擊
禁止海外訪(fǎng)問(wèn) 禁止中國大陸以外的地區訪(fǎng)問(wèn)站點(diǎn)(默認開(kāi)啟�,非特殊需求強烈建議關(guān)閉)
常見(jiàn)掃描器 過(guò)濾常見(jiàn)掃描測試工具的滲透測試
UA白名單 初始化階段User-Agent白名單
UA黑名單 初始化階段User-Agent黑名單
IP白名單 所有規則對IP白名單無(wú)效
IP黑名單 禁止訪(fǎng)問(wèn)的IP
蜘蛛池 從云端獲取蜘蛛池列表
URL白名單 大部分規則對URL白名單無(wú)效
URL關(guān)鍵詞攔截 從URL中攔截關(guān)鍵詞
URL黑名單 禁止訪(fǎng)問(wèn)的URL地址 403
敏感文字替換 替換設置的敏感文字
ipv6訪(fǎng)問(wèn)支持 支持ipv6地址訪(fǎng)問(wèn)服務(wù)器
其它 其它非通用過(guò)濾
目前有20個(gè)功能模塊可以設置���,這里說(shuō)說(shuō)CC防御 如何設置���。
2.1 CC防御
一般的個(gè)人博客�,建議的規則:周期:60秒 頻率:60次 封鎖時(shí)間:300秒 �、增強模式:關(guān)閉 ���、四層防御:開(kāi)啟�����、 自動(dòng)模式:開(kāi)啟��,具體的設置看圖吧����。
自動(dòng)模式:按照默認的60秒內遭遇600次的訪(fǎng)問(wèn)則轉到增強模式(默認的配置即可)
這里說(shuō)下四層防御�����,寶塔的防火墻是一個(gè)七層防御(應用層)的防御���,應用層的缺陷在于��,攔截以后對方還可以發(fā)包����,鏈接服務(wù)器導致鏈接數過(guò)大的問(wèn)題���。 四層防御在于網(wǎng)絡(luò )層的攔截ip操作����,也就是說(shuō)攻擊IP 在一定限度內如果超過(guò)了這個(gè)閥值�����。直接進(jìn)入到系統防火墻中�。
2.2 其他的設置
【禁止海外訪(fǎng)問(wèn)】這個(gè)功能(默認開(kāi)啟���,非特殊需求強烈建議關(guān)閉)其余的功能我們默認即可���,如果遇到問(wèn)題�����,可以在單獨關(guān)閉或者開(kāi)啟��,這些自行調試吧���。
三�、站點(diǎn)配置
站點(diǎn)配置可以針對單個(gè)域名設置規則���,比全局配置要更加詳細���,可以單獨設置域名防火墻開(kāi)關(guān)����、CC攻擊防御規則�����,URL白名單等�。若使用CDN則需將CDN打鉤����。不然會(huì )導致獲取IP不準確等等�。
日志后面的設置����,就是具體到某個(gè)網(wǎng)站的����,可以單獨設置規則����?���?磮D:
四�����、封鎖歷史
和免費版本的防火墻一樣����,只能解封所有的惡意攻擊����、CC攻擊IP��。不能單獨解封���,所以這個(gè)收費版有點(diǎn)不走心啊��。
Webshell查殺和操作日志不做解釋?zhuān)驗楹兔赓M版本的一毛一樣�����。
五:一些調試
就這樣設置好使用起來(lái)還是會(huì )有問(wèn)題的�����。比如說(shuō)�����,在后臺上傳圖片會(huì )報錯�����。防火墻的日志里提示:/wp-admin/async-upload.php cc攻擊�����,被過(guò)濾�,所以這里需要調整�,我們把這個(gè)點(diǎn)擊誤報��,然后提交到白名單即可解決���。
點(diǎn)擊誤報即可解封并且收錄到白名單中��,如圖:
當然調試就是這樣調試的����,如果使用中還遇到問(wèn)題����,也不要驚慌�,可以在日志中查看是不是誤報�,如果是就趕緊恢復到白名單中���。這樣使用起來(lái)就沒(méi)問(wèn)題了�。
六:總結
使用中如果我們開(kāi)啟了post過(guò)濾����,會(huì )有不能發(fā)表文章�,不能留言等錯誤�。所以我們需要在攔截日志查看原因��,然后點(diǎn)擊誤報恢復到白名單中�。
要調試之后才能打磨出一個(gè)適合自己的防火墻����。這個(gè)專(zhuān)業(yè)版的防火墻使用了一圈�,突然覺(jué)得免費版本的防火墻真香���。但是專(zhuān)業(yè)版防火前功能還是足夠豐富的�����,比如cdn功能�����,敏感詞替換等等這些功能都非常實(shí)用����。
更多資訊:更多資訊
【文章聲明】
本站發(fā)布的【寶塔Linux面板專(zhuān)業(yè)版:收費版Nginx防火墻設置教程】?jì)热荩▓D片����、視頻和文字)以原創(chuàng )���、轉載和分享為主���,文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)
如果涉及侵權請盡快告知,我們將會(huì )在第一時(shí)間立刻刪除涉嫌侵權內容�����,本站原創(chuàng )內容未經(jīng)允許不得轉載�����,或轉載時(shí)需注明出處���。
