如何配置宝塔面板的参数过滤规则?
美国、香港服务器
如何配置宝塔面板的参数过滤规则?
02-02 来源:
宝塔面板的参数过滤规则主要通过宝塔 Web 防火墙(WAF) 配置,支持全局与站点级设置,可精准拦截 GET/POST 参数中的 SQL 注入、XSS、命令执行等恶意内容,以下是完整操作流程:
一、前置条件:安装并启用宝塔 WAF
1. 登录宝塔面板,进入软件商店,搜索「宝塔 Web 防火墙」并完成安装(优先选 Nginx 版)。
2. 进入安全→Web 防火墙,开启总开关,选择默认防护模板(基础 / 严格),确保 WAF 正常运行。
二、全局参数过滤规则(所有站点通用)
全局规则对面板内所有网站生效,适合统一安全基线,路径:安全→Web 防火墙→全局设置→参数规则。
1. 开启参数过滤开关
◦ 启用GET参数过滤和POST参数过滤,拦截对应请求中的恶意参数。
◦ 开启攻击日志记录,日志默认存于/www/wwwlogs/waf/,便于排查误拦与攻击。
2. 配置核心过滤规则
规则类型
配置操作
示例规则

SQL 注入拦截
添加正则规则,匹配注入关键词
union\s+select、select.*from.*information_schema
XSS 跨站拦截
过滤脚本、事件相关参数
、onclick=、javascript:

命令执行拦截
拦截系统命令调用字符
、&&、\bin\bash`
敏感参数拦截
禁止传递高危参数名
cmd=、exec=、shell=
3. 规则设置说明
◦ 规则格式:支持正则表达式,区分大小写可按需勾选。
◦ 拦截动作:选择「拦截请求」「记录日志」「返回 403」等,建议优先拦截 + 日志。
◦ 白名单排除:对合法参数(如 API 接口的id=)添加白名单,避免误拦。
4. 保存规则,点击重载 WAF 配置使全局规则生效。
三、站点级参数过滤规则(单站点精准控制)
站点规则优先级高于全局规则,适合为不同网站定制防护策略,路径:安全→Web 防火墙→选择目标网站→防护设置→参数规则。
1. 独立开关控制
◦ 可单独开启 / 关闭该站点的 GET/POST 参数过滤,与全局规则解耦。
◦ 配置拦截响应方式(返回自定义页面 / 重定向),适配业务场景。
2. 定制站点专属规则
◦ 针对站点业务漏洞添加规则,如拦截/api/upload路径下含php的参数。
◦ 对站点核心接口(如/user/login)设置参数白名单,放行合法请求。
◦ 调整拦截阈值,对高频参数请求增加二次校验。
3. 保存设置后,重载 WAF 配置,确保规则立即生效。
四、高级自定义:Lua 规则文件配置
若需更复杂的过滤逻辑,可直接修改 WAF 的 Lua 规则文件,路径:文件→/www/server/panel/vhost/wafconf/。
1. GET 参数规则:编辑args文件,添加正则规则,示例:
lua
拦截SQL注入union查询
union\s
select
拦截XSS脚本注入
.*?

2. POST 参数规则:编辑post文件,适配表单、API 的 POST 请求过滤,规则格式同args。
3. 配置生效:修改后执行nginx -s reload,重载 Nginx 使规则生效。
五、验证与优化
1. 规则测试
◦ 用恶意参数请求测试,如/?id=1" union select 1,2,验证 WAF 是否拦截并记录日志。
◦ 检查合法请求是否正常响应,避免误拦核心业务接口。
2. 误拦处理
◦ 定位误拦的参数或接口,在对应规则的白名单中添加放行规则。
◦ 调整正则表达式的匹配精度,减少过度拦截。
3. 性能优化
◦ 定期清理无效规则,避免规则过多导致请求延迟。
◦ 高流量站点可关闭非必要的参数过滤项,优先保障核心防护。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
