共計 1922 個字符，預計需要花費 5 分鐘才能閱讀完成。

寶塔 Linux 面板專業版的 nginx 防火墻試用了一下，發現功能還是很豐富的，使用起來也很簡單，這篇文章就來說說收費版的 Nginx 防火墻如何設置，算是給初次設置的同學一個參考。

要使用這個防火墻，你得購買了，29.8 一個月，找不到月付(實際 278.93 元 / 年)，廢話不多說了，我們看看專業版 Nginx 防火墻應該如何設置。目前，教程用的版本是 8.1.2，最新版本是 Nginx 防火墻 8.8.9（但總體來說相差沒那么大)。

一：Nginx 防火墻首頁

如何安裝就不去多說了，我們打開這個防火墻，首先進入到首頁，這里可以看到防火墻的總開關，這個和免費防火墻是一樣的。還可以看到各種攻擊的報表。

比如：POST 滲透、GET 滲透、CC 攻擊、惡意 User-Agent、Cookie 滲透、惡意掃描、惡意 HEAD 請求、網址自定義攔截、網址保護、惡意文件上傳、禁止的擴展名、禁止 PHP 腳本等信息。具體看圖吧。

在此處關閉防火墻后, 所有站點將失去保護

寶塔網站防火墻會使 nginx 有一定的性能損失(<5% 10C 靜態并發測試結果)

寶塔網站防火墻僅主要針對網站滲透攻擊, 暫時不具備系統加固功能

二、全局配置

全局配置是核心了，所有 Nginx 防火墻的設置都在這里。這里設置好之后，新添加的站點將繼承這里的規則。具體的功能如下：

CC 防御 防御 CC 攻擊，具體防御參數請到站點配置中調整

惡意容忍度 封鎖連續惡意請求，請到站點配置中調整容忍閾值

GET-URI 過濾 過濾 uri、uri 參數中常見 sql 注入、xss 等攻擊

GET- 參數過濾 過濾 uri、uri 參數中常見 sql 注入、xss 等攻擊

POST 過濾 過濾 POST 參數中常見 sql 注入、xss 等攻擊

User-Agent 過濾 通常用于過濾瀏覽器、蜘蛛及一些自動掃描器

Cookie 過濾 過濾利用 Cookie 發起的滲透攻擊

禁止海外訪問 禁止中國大陸以外的地區訪問站點(默認開啟，非特殊需求強烈建議關閉)

常見掃描器 過濾常見掃描測試工具的滲透測試

UA 白名單 初始化階段 User-Agent 白名單

UA 黑名單 初始化階段 User-Agent 黑名單

IP 白名單 所有規則對 IP 白名單無效

IP 黑名單 禁止訪問的 IP

蜘蛛池 從云端獲取蜘蛛池列表

URL 白名單 大部分規則對 URL 白名單無效

URL 關鍵詞攔截 從 URL 中攔截關鍵詞

URL 黑名單 禁止訪問的 URL 地址 403

敏感文字替換 替換設置的敏感文字

ipv6 訪問支持 支持 ipv6 地址訪問服務器

其它 其它非通用過濾

目前有 20 個功能模塊可以設置，這里說說 CC 防御 如何設置。

2.1 CC 防御

一般的個人博客，建議的規則：周期：60 秒 頻率：60 次 封鎖時間：300 秒、增強模式: 關閉、四層防御: 開啟、自動模式：開啟，具體的設置看圖吧。

自動模式：按照默認的 60 秒內遭遇 600 次的訪問則轉到增強模式(默認的配置即可)

這里說下四層防御，寶塔的防火墻是一個七層防御 (應用層) 的防御，應用層的缺陷在于，攔截以后對方還可以發包，鏈接服務器導致鏈接數過大的問題。四層防御在于網絡層的攔截 ip 操作，也就是說攻擊 IP 在一定限度內如果超過了這個閥值。直接進入到系統防火墻中。

2.2 其他的設置

【禁止海外訪問】這個功能 (默認開啟，非特殊需求強烈建議關閉) 其余的功能我們默認即可，如果遇到問題，可以在單獨關閉或者開啟，這些自行調試吧。

三、站點配置

站點配置可以針對單個域名設置規則，比全局配置要更加詳細，可以單獨設置域名防火墻開關、CC 攻擊防御規則，URL 白名單等。若使用 CDN 則需將 CDN 打鉤。不然會導致獲取 IP 不準確等等。

日志后面的設置，就是具體到某個網站的，可以單獨設置規則?？磮D：

四、封鎖歷史

和免費版本的防火墻一樣，只能解封所有的惡意攻擊、CC 攻擊 IP。不能單獨解封，所以這個收費版有點不走心啊。

Webshell 查殺和操作日志不做解釋，因為和免費版本的一毛一樣。

五：一些調試

就這樣設置好使用起來還是會有問題的。比如說，在后臺上傳圖片會報錯。防火墻的日志里提示：/wp-admin/async-upload.php cc 攻擊，被過濾，所以這里需要調整，我們把這個點擊誤報，然后提交到白名單即可解決。

點擊誤報即可解封并且收錄到白名單中，如圖：

當然調試就是這樣調試的，如果使用中還遇到問題，也不要驚慌，可以在日志中查看是不是誤報，如果是就趕緊恢復到白名單中。這樣使用起來就沒問題了。

六：總結

使用中如果我們開啟了 post 過濾，會有不能發表文章，不能留言等錯誤。所以我們需要在攔截日志查看原因，然后點擊誤報恢復到白名單中。

要調試之后才能打磨出一個適合自己的防火墻。這個專業版的防火墻使用了一圈，突然覺得免費版本的防火墻真香。但是專業版防火前功能還是足夠豐富的，比如 cdn 功能，敏感詞替換等等這些功能都非常實用。