如何配置宝塔面板的CC防御规则?
美国、香港服务器
如何配置宝塔面板的CC防御规则?
02-03 来源:
宝塔面板的 CC 防御规则依托 ** 宝塔 Web 防火墙(WAF)** 实现,通过限制 IP/URL 请求频率、触发验证、自动封禁等机制抵御 CC 攻击,支持全局与站点级配置,以下是完整操作流程:
一、前置条件:安装并启用宝塔 WAF
登录宝塔面板,进入软件商店,搜索「宝塔 Web 防火墙」并安装(优先选 Nginx 版)。
进入安全→Web 防火墙,开启总开关,选择默认防护模板,确保 WAF 正常运行。
二、全局 CC 防御规则(所有站点通用)
全局规则对面板内所有网站生效,路径:安全→Web 防火墙→全局设置→CC 防御。
基础参数配置
防御模式:选择「URL 模式」「IP 模式」「IP+UA 模式」,默认推荐 URL 模式(按单 URL 请求频率限制)。
周期与频率:设置检测周期(如 60 秒)和触发阈值(如 60 次),即某 IP 在周期内访问同一 URL 超阈值则触发防御。
封锁时间:触发防御后封禁 IP 的时长,建议设 300-3600 秒,避免长期误封。
增强模式:可选「验证码验证」「跳转验证」,攻击高峰期开启,正常访问建议关闭,避免影响用户体验。
自动模式:开启后,当 60 秒内全站请求超设定阈值(如 600 次)自动启用增强模式,无攻击时自动关闭。
四层防御:开启后在网络层过滤异常流量,提升防御效率。
规则示例(个人博客)
参数 配置值 说明
防御模式 URL 模式 按单 URL 请求频率限制
周期 60 秒 检测时间窗口
频率 60 次 周期内单 URL 最大允许请求数
封锁时间 3600 秒 封禁 1 小时
增强模式 关闭 正常访问不启用
自动模式 开启 攻击时自动启用增强模式
四层防御 开启 网络层过滤异常流量
配置完成后点击保存,再点击全局应用,确保规则对所有站点生效。
三、站点级 CC 防御规则(单站点精准控制)
站点规则优先级高于全局规则,适合为不同网站定制策略,路径:安全→Web 防火墙→选择目标网站→防护设置→CC 防御。
独立开关控制
可单独开启 / 关闭该站点的 CC 防御,与全局规则解耦。
调整拦截响应方式(返回 403 / 自定义页面),适配业务场景。
定制站点专属规则
针对高访问量接口(如 API)降低频率阈值,避免被刷接口。
对核心页面(如首页)设置宽松规则,保障正常访问。
开启「URL 白名单」,放行静态资源(如图片、JS),避免误拦。
保存设置后,点击重载 WAF 配置,确保规则立即生效。
四、高级自定义:Nginx 配置文件优化
若需更精细的流量控制,可直接修改 Nginx 配置文件,路径:文件→/www/server/nginx/conf/nginx.conf。
限制请求频率(ngx_http_limit_req_module)
nginx
http {
limit_req_zone $binary_remote_addr zone=cc:10m rate=10r/s; # 每秒最多10个请求
server {
location / {
limit_req zone=cc burst=5 nodelay; # 允许突发5个请求,无延迟处理
限制并发连接数(ngx_http_limit_conn_module)
nginx
http {
limit_conn_zone $binary_remote_addr zone=conn:10m;
server {
location / {
limit_conn conn 10; # 每个IP最大10个并发连接
配置生效:修改后执行nginx -s reload,重载 Nginx 使规则生效。
五、验证与优化
规则测试
用工具模拟高频请求(如每秒访问同一 URL 10 次),验证是否触发封禁,查看 WAF 日志确认记录。
检查正常用户访问是否流畅,避免误封核心业务。
误拦处理
定位误拦的 IP/URL,在 CC 防御白名单中添加放行规则。
调整周期与频率参数,平衡防御效果与用户体验。
性能优化
定期清理无效封禁 IP,释放服务器资源。
高流量站点可关闭非必要的增强模式,优先保障核心防护。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
