WAF 是网站应用防火墙(Web Application Firewall)的缩写,1Panel WAF 提供了访问频率限制、IP 黑白名单、自定义规则、拦截记录查看等功能,通过 1Panel WAF 可以有效阻止常见的 Web 攻击,进一步提升网站的安全性。
WAF 概览
概览页面展示了当前 WAF 拦截请求的整体情况,包括当日请求数、拦截数统计,请求及拦截趋势以及拦截地图等信息。用户可以在拦截地图中切换世界地图或中国地图,同时可以点击地图中的某个区域查看具体的请求拦截数量。
全局设置
在全局设置中配置的内容默认对 1Panel 所管理的所有网站生效,部分配置提供了网站独立配置的默认值,可以在网站设置中对这些配置项进行单独调整。
全局开关
点击全局设置右上角的开关,可以全局开启、关闭 WAF 功能,关闭后所有 WAF 规则均不生效。
黑白名单
IP 黑名单
在 IP 黑名单中添加的 IP 地址、范围,无法访问到 1Panel 管理的所有网站。可以通过 IP 黑名单列表上方的开关,开启、关闭 IP 黑名单功能。
IP 白名单
在 IP 白名单中添加的 IP 地址、范围,不受包括频率限制、默认规则、自定义规则在内的任何 WAF 规则限制。可以通过 IP 白名单列表上方的开关,开启、关闭 IP 白名单功能。
URL 黑名单
当访问请求可以匹配到 URL 黑名单中添加的 URL 时,该请求将被拦截。可以通过 URL 黑名单列表上方的开关,开启、关闭 URL 黑名单功能。
URL 白名单
当访问请求可以匹配到 URL 白名单中添加的 URL 时,该请求不受包括频率限制、默认规则、自定义规则在内的任何 WAF 规则限制。可以通过 URL 白名单列表上方的开关,开启、关闭 URL 白名单功能。
User-Agent 黑名单
User-Agent 中携带了请求发起端的相关信息,例如操作系统、浏览器、客户端程序等。当访问请求的 User-Agent 请求头中携带 User-Agent 黑名单中添加的 User-Agent 时,该请求将被拦截。可以通过 User-Agent 黑名单列表上方的开关,开启、关闭 User-Agent 黑名单功能。
User-Agent 白名单
当访问请求的 User-Agent 请求头携带 User-Agent 白名单中添加的 User-Agent 时,该请求不受包括频率限制、默认规则、自定义规则在内的任何 WAF 规则限制。可以通过 User-Agent 白名单列表上方的开关,开启、关闭 User-Agent 白名单功能。
IP 组
一个 IP 组包含了一批特定的 IP 地址,该功能可以配合 IP 黑、白名单功能使用。 在创建 IP 黑、白名单时可以直接选择 IP 组,后续在 IP 组中添加、删除 IP 地址时,无需再次修改 IP 黑、白名单规则即可生效。
频率限制
访问频率限制
访问频率限制一般用于拦截 CC 攻击,如果来自同一 IP 地址的请求过于频繁,满足访问频率限制规则中的限制规则时,该 IP 地址将被封锁一段时间,封锁期间所有来自该 IP 地址的请求将被拦截。
启用开关:该功能的总开关,关闭后所有请求都不受访问频率限制规则影响。
攻击频率限制
在 1Panel WAF 中每一次被拦截的请求可以视为一次攻击,如果来自同一 IP 地址的请求,在特定时间内被拦截次数超过指定值,该 IP 地址将被封锁一段时间,封锁期间所有来自该 IP 地址的请求将被拦截。
启用开关:该功能的总开关,关闭后所有请求都不受攻击频率限制规则影响。
404 频率限制
如果来自同一 IP 地址的请求,在特定时间内返回码为 404 的请求数超过指定值,该 IP 地址将被封锁一段时间,封锁期间所有来自该 IP 地址的请求将被拦截。
启用开关:该功能的总开关,关闭后所有请求都不受 404 频率限制规则影响。
默认规则
默认规则中维护了常见的 WAF 拦截规则,用户可以按规则类型整体开启、关闭特定类型的规则,或者单独开启、关闭某种规则类型中的具体规则条目。
默认规则仅可以控制启用、禁用,不可以添加新的规则或删除、修改已有规则,当默认规则不满足需求时,用户可以通过自定义规则功能维护自己的 WAF 规则。
自定义规则
自定义规则
通过自定义规则功能用户可以灵活控制特定类型请求的处理方式,当某个请求可以匹配自定义规则中的匹配条件时,将根据规则中定义的动作进行相应处理。
当同一条自定义规则中添加多个匹配条件时,一个请求同时满足所有条件才会触发该规则对应的动作。
文件上传限制
通过该功能可以禁止用户上传特定扩展名的文件。
启用开关:该功能的总开关,关闭后所有请求都不受文件上传限制规则影响。
地区访问限制
通过该功能可以禁止或允许特定地区的 IP 地址访问你的网站。
当配置禁止规则时,IP 地址处于所选区域内的请求将被拦截,处于所选区域外则不会被拦截; 当配置允许规则时,IP 地址处于所选区域内的请求才会被允许,处于所选区域外的请求都会被拦截。
启用开关:该功能的总开关,关闭后所有请求都不受地区访问限制规则影响。
配置
拦截页面
用户可以通过该功能定制修改特定拦截类型返回的页面内容,通过还原按钮可以恢复默认的拦截页面内容。
恶意 IP 组
恶意 IP 组包含了我们从互联网收集的一些恶意 IP,开启该功能后,请求 IP 地址包含在恶意 IP 组内时,请求将被拦截。
网站设置
网站设置可以针对 1Panel 中管理的各个网站进行单独的 WAF 规则配置。
切换网站
点击网站设置上方的下拉菜单,可以切换不同的网站修改该网站的 WAF 配置。
网站 WAF 开关
点击网站设置页面右上角的开关,可以开启、关闭当前网站的 WAF 功能,关闭后所有访问该网站的请求都不受 WAF 限制。
网站设置与全局设置关系
网站设置可以针对 1Panel 中管理的各个网站进行单独的 WAF 规则配置,当某项规则在全局设置和网站设置同时存在时,规则的启用状态同时受全局设置和网站设置中的启用状态影响,规则的实际内容由网站设置中的规则内容决定。
以访问频率限制功能为例,当用户访问某个网站时,只有全局设置中的访问频率限制开关、该网站的访问频率限制开关同时开启时,该功能才会生效。具体的限制频率以该网站设置中配置的访问频率限制规则为准。
拦截记录
在拦截记录页面可以查看到被拦截的请求列表,包含请求源 IP、请求访问的域名、请求 URL、命中规则等信息。
操作说明:
- 拉黑 IP:将该 IP 添加到一个自动创建的黑名单 IP 组中,并将该 IP 组添加到全局设置的 IP 黑名单规则;
- 加白 URL:将该 URL 添加到全局设置的 URL 白名单规则中;
- 详情:查看包括 HTTP 请求内容在内的拦截记录详细信息;
- 加白 IP:与拉黑 IP 类似,将该 IP 添加到一个自动创建的黑名单 IP 组中,并将该 IP 组添加到全局设置的 IP 白名单规则。
封锁记录
在封锁记录中可以查看到触发访问频率限制、攻击频率限制、404 频率限制规则而被封锁的 IP 地址记录,包括 IP 地址、封锁时间、命中规则等信息。
操作说明:
- 拉黑:将该 IP 添加到一个自动创建的黑名单 IP 组中,并将该 IP 组添加到全局设置的 IP 黑名单规则;
- 解封:解除该 IP 地址的封锁状态;
- 详情:查看包括 HTTP 请求内容在内的封锁记录详细信息。