必须开启Nginx防火墙全局防护开关、启用恶意扫描识别规则、配置IP黑名单自动封禁策略,并手动导入敏感文件路径规则,才能有效拦截恶意IP、阻止目录扫描及防御CC攻击。
如果您在宝塔面板中已安装Nginx防火墙插件,但尚未启用其防护功能,则无法拦截恶意IP、阻止目录扫描或防御CC攻击。以下是开启并配置该插件的具体操作步骤:
一、确认插件已安装并进入管理界面
Nginx防火墙需以独立插件形式安装,未安装则无法启用。进入宝塔面板后,必须先确保插件处于已安装且可访问状态,再进行后续配置。
1、登录宝塔面板后台,点击左侧菜单栏的软件商店。
2、在搜索框中输入Nginx防火墙,查看插件状态是否为“已安装”。若显示“安装”,请先完成安装流程。
3、安装完成后,返回首页,在安全区域或左侧菜单底部找到Nginx防火墙图标并点击进入。
二、开启全局防护开关
插件主界面顶部的总开关控制所有规则的生效状态,关闭时所有防御策略均不执行,包括IP黑名单、URL过滤和扫描识别模块。
1、在Nginx防火墙管理页面,找到顶部右侧的防护开关按钮。
2、若按钮显示为灰色或标注“关闭”,请单击使其变为蓝色并显示“已开启”。
3、页面自动刷新后,观察右上角提示是否出现“防护已启用”字样。
三、启用恶意扫描识别规则
该功能通过分析Nginx访问日志中的高频异常请求路径(如/wp-admin/、/phpmyadmin/、/.git/等),自动识别并拦截扫描行为,是防御自动化探测的核心机制。
1、在插件主界面,点击左侧导航栏的规则管理。
2、在规则列表中找到名称含“扫描”或“恶意爬虫”的规则项(例如“防目录扫描”“防SQL注入扫描”)。
3、将对应规则右侧的开关切换为开启状态,并确保其操作动作为“拦截”而非“记录”或“放行”。
四、配置IP黑名单自动封禁策略
当同一IP在指定时间内触发多条扫描规则时,系统可自动将其加入黑名单并拒绝后续全部请求,有效阻断持续性探测行为。
1、点击左侧菜单的黑名单设置。
2、勾选“开启自动封禁”选项。
3、设置触发条件:将“单位时间内触发次数”设为5次,“封禁时长”设为86400秒(即24小时)。
4、保存设置后,页面下方应显示“自动封禁策略已激活”提示。
五、手动导入常见扫描特征URL规则
部分新型扫描工具使用非常规路径绕过默认规则,可通过手动添加高危路径匹配模式,增强对零日扫描行为的识别能力。
1、进入自定义规则页面,点击“新增规则”按钮。
2、在“匹配URL”栏输入正则表达式:/\.env|/composer\.json|/web\.config|/backup\.zip。
3、选择操作类型为拦截,并在描述栏填写“禁止访问敏感配置与备份文件”。
4、点击提交,新规则立即生效并出现在规则列表顶部。
