使用前须知 众所周知，宝塔的nginx防火墙是付费的，但正如linux面板的nginx一样，宝塔其实内置了一套免费的lua防火墙，只是默认是关闭的，本文就是教你怎么开启它的。 部分Windows且使用nginx的用户，有使用免费WAF的需求，但现在的WAF类产品很少有针对Windows的nginx进行适配的，而宝塔官方WAF则需要付费，因此，本教程可解决此问题。 # 安装教程 1、下载lua防火墙配置文件并安装 下载地址： 点击下载 下载后上传到宝塔nginx安装目录，并解压。 2.在宝塔安装目录下conf文件夹内新建luawaf.conf文件，并编辑文件为： ``` lua_package_path "/BtSoft/nginx/waf/?.lua"; lua_shared_dict limit 10m; init_by_lua_file /BtSoft/nginx/waf/init.lua; access_by_lua_file /BtSoft/nginx/waf/waf.lua; ``` 保存。 3.找到nginx配置文件，找到#include luawaf.conf;删除前面的#号，保存。  重启nginx，在你的域名后面输入/?id=../etc/passwd ，如出现以下界面，代表lua防火墙已成功开启。  **配置修改** lua防火墙可自行修改参数； 进入waf文件夹，里面的config.lua是防火墙的主配置参数： ``` RulePath = "C:/BtSoft/nginx/waf/wafconf/" --waf 详细规则存放目录（一般无需修改，如路径不同，请修改为正确路径） attacklog = "on" --是否开启攻击日志记录(on 代表开启，off 代表关闭。下同) logdir = "C:/BtSoft/wwwlogs/waf/" --攻击日志文件存放目录（修改为你想设置的，注意路径要真实存在） UrlDeny="on" --是否开启恶意 url 拦截 Redirect="on" --拦截后是否重定向 CookieMatch="off" --是否开启恶意 Cookie 拦截 postMatch="off" --是否开启 POST 攻击拦截 whiteModule="on" --是否开启 url 白名单 black_fileExt={"php","jsp"} --文件后缀名上传黑名单，如有多个则用英文逗号分隔。如：{"后缀名1","后缀名2","后缀名3"......} ipWhitelist={"127.0.0.1"} --白名单 IP，如有多个则用英文逗号分隔。如：{"127.0.0.1","127.0.0.2","127.0.0.3"......} 下同 ipBlocklist={"1.0.0.1"} --黑名单 IP CCDeny="off" --是否开启 CC 攻击拦截 CCrate="300/60" --CC 攻击拦截阈值，单位为秒。"300/60" 代表 60 秒内如果同一个 IP 访问了 300 次则拉黑 ``` 在该目录下的wafconf目录下，可以看到具体的防护规则，如您不了解正则表达式，请不要随意修改这些文件，保持默认即可。 总结一些，通过这些步骤操作之后，我们就成功开启了nginx防火墙，在遇到渗透与扫描的时候，可以对黑客行为进行缓解。 网络安全无小事，特别是网络安全法和网站安全负责人负责制建立以后，每个人都要对网站安全负起责任来，单纯的使用防火墙、依靠安全软件堆积无法真正解决安全问题，人工加固，定期巡检，保持程序更新，及时修复安全漏洞才是关键。 # 常见问题 1.为什么没有拦截日志？ 答：请手动在/BtSoft/wwwlogs/下创建waf文件夹。 2.误报怎么办？ 答：查看拦截日志，找到误报的那一条，查看是哪条规则误报，删除那条规则即可。