彩云互联-安徽互联-安徽域名注册-安徽虚拟主机-安徽最大的PHP主机提供商

 找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

搜索
查看: 543|回复: 0

宝塔6.x版nginx隐藏免费安全过滤功能(waf),要开启安全过滤可使用付费版防火墙插件

[复制链接]
发表于 2019-4-4 07:56:40 | 显示全部楼层 |阅读模式
宝塔5.9版本 nginx 的过滤功能,可以对url post get等参数进行安全过滤,可以挡住大量的日常漏洞扫描,比如针对织梦的SQL注入漏洞扫描,非法写入漏洞扫描、屏蔽常见的扫描黑客工具等。这其实就是waf功能,也相当于简化版的宝塔防火墙。这个功能非常好用,曾经是我向很多人推荐使用宝塔的重要原因之一!至少免去了手动集成的工作步骤,对初级用户相当易用,且有用。
但是新版本的6.x居然取消了这个重要的安全过滤功能的设置项!
  但在目前6.8版中发现,此功能尚未完全被删除,只是隐藏了开启入口。
宝塔6.x手工开启免费防火墙方法:
  1、进入宝塔面板,打开 软件管理 > Nginx > 设置 > 配置修改;
  2、找到#include luawaf.conf;,去掉前面的 # 符号(“#”代表注释),保存;
  3、修改防火墙配置文件:/www/server/nginx/waf/config.lua
  1. postMatch="off" 中的 off 改为 on
  2. CookieMatch="off" 中的 off 改为 on
复制代码

  4、下载防火墙规则文件夹 wafconf.zip  (此步可忽略)
  上传到 /www/server/nginx/waf/ 目录中,在宝塔中解压到当前目录
  你会看见多了一个目录:/www/server/nginx/waf/wafconf/,这个目录中是各个规则,可以自行百度其含义。
  5、重启nginx,使waf生效。
  原来的免费过滤功能就开启了。实际上,宝塔的付费版防火墙也是这个原理,从这个优化而来,变得更加细化,更加方便管理。
  6、当启动规则后,要修改规则是在 /www/server/panel/vhost/wafconf/ 目录中,其中的 returnhtml 文件就是访问被阻挡的提示内容。  
  拦截日志在:/www/wwwlogs/waf/ 文件夹中,如需关闭日志,将 /www/server/nginx/waf/config.lua 中的 attacklog = "off" 为 attacklog = "off" 就可以了。
  /www/server/nginx/waf/config.lua 配置详解
  1. RulePath = "/www/server/panel/vhost/wafconf/"   --waf 详细规则存放目录(一般无需修改)
  2. attacklog = "on"                                --是否开启攻击日志记录(on 代表开启,off 代表关闭。下同)
  3. logdir = "/www/wwwlogs/waf/"                    --攻击日志文件存放目录(一般无需修改)
  4. UrlDeny="on"                                    --是否开启恶意 url 拦截
  5. Redirect="on"                                   --拦截后是否重定向
  6. CookieMatch="off"                               --是否开启恶意 Cookie 拦截
  7. postMatch="off"                                 --是否开启 POST 攻击拦截
  8. whiteModule="on"                                --是否开启 url 白名单
  9. black_fileExt={"php","jsp"}                     --文件后缀名上传黑名单,如有多个则用英文逗号分隔。如:{"后缀名1","后缀名2","后缀名3"……}
  10. ipWhitelist={"127.0.0.1"}                       --白名单 IP,如有多个则用英文逗号分隔。如:{"127.0.0.1","127.0.0.2","127.0.0.3"……} 下同
  11. ipBlocklist={"1.0.0.1"}                         --黑名单 IP
  12. CCDeny="off"                                    --是否开启 CC 攻击拦截
  13. CCrate="300/60"                                 --CC 攻击拦截阈值,单位为秒。"300/60" 代表 60 秒内如果同一个 IP 访问了 300 次则拉黑
复制代码

为什么在6.8版中取消了这个免费过滤功能的开关?按宝塔官方的说法,这个功能不是太完善,在使用过程中容易误拦截,而收费版的防火墙则优化和细化了功能,更强化了直观管理能力。有条件的可以使用宝塔收费版的防火墙,功能还是比较实用有效的。
201901251548409165240731.png

来源:https://www.think3.cc/?id=9
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|Archiver|彩云源码-安徽互联-彩云互联 ( 皖ICP备11021047号 )

GMT+8, 2020-6-5 10:59 , Processed in 0.055099 second(s), 9 queries , File On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表