1. 登录宝塔面板并确认环境
- 先用浏览器登录宝塔面板(例如 http://服务器IP:8888),用管理员账户进入。
- 在“软件商店”里确认已安装 Nginx/Apache、PHP 等基础组件;若使用云端WAF(反向代理模式),还需确认域名可更改 DNS 指向。
- 建议备份网站:面板 -> 文件或数据库 -> 备份,防止误配置造成站点不可用。
2. 安装或开通宝塔云WAF模块
- 在面板顶部或左侧找到“安全”或“插件/软件商店”,搜索“WAF”或“云锁/云WAF”。
- 若是本地WAF(面板插件),点击安装并启用;若使用宝塔
云WAF服务,按提示开通并在控制台完成实名认证和付费(如有)。
- 安装完成后进入WAF管理页面,先查看版本与提示,确认系统兼容并重启面板或web服务(Nginx/Apache)。
3. 绑定域名与证书配置(若为云代理模式)
- 云WAF通常是反向代理:在控制台添加网站并填写网站域名;系统会提供一个CNAME或IP,按说明在域名服务商处修改DNS记录。
- 为保证HTTPS防护,上传或申请SSL证书(面板通常支持一键Let's Encrypt)。完成后在WAF界面选择绑定证书并启用HTTPS转发。
- DNS生效后,用 curl -I https://你的域名 检查响应头,确认流量已通过WAF(响应头里一般会有WAF标识)。
4. 基本防护策略与规则开启
- 进入WAF规则页,逐项开启常见防护:SQL注入、XSS、文件上传、路径遍历、Webshell检测等。
- 配置防护等级(低/中/高):初学者建议先使用“宽松”或“中等”,观察误报后再调整到严格。
- 开启日志记录(审计日志)与详细报告,以便后续查看被拦截的请求并调整规则。
5. 配置CC防护与异常流量识别
- 在WAF的“CC防护/流量设置”里设置阈值,例如:同一IP 60秒内超过 100 次请求则触发限制(根据站点访问量调整)。
- 启用速率限制(Rate Limit)与连接并发限制;对敏感路径(如登录、下单、接口API)设置更严格的阈值。
- 开启异常流量识别(Bot检测、UA黑名单、Referer校验)并配置触发动作(直接阻断、限速或验证码挑战)。
6. IP黑白名单与地理限制
- 在“IP管理”中将自家运维IP加入白名单,避免误拦。
- 将已知恶意IP或攻击来源加入黑名单或临时封禁(支持按国家封禁)。
- 对频繁攻击的IP设置自动封禁策略(如短时内多次触发则自动加入黑名单)。
7. 日志查看与排查误报
- WAF日志一般在面板的“安全日志”或 /www/wwwlogs/ 下,使用面板日志查看或通过 ssh tail -f 查看实时拦截记录。
- 若发现正常请求被拦截,查看拦截规则名称与触发条件,调整该规则为宽松或对该URI添加例外规则(白名单)。
- 建议先在“检测/提示”模式下运行几天,确认误报率低再切换为“阻断”模式。
8. 本地测试与压测验证
- 使用简单工具测试:curl 带入常见攻击向量(如 ' OR 1=1)观察是否被拦截;例如:curl "http://域名/?id=1' OR 1=1"。
- 使用压测工具(ab, wrk, siege)做受控压测:ab -n 1000 -c 50 http://域名/,观察WAF是否按设置触发限速/封禁。
- 测试完毕及时恢复白名单或解除临时封禁,避免影响真实用户。
9. 告警与自动化响应
- 在WAF或面板设置告警:邮件、短信或Webhook推送(钉钉/企业微信),一旦出现大量拦截或CC攻击立即通知运维。
- 可结合防火墙脚本自动调整防护规则(例如检测到某IP持续攻击则自动加入黑名单并发送告警)。
- 保持规则更新,关注安全厂商或宝塔的规则库推送,及时拉取最新规则。
10. 常见注意事项与回滚方法
- 调整规则前先备份当前WAF配置或记录改动步骤,出现问题可迅速回滚。
- 与CDN/负载均衡配合时注意真实访客IP透传(X-Forwarded-For),否则IP限速会误判。
- 若站点使用自定义Rewrite规则,检测Nginx/Apache配置兼容性,避免WAF引起404或循环跳转;必要时在面板“网站 - 配置”中测试并保存。
11. 常见问:初次开启WAF会不会把正常用户误拦?
- 回答:有可能,尤其在直接切换到严格阻断模式时。建议先启用监测/日志模式观察一周,确定误报并调整规则、加入正常IP白名单或对特定URI豁免,再切换到阻断模式。
12. 常见问:如何快速识别是否已被WAF阻断?
- 回答:通过检查响应状态码(如403/406)、响应头(部分WAF会在头中写入标识),以及面板的安全日志;用 curl -I 或浏览器开发者工具查看响应详情,WAF日志会记录触发规则与拦截理由。
13. 常见问:发生误封或站点不可用怎么快速恢复?
- 回答:第一时间进入宝塔面板的WAF或安全模块,临时关闭阻断(切换到检测模式)或解除指定IP/URI的黑名单;如无法访问面板,可通过SSH恢复备份配置或重启web服务,必要时联系宝塔官方客服或恢复DNS到原始IP使流量绕过云WAF。
来源:初学者宝塔云waf如何使用一步步开启网站防护与异常流量识别