宝塔面板网站流量限制需分四步实施:一、站点设置中启用基础限流,调整并发、单IP请求频次与流量阈值;二、通过WAF开启CC防护,设置触发周期与频率并记录拦截IP;三、后端设置中对虚拟主机按总/上传/下载流量限速;四、针对特定URL路径,通过自定义Nginx规则与limit_req_zone实现精细化接口限流。
如果您在使用宝塔面板托管网站时发现某个IP持续高频访问、占用大量带宽甚至影响其他用户访问体验,则需立即启用网站级流量限制机制。以下是具体操作步骤:
一、通过站点设置启用基础流量限制
该方法适用于快速启用单IP并发与请求频率控制,无需修改配置文件,由宝塔内置Nginx模块直接生效。
1、登录宝塔面板,点击左侧菜单栏的网站,进入站点列表页面。
2、找到目标域名,点击其右侧的设置按钮。
3、在新打开的设置窗口中,点击左侧导航栏的流量限制选项卡。
4、勾选启用流量限制,系统将自动加载默认防护模板(如博客、企业站等)。
5、手动调整三项关键参数:并发限制(建议设为30–100)、单IP限制(建议60秒内5–10次)、流量限制(单位KB,建议设为200–500KB/请求)。
6、确认无误后,点击保存并启用按钮。
二、通过WAF模块启用CC防护增强单IP行为拦截
此方式基于宝塔内置的Nginx WAF安全模块,可对高频请求IP实施动态封禁,适用于已知CC攻击特征或突发流量冲击场景。
1、确保所用Nginx版本为1.12及以上,并在宝塔面板首页确认WAF防火墙已安装并启用。
2、点击左侧菜单栏的安全,进入WAF管理界面。
3、切换至CC防护子页签,开启CC攻击防护开关。
4、设置触发周期(推荐60秒)与触发频率(推荐5–10次/周期),超出即返回503状态码并临时封禁该IP。
5、勾选记录被拦截IP,便于后续在“黑名单”中手动延长封禁时间。
三、通过后端设置对虚拟主机进行精确限速
该方式直接作用于Nginx server块,可对上传/下载/总流量分别设定速率上限,适合需隔离高带宽消耗行为(如大文件下载、API批量调用)的场景。
1、返回目标站点的设置页面,点击左侧后端设置。
2、向下滚动至流量控制区域,取消勾选“不限速”选项。
3、选择限速类型:总流量(默认)、上传流量或下载流量。
4、输入速率值,单位为KB/s,例如限制单IP下载速率为50 KB/s。
5、点击页面底部的保存按钮,系统将自动重载Nginx配置。
四、针对特定URL路径实施精细化接口限流
当仅某几个API接口(如 /api/user/login 或 /api/system/get_data)被恶意刷量时,可通过自定义规则实现URL粒度的请求频控,避免影响全站性能。
1、进入宝塔面板根目录,打开路径:/www/server/btwaf/rule。
2、新建文本文件,命名为url_limit.conf,内容格式如下:
location ^~ /api/user/get_ip_info { limit_req zone=api_burst burst=10 nodelay; }
3、在Nginx主配置中引入该规则:在对应server块内添加include /www/server/btwaf/rule/url_limit.conf;。
4、创建限流zone,在/www/server/nginx/conf/nginx.conf的http块中添加:
limit_req_zone $binary_remote_addr zone=api_burst:10m rate=1r/s;
5、执行nginx -t && nginx -s reload验证并重载配置。
