【攻防】启用宝塔面板内置 Nginx WAF

已于 2023-12-21 16:59:43 修改
阅读量577 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 运维 文章标签: 运维 系统安全
于 2023-12-21 16:57:47 首次发布
原文链接:https://www.zouht.com/3117.html
本文介绍了如何在宝塔面板中启用基于lua脚本的ngx_lua_wafWeb应用防火墙,包括启用步骤、配置选项和存在的问题,如Cookie拦截可能引发的500错误及POST拦截对WordPress的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ngx_lua_waf 是一个基于 lua 脚本的开源 WAF (Web应用防火墙),用于抵御第七层攻击。如果你装有宝塔面板,使用 Nginx 作为 Web 服务器,并且没有使用其他 WAF,不妨在几秒钟内启用它。

当然由于这款 WAF 年代久远,如果你已经使用了其他 WAF,没有必要专门换成它(不过我对比了下宝塔的免费 Nginx 防火墙,两个的规则正则表达式非常相似,效果应该也类似)

 GitHub
loveshell/ngx_lua_waf
ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙

启用 ngx_lua_waf

宝塔面板安装的 Nginx 默认编译了 lua_nginx_module,也已经下载配置好了 ngx_lua_waf,唯独就是把启用代码注释掉了。我们进入 Nginx 配置文件,找到被注释的 luawaf 启动配置,取消注释保存即可。

我们测试一个被拦截的规则,看看 WAF 是否能捕获到。我们在网站链接后加上 ?id=../etc/passwd 来访问,这个 GET 请求将会触发安全规则而被拦截。

如果图方便的话,到这里就可以结束了。如果想要修改配置,一定要看最后一节“存在问题”,以免网站功能出现异常。

调整 WAF 配置

WAF 配置文件为 /www/server/nginx/waf/config.lua,可根据需求进行调整功能开关,默认如下:

RulePath = "/www/server/panel/vhost/wafconf/" --拦截规则目录

attacklog = "on"              --是否启用日志

logdir = "/www/wwwlogs/waf/"  --日志位置

UrlDeny="on"                  --是否拦截URL攻击

Redirect="on"                 --拦截后是否重定向

CookieMatch="off"             --是否拦截Cookie攻击

postMatch="off"               --是否拦截POST攻击

whiteModule="on"              --是否开启URL白名单

black_fileExt={"php","jsp"}   --不允许上传的文件类型

ipWhitelist={"127.0.0.1"}     --IP白名单,用逗号分隔

ipBlocklist={"1.0.0.1"}       --IP黑名单,用逗号分隔

CCDeny="off"                  --是否拦截CC攻击

CCrate="300/60"               --拦截阈值,格式解释:60s内同一IP只能请求同一地址180次

WAF 规则文件在 /www/server/panel/vhost/wafconf,可根据需求调整拦截规则,格式是正则表达式,文件名分别为:

  • args:GET 攻击拦截规则

  • cookie: Cookie 攻击拦截规则

  • post:POST 攻击拦截规则

  • url:URL 攻击拦截规则

  • user-agent:UA 拦截规则

  • whitelist:URL 白名单

宝塔面板的版本多了一些文件,经过实验,returnhtml 为拦截后返回的 HTML,除它之外的文件没有用。另外,你可能会在 /www/server/nginx/waf/wafconf 也找到一份配置,但是那个配置是无效的,忽略即可。

存在问题

由于这款 WAF 年久失修,已经没有人进行维护,所以存在一点需要注意的问题:

  • Cookie 拦截有时候会导致 500 错误,作者并没有成功复现这个问题,他给的建议是如果有问题就关闭该功能。

  • POST 拦截规则与 WordPress 后台有冲突,可以选择把自己的 IP 加入白名单或者直接关闭 POST 拦截功能。

  • CC 攻击无法拦截具有 301 跳转的地址,不过发送一个 301 跳转响应基本不消耗服务器资源,即使被 CC 了也没事。

宝塔面板如何添加免费的waf防火墙?
很酷的站长的博客
10-19 2053
目前除了用付费的宝塔防火墙插件之外,其实还有两种方式可以使用免费的Nginx防火墙功能:一个是可以在面板插件里面搜索“防火墙”可以找到第三方的免费防火墙插件,登陆面板安装就可以使用。默认的宝塔面板是安装了ngx_lua_waf模块的,在5.9版本中面板集成了这个简易waf防火墙,所以我们可以在5.9版本的nginx中看到过滤器这个功能,并且可以设置。如:{“后缀名1”,“后缀名2”,“后缀名3”……1、打开宝塔面板,打开左侧“软件商店”,在“已安装”下面找到Nginx,点击后面的“设置”》“配置修改”;
宝塔面板Nginx的Lua-Waf防火墙终极改进 动态封禁IP
zzsxxy的专栏
05-30 880
宝塔面板nginx修改/www/server/nginx/waf/目录下的三个文件即可,
堡塔云WAF免费WEB防火墙,从搭建到应用
最新发布
星哥玩云
05-08 1379
堡塔云WAF宝塔免费(free)的私有云网站应用防火墙(firewall),基于docker/nginx/lua开发开源地址: https://github.com/aaPanel/aaWAF
宝塔面板Nginx的Lua-Waf防火墙重复定义lua_package_path导致无法重启
zzsxxy的专栏
10-06 445
原因:在 nginx 的配置中有一行:lua_package_path "/www/server/nginx/lib/lua/?在 /www/server/nginx/conf/luawaf.conf 有一行。根据错误提示已查得原因为。
宝塔面板Nginx防火墙安装
特网云计算
05-10 2257
这不同于CC防御,恶意请求有可能是SQL注入、XSS等恶意传参、CC,当此IP的访问行为达到了设置的阈值,nginx防火墙就会做出封锁动作。比如:POST渗透、GET渗透、CC攻击、恶意User-Agent、Cookie渗透、恶意扫描、恶意HEAD请求、网址自定义拦截、网址保护、恶意文件上传、禁止的扩展名、禁止PHP脚本等信息。宝塔Linux面板专业版的nginx防火墙试用了一下,发现功能还是很丰富的,使用起来也很简单,这篇文章就来说说收费版的Nginx防火墙如何设置,算是给初次设置的同学一个参考。
宝塔部署「免费WAF」长亭雷池防护个人网站
m0_63660506的博客
08-17 1386
原文地址:雷池是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。Slogan: 不让黑客越雷池半步。。
2024小迪安全信息收集(完整版)
2401_86628519的博客
01-05 4847
小迪安全信息收集(完整版)
宝塔面板启动免费waf
qq_34208660的博客
04-19 812
宝塔启用waf
宝塔面板部署雷池社区版WAF(safeline)参考教程-小白必看
2404_89164415的博客
12-23 2144
触发的原因是宝塔会监听某一个端口,比如443 ,但是雷池也配置了监听443的站点,这时候雷池重启,导致端口被宝塔抢占,雷池无法正常监听,这时候tengine会一直挂,无法编辑和删除站点。查看tengine的日志,找到与tengine冲突的站点端口,把外部的占用处理,这个时候,外部没有占用雷池站点的端口,雷池的tengine会自动恢复正常,可以编辑和删除。配置成上面修改的10443作为上游服务器(10443也是需要改配置文件的,一般默认都是443,和改80的文件在一个地方,可以自己查找修改)
linux命令 waf,免费版Linux宝塔面板开启waf防火墙
weixin_33334565的博客
05-09 610
下面是编程之家 jb51.cc 通过网络收集整理的代码片段。编程之家小编现在分享给大家,也给大家做个参考。宝塔面板在 6.x 之前的版本中自带了防火墙功能(Nginx 管理 > 过滤器 如下图),到了 6.x 之后,,,为了推行收费版的防火墙插件,宝塔官方把这个免费的防火墙入口给隐藏了。今天,就来说说如何开启这个隐藏的 Nginx 防火墙!警告:以下内容在改动前一定要备份原文件!否则……1、...
宝塔下的免费 waf 防火墙对比】
m0_63660506的博客
06-28 1090
最近搭建了一个网站以后,总觉得裸奔的网站非常不安全,需要加上防护措施。加一套 waf 防火墙,然后就可以安心的睡觉了。因为服务器使用了宝塔管理,所以我需要既能跟宝塔一起用的 waf
堡塔云WAF:强大的私有云WAF防火墙,为您的网站安全保驾护航
xdcent的博客
04-11 2638
免费的WAF防火墙,首个支持ARM国产系统的WAF防火墙,有超高自由度的自定义拦截规则和可灵活配置各种限制访问,有效防CC攻击、防恶意采集、防刷接口等常见攻击和黑客渗透测试行为,为您的业务网站保驾护航
window系统中为Nginx增加WAF应用防火墙
songjoyce的专栏
02-02 2636
window系统中为Nginx增加WAF应用防火墙
雷池Waf部署(宝塔+雷池)
qq_41913447的博客
09-28 1112
nginx的default文件改其他的也一起改。
OpenSource - 堡塔云WAF
小工匠
10-09 4436
堡塔云WAF经过千万级用户认证,为您的业务保驾护航,免费私有云WAF防火墙,有效拦截sql注入、xss、一句话木马、防采集等常见渗透攻击,为您的业务网站保驾护航。
宝塔 Nginx免费防火墙 post 参数太多POST传递的参数数量超过800,拒绝访问,如有误报请点击误报
php菜鸟技术天地
12-09 4712
错误:参数太多POST传递的参数数量超过800,拒绝访问,如有误报请点击误报 原因:表单参数超过800个参数了: max_input_vars默认为1000个,于是改成了10000,记录一下
一山可容二虎!宝塔面板+雷池 WAF 部署实战
Peter1303的博客
08-09 4001
长亭雷池 WAF是长亭科技耗时近10年倾情打造的 WAF,是基于智能语义分析的下一代Web 应用防火墙,不让黑客越雷池一步!
宝塔 Nginx免费防火墙 post 参数值长度超过20w已被系统拦截(post_max_size)
php菜鸟技术天地
12-09 2182
日志显示错误:参数值长度超过20w已被系统拦截 修改:post_max_size值
宝塔漏洞复现_宝塔WAF-一款由宝塔推出的”堡塔云WAF“免费防CC防火墙_手把手教攻防技巧
程序员三九的博客
06-01 630
WAF防火墙可以有效的拦截来自于网站攻击,如:CC攻击、sql注入、xss、一句话木马、防采集等一些常见的渗透攻击,可以有效的防止”黑客渗透入侵“,支持防漏洞扫描
宝塔面板重启nginx
02-06
### 通过宝塔面板重启Nginx服务器 在宝塔面板中管理Nginx非常便捷,可以通过图形界面轻松完成各种配置和操作。要重启Nginx服务,按照如下方法: #### 方法一:通过Web界面操作 进入宝塔面板首页,在左侧菜单栏找到并点击“网站”,接着选择对应的站点名称。在该站点详情页下方可以看到一系列快捷按钮,其中就包含了用于停止、启动以及重新加载或重载Nginx的服务状态控制选项[^2]。 #### 方法二:命令行快速重启 对于熟悉Linux环境的用户来说,也可以直接使用SSH连接至服务器并通过简单的Shell指令来实现相同目的。具体做法是在终端里输入以下命令: ```bash /www/server/panel/script/restart.sh restart_nginx ``` 这条命令会调用位于`/www/server/panel/script/`目录下的restart.sh脚本来执行Nginx的重启动作[^1]。 另外一种更为通用的方式则是利用systemctl工具来进行服务管理: ```bash systemctl reload nginx ``` 此命令能够平滑地更新Nginx配置而无需完全关闭再开启整个HTTP(S)服务过程,从而减少对外部访问的影响[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值