如何在宝塔面板中添加网站的WAF规则防护?
美国、香港服务器
如何在宝塔面板中添加网站的WAF规则防护?
02-02 来源:
在宝塔面板中为网站添加 WAF 规则防护,核心是先安装并启用宝塔 Web 防火墙(WAF),再通过可视化界面配置全局 / 站点级规则,覆盖 CC 防御、URL 拦截、参数过滤、文件上传限制等场景,以下是完整操作流程:
一、安装与启用宝塔 Web 防火墙(WAF)
登录宝塔面板,进入左侧软件商店,搜索「宝塔 Web 防火墙」,点击安装(支持 Nginx/Apache 环境,优先选 Nginx 版)。
安装完成后,进入左侧安全→Web 防火墙,点击总开关启用 WAF,等待服务加载完成。
首次启用时,可选择默认防护模板(基础 / 严格 / 自定义),快速启用核心防护规则。
二、配置全局 WAF 规则(所有站点通用)
全局规则对面板内所有网站生效,适合统一安全基线,路径:安全→Web 防火墙→全局设置。
基础防护开关
开启攻击日志记录,设置日志路径(默认/www/wwwlogs/waf/),便于排查异常。
启用CC攻击防护,配置触发阈值(如100次/60秒),拦截高频恶意请求。
开启恶意URL拦截、POST参数过滤、Cookie恶意检测,覆盖常见 Web 攻击场景。
核心规则配置
规则类型 配置路径 示例规则
IP 黑白名单 全局设置→IP 黑白名单 拉黑攻击 IP 段203.0.113.0/24,放行办公网 IP192.168.1.0/24
URL 拦截规则 全局设置→URL 规则 拦截含/etc/passwd、/phpinfo.php的恶意路径
参数过滤规则 全局设置→参数规则 拦截 GET/POST 中含union select、script的注入 payload
文件上传限制 全局设置→上传规则 禁止上传.php、.jsp、.exe等高危后缀,仅允许jpg、png
User-Agent 拦截 全局设置→UA 规则 拉黑恶意爬虫 UA(如sqlmap、Nmap)
配置完成后点击保存,规则自动生效。
三、配置站点级 WAF 规则(单站点精准防护)
站点规则优先级高于全局规则,适合为不同网站定制防护策略,路径:安全→Web 防火墙→选择目标网站→防护设置。
基础防护开关
可单独开启 / 关闭该站点的 CC 防御、参数过滤等功能,与全局规则解耦。
配置拦截响应方式(返回 403 / 自定义页面 / 重定向),适配业务需求。
站点专属规则
URL 白名单 / 黑名单:放行站点核心接口(如/api/login),拦截后台扫描路径(如/admin)。
自定义防御规则:针对站点业务漏洞添加规则,如拦截/upload路径下的非图片文件。
国家 / 区域限制:禁止境外 IP 访问(适合国内业务),或仅放行指定国家 IP。
保存设置后,点击重载 WAF 配置,确保规则立即生效。
四、自定义高级 WAF 规则(Lua 脚本扩展)
若需更复杂的防护逻辑,可通过修改 Lua 规则文件实现,路径:文件→/www/server/nginx/waf/。
核心配置文件config.lua:调整防护开关、日志路径、拦截阈值等全局参数。
规则文件目录/www/server/panel/vhost/wafconf/:
args:GET 参数拦截规则,添加注入、XSS 等过滤正则。
post:POST 参数拦截规则,适配表单提交、API 请求过滤。
url:URL 路径拦截规则,自定义恶意路径匹配逻辑。
returnhtml:修改拦截后的提示页面,替换默认 403 页面。
修改后执行nginx -s reload,重载 Nginx 使规则生效。
五、验证与优化
规则测试:用模拟攻击请求(如访问/?id=1" union select 1,2),验证 WAF 是否拦截,查看攻击日志确认记录。
误拦截处理:在对应规则的白名单中添加放行规则(如误拦的 API 接口、合法爬虫 UA)。
性能优化:定期清理无效规则,避免规则过多导致请求延迟;高流量站点可适当降低 CC 防御阈值。
六、注意事项
规则优先级:IP 白名单 > IP 黑名单 > URL 白名单 > URL 黑名单 > 参数过滤 > CC 防御,配置时需注意顺序。
环境兼容:Apache 环境需确保已启用mod_security模块,WAF 规则才能正常生效。
日志排查:定期分析/www/wwwlogs/waf/下的攻击日志,更新规则应对新型攻击。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
