如何配置宝塔面板的CC防御规则的防御策略?
美国、香港服务器
如何配置宝塔面板的CC防御规则的防御策略?
02-04 来源:
配置宝塔面板 CC 防御策略,核心是在面板中选对防御模式、精确设置触发阈值与拦截动作,同时结合黑白名单与动态规则联动,兼顾防御效果与用户体验,以下是可直接落地的全流程方案。
一、核心防御模式选择(全局 / 站点级)
路径:安全 → Web 防火墙 → CC 防御(全局 / 站点),先选定防御模式再细化参数。
模式 适用场景 核心逻辑 配置要点
标准模式 日常无攻击,优先用户体验 仅触发频率阈值时拦截,无额外验证 周期 10-60 秒,频率 10-30 次,封锁 300-3600 秒
自动模式 波动流量,需动态适配 60 秒内请求超阈值(默认 600)自动开增强,攻击退去后恢复 阈值 = 日常 QPS×60×10(含静态资源),增强选验证码 / JS 验证
增强模式 正在遭受 CC 攻击 强制人机校验(JS / 验证码 / 滑动验证) 仅攻击期间开启,攻击结束立即关闭
IP+UA 模式 高频换 UA 的 IP 攻击 按 IP+UA 组合统计请求频率,精准拦截 开启后与 IP 黑名单联动,优先拦截黑名单 IP
二、IP+UA 模式专属策略配置(核心步骤)
基础触发参数(决定拦截敏感度)
进入CC 防御 → IP+UA 模式,开启防御开关。
设置触发周期(5-60 秒)、频率(周期内允许请求数)、封锁时长(临时 / 永久)。
示例:周期 10 秒、频率 15 次、封锁 1800 秒,适配中小站点高频请求场景。
黑白名单联动(规则优先级:IP 白 > IP 黑 > UA 黑白 > CC 防御)
从 CC 攻击日志中批量添加高频 IP 至IP 黑名单,直接阻断不进入频率统计。
关键 IP/UA 加入白名单(如搜索引擎爬虫、办公 IP),避免误拦。
CDN 场景务必开启 “获取真实 IP”,确保日志与黑白名单匹配源 IP。
拦截动作与验证方式
标准拦截:直接返回 403,适合明确攻击 IP。
增强验证:攻击期间开启 JS 验证(低干扰)或验证码(高防御),验证通过后放行。
跳转验证:302 跳转至验证页,适合非浏览器攻击工具拦截。
三、全局与站点级策略精细化配置
全局策略(所有站点生效)
路径:安全 → Web 防火墙 → 全局配置 → CC 防御,设置初始规则。
开启 “全局应用”,新站点自动继承,现有站点需手动同步。
推荐:周期 10 秒、频率 20 次、自动模式开启、四层防御(TCP 层限流)开启。
站点级策略(独立规则,适配不同业务)
路径:网站 → 目标站点 → 设置 → 安全 → CC 防御。
选择 “自定义”,覆盖全局规则,设置专属触发参数与拦截动作。
示例:商城站点周期 5 秒、频率 10 次、封锁 3600 秒,防御秒杀活动 CC 攻击。
高级 URL 规则(精准防护核心接口)
路径:CC 防御 → 高级规则,添加 URL 前缀 / 关键字匹配规则。
对登录、支付等接口设置更严格阈值(如周期 5 秒、频率 5 次),降低攻击风险。
三、命令行底层配置(批量 / 自动化)
编辑 WAF 配置文件添加 IP+UA 规则
bash
运行
vi /www/server/panel/vhost/wafconf/config.lua
在ccConfig中设置 IP+UA 参数,示例:
lua
ipUaMode = true,
ipUaCycle = 10, -- 周期10秒
ipUaRate = 15, -- 频率15次
ipUaBlockTime = 1800 -- 封锁1800秒
批量导入 IP 黑名单并重启服务
bash
运行
while read ip; do bt firewall add blacklist --ip=$ip --expire=3600; done < blacklist.txt
nginx -s reload && bt reload firewall
四、策略生效验证与故障排查
验证方法
面板:安全 → Web 防火墙 → 攻击日志,筛选 IP+UA 类型,查看拦截记录。
命令行:grep "IP+UA" /www/wwwlogs/waf/cc_deny.log,确认触发记录。
模拟攻击:用脚本高频请求,验证是否返回 403 或触发验证页。
常见问题排查
规则失效:检查 CDN 是否开启真实 IP 获取,避免误封 CDN 节点。
误拦正常用户:调大触发频率,将误拦 IP/UA 加入白名单。
重启失效:确认防火墙规则保存并开机自启。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
