2. 首页 > 主机教程 > 正文

RAKsmart服务器+宝塔面板系列教程 | 宝塔防火墙(Nginx防火墙)配置与规则详解

作者:小库 o 更新时间:2025-09-24  o阅读: 14

在当今网络安全威胁日益增多的环境下,搭建网站不仅仅是部署代码那么简单,更需要重视安全防护。本文,小库主机将详细介绍如何在RAKsmart服务器上使用宝塔面板配置Nginx防火墙,请参考。

宝塔防火墙配置

宝塔防火墙概述

宝塔面板提供两种类型的防火墙:操作系统防火墙Nginx防火墙。操作系统防火墙主要用于管理端口开放与关闭,而Nginx防火墙则是应用层的Web防火墙(WAF),能有效阻止大部分渗透攻击。

对于RAKsmart服务器用户来说,无论是Linux还是Windows系统,都可以通过宝塔面板轻松管理防火墙。但需要注意的是,Nginx防火墙仅适用于Nginx服务,对Apache不起作用。

如何开启宝塔Nginx防火墙

方法一:开启隐藏的免费WAF功能

宝塔面板在6.x之前的版本中自带了Nginx防火墙功能,但后续版本为了推广付费插件,将免费入口隐藏了。不过,我们仍然可以手动开启。

  1. 登录宝塔面板,进入【软件管理】> 【Nginx】> 【设置】> 【配置修改】。
  2. 在配置文件中找到大约第13行的 #include luawaf.conf;去掉前面的#符号(”#”代表注释)。
  3. 保存并重启Nginx。此时,防火墙已经成功开启。
  4. 验证防火墙是否生效:访问 http://你的网址/?id=../etc/passwd,如果页面弹出拦截提示,说明防火墙已正常工作。

方法二:安装第三方免费防火墙插件

在宝塔面板的【软件商店】中,搜索”防火墙”,可以找到”Nginx免费防火墙“插件。点击安装即可。需要注意的是,这个免费版与现有的Nginx防火墙只能安装一个。

防火墙规则详解

开启防火墙后,我们需要了解其规则配置。防火墙的配置文件位于 /www/server/nginx/waf/config.lua

主要配置参数

以下是配置文件中的重要参数及其含义:

  • attacklog:”on”代表开启攻击日志记录,”off”代表关闭
  • UrlDeny:”on”代表开启恶意URL拦截
  • Redirect:”on”代表拦截后是否重定向
  • CookieMatch:是否开启恶意Cookie拦截
  • postMatch:是否开启POST攻击拦截
  • whiteModule:是否开启URL白名单
  • black_fileExt:文件后缀名上传黑名单,例如{“php”,”jsp”}
  • ipWhitelist:白名单IP,如{“127.0.0.1”}
  • ipBlocklist:黑名单IP
  • CCDeny:是否开启CC攻击拦截
  • CCrate:CC攻击拦截阈值,单位为秒。”300/60″代表60秒内如果同一个IP访问了300次则拉黑

规则文件说明

/www/server/panel/vhost/wafconf/目录下,存放着具体的拦截规则文件:

  • args:GET参数拦截规则
  • cookie:Cookie拦截规则
  • post:POST参数拦截规则
  • url:URL拦截规则
  • user-agent:UA拦截规则
  • whiteurl:白名单网址
  • returnhtml:被拦截后的提示页面(HTML)

除非你对正则表达式很熟悉,否则不建议随意修改这些规则文件,以免造成误拦截。

高级配置技巧

1. CC攻击防护配置

CC攻击是常见的网络攻击之一。在配置文件中,将CCDeny设置为”on”开启CC防护,并根据网站流量调整CCrate阈值。对于高流量网站,可以设置较高的阈值,避免误伤正常用户。

2. IP黑白名单管理

将可信IP添加到ipWhitelist中,将恶意IP添加到ipBlocklist中。如果你使用了CDN服务,需要开启CDN模式,否则防火墙可能影响网站正常访问。

3. 文件上传限制

通过black_fileExt参数,可以限制上传特定后缀的文件,如PHP、JSP等可执行文件,有效防范webshell上传。

实用注意事项

  1. 修改前备份:在修改任何配置文件前,务必备份原文件,以便出现问题时恢复。
  2. 重启生效:每次修改防火墙配置后,都需要重启Nginx服务才能使更改生效。
  3. 日志监控:定期检查/www/wwwlogs/waf/目录下的攻击日志,了解网站面临的威胁情况。
  4. 避免过度拦截:在开启严格模式时,先在小范围测试,确保不影响正常用户访问。

结语

通过合理配置宝塔Nginx防火墙,你的RAKsmart服务器安全性将得到显著提升。免费版防火墙基本能满足中小网站的安全需求,但如果你运营的是重要商业网站,建议考虑宝塔官方付费防火墙,它提供更完善的规则库和持续更新。

安全防护是一个持续的过程,防火墙配置只是其中一环。定期更新系统、使用强密码、及时修补漏洞同样重要。只有采取多层次的安全措施,才能确保网站稳定可靠地运行。

🗝️ 隐藏优惠等你发现!点击解锁RAKsmart宝藏活动

Raksmart周六会员日

Raksmart嗨购星期日

RAKsmart新用户福利

RAKsmart年中钜惠 全线福利价

本文由网上采集发布,不代表我们立场,转载联系作者并注明出处:https://www.ykucloud.com/12187.html

小库主机相关推荐

联系我们

在线咨询:点击这里给我发消息

微信号:13180206831

工作日:9:30-18:30,节假日休息