如何配置宝塔面板的IP+UA模式的CC防御规则?
美国、香港服务器
如何配置宝塔面板的IP+UA模式的CC防御规则?
02-03 来源:
宝塔面板的 IP+UA 模式 CC 防御,是将IP 地址与User-Agent(UA) 组合作为唯一识别维度,按 “同一 IP + 同一 UA” 的请求频率触发限制,适合 API 接口、爬虫防护等场景,以下是完整配置流程:
一、前置条件
登录宝塔面板,进入软件商店,安装「宝塔 Web 防火墙(Nginx 版)」。
进入安全→Web 防火墙,开启总开关,选择基础 / 严格防护模板,确保 WAF 正常运行。
二、全局 IP+UA 模式 CC 防御(所有站点通用)
路径:安全→Web 防火墙→全局设置→CC 防御
核心参数配置
防御模式:选择「IP+UA 模式」,以 “IP+UA” 组合为统计单元。
检测周期:设置时间窗口(如 60 秒),统计该时段内的请求次数。
触发频率:设定 “IP+UA” 组合在周期内的最大允许请求数(如 60 次),超阈值则触发防御。
封锁时间:触发后封禁该 “IP+UA” 组合的时长,建议 300-3600 秒,避免长期误封。
增强模式:可选验证码 / 跳转验证,攻击高峰期开启,正常访问建议关闭。
自动模式:开启后,全站请求超设定阈值(如 600 次 / 60 秒)自动启用增强模式。
四层防御:开启后在网络层过滤异常流量,提升防御效率。
配置示例(API 接口场景)
参数 配置值 说明
防御模式 IP+UA 模式 按 IP+UA 组合统计请求
周期 60 秒 统计时间窗口
频率 50 次 单 IP+UA 组合 60 秒内最多 50 次请求
封锁时间 1800 秒 封禁 30 分钟
增强模式 关闭 正常访问不启用
自动模式 开启 攻击时自动启用增强模式
四层防御 开启 网络层过滤异常流量
保存配置,点击全局应用,使规则对所有站点生效。
三、站点级 IP+UA 模式 CC 防御(单站点定制)
路径:安全→Web 防火墙→选择目标网站→防护设置→CC 防御
独立开关控制
单独开启 / 关闭该站点的 IP+UA 模式 CC 防御,与全局规则解耦。
自定义拦截响应方式(返回 403 / 自定义页面),适配业务场景。
精细化规则配置
对高风险接口(如登录、支付)降低频率阈值,强化防护。
对静态资源(图片、JS)添加 URL 白名单,避免误拦。
针对合法爬虫(如百度蜘蛛)的 UA,添加 “IP+UA 白名单”,放行合规请求。
保存设置后,点击重载 WAF 配置,确保规则立即生效。
四、高级自定义:Lua 规则扩展
若需更复杂的 “IP+UA” 组合逻辑,可修改 WAF 的 Lua 规则文件,路径:文件→/www/server/panel/vhost/wafconf/cc.lua
自定义频率统计逻辑
lua
-- 按IP+UA组合统计请求,周期60秒,阈值50次
local key = ngx.var.remote_addr .. ngx.var.http_user_agent
local limit = cc_limit:new("cc_" .. key, 60, 50)
if limit:is_over() then
ngx.exit(403) -- 超阈值返回403
end
配置生效:修改后执行nginx -s reload,重载 Nginx 使规则生效。
五、验证与优化
规则测试
用固定 IP+UA 模拟高频请求,验证是否触发封禁,查看 WAF 日志(/www/wwwlogs/waf/)确认记录。
检查正常用户(不同 UA/IP)访问是否流畅,避免误拦。
误拦处理
定位误拦的 “IP+UA” 组合,添加至白名单放行。
调整周期与频率参数,平衡防御效果与用户体验。
性能优化
定期清理无效封禁记录,释放服务器资源。
高流量站点关闭非必要增强模式,优先保障核心防护。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
