宝塔 Nginx 免费防火墙 User-Agent 白名单(图文)

宝塔面板的 Nginx 防火墙是服务器安全防护的重要工具。其中，有付费插件可供选择，如专业版防火墙，价格为 39.8 元 / 月，382 元 / 年，永久版 1688 元一台授权。专业版防火墙功能强大，由宝塔官方开发，更新及时，目前已支持 IPv6。除了免费版功能外，还包含 HTTP 请求过滤、UA 黑白名单、From-data 协议、蜘蛛池（百度、谷歌、神马、360、头条、搜狗蜘蛛 IP 自动白名单）、敏感文字替换、URL 关键词拦截、违禁词拦截、API 接口防御、木马查杀、报警通知（邮箱 / 钉钉）等功能。
对于专业版用户，Nginx 防火墙可免费使用。专业版防火墙在全局配置和站点配置方面具有很大优势，提供更多的防御项目，如 post 过滤、Cookie 过滤、URL 过滤、禁止执行某些文件、拦截、API 接口防御等。同时，专业版防火墙在规则方面也更加丰富，例如在 CC 攻击规则上，提供四种不同模式供选择，适合不同业务场景的需要。
而免费版的 Nginx 防火墙由第三方推出，虽然也能提供一定的安全防护，但功能相对较少，且开发者已明确表示不再更新。不过，对于简单搭建个人博客、小型网站，偶尔维护的用户来说，免费版 Nginx 防火墙也足够用了。如果打算长期、稳定运行网站，或者涉及到商业行为，建议选择专业版防火墙，以确保网站的高价值和稳定运行。

二、各类黑白名单详解

（一）UA 白名单与其他黑白名单介绍

UA 白名单在初始化阶段起到筛选合法 User-Agent 的作用，确保只有特定的 User-Agent 能够顺利访问服务器。UA 黑名单则用于拦截恶意蜘蛛 UA 等不良 User-Agent，例如拦截爬虫，不想被爬虫爬取网站时，只需将其关键词加入即可拦截，且不会写拦截日志。IP 白名单使所有规则对其无效，特定的 IP 地址或 IP 段可以不受其他规则限制地访问服务器。IP 黑名单用于禁止特定的 IP 访问，只需填写需要拦截的 IP 即可。URL 白名单使得大部分规则对其无效，在设置时需要特别注意格式，只填写 URL 本身，无需添加参数，如误拦截的 URL /index/index/aaa.php?id=eradasa&adas，只需添加 ^/index/index/aaa.php 到 URL 白名单即可。URL 黑名单同样需要注意格式，用于禁止特定的 URL 地址访问。

（二）防御设置中的 UA 白名单

在防御设置中，UA 白名单如果没有特殊需求默认即可。这意味着在一般情况下，服务器会按照既定的规则处理来自不同 User-Agent 的请求，而不会对特定的 User-Agent 进行特殊优待。当没有特殊的安全需求或特定的用户群体需要单独识别时，无需对 UA 白名单进行额外的操作。这样可以减少管理成本，同时也能保证服务器的正常运行，不会因为过于严格的白名单设置而影响正常用户的访问。如果不确定是否需要设置 UA 白名单，可以先观察服务器的访问日志，了解不同 User-Agent 的访问情况，再根据实际需求决定是否进行设置。

三、白名单设置方法及步骤

（一）设置前的考虑

在设置宝塔 Nginx 免费防火墙的 User-Agent 白名单之前，我们需要考虑一些因素。首先，确定是否有特殊的业务需求要求特定的 User-Agent 能够无限制地访问服务器。例如，如果有特定的合作伙伴或者内部工具使用特定的 User-Agent 进行访问，那么设置白名单可以确保这些访问不受防火墙的限制。其次，要考虑潜在的安全风险。虽然白名单可以允许特定的 User-Agent 访问，但也可能被恶意利用。因此，在设置白名单时，要确保只有真正可信的 User-Agent 被添加到白名单中。

（二）具体设置步骤

1. 准备工作：登录到宝塔面板，确保已经安装了 Nginx 服务器和防火墙插件。如果没有安装防火墙插件，可以在软件商店中搜索并安装。

2. 找到防火墙设置：在宝塔面板的左侧菜单栏中，点击 “防火墙” 按钮，进入防火墙设置页面。

3. 选择 User-Agent 白名单设置：在防火墙设置页面中，找到 “User-Agent 白名单” 选项，点击进入。

4. 添加白名单：在 User-Agent 白名单设置页面中，可以手动输入要添加的 User-Agent。如果不确定具体的 User-Agent，可以先查看服务器的访问日志，确定需要添加的 User-Agent。例如，如果发现某个内部工具的 User-Agent 为 “Tool-Agent/1.0”，可以将其添加到白名单中。

5. 保存设置：添加完 User-Agent 后，点击 “保存” 按钮，使设置生效。

设置完 User-Agent 白名单后，建议定期检查白名单中的 User-Agent 是否仍然需要无限制访问。如果发现某个 User-Agent 不再可信或者不再需要无限制访问，可以及时将其从白名单中删除，以确保服务器的安全。

四、设置后的效果及注意事项

（一）设置后的效果
设置 User-Agent 白名单可以带来多方面的积极效果。首先，显著提高了服务器的安全性。通过只允许特定的 User-Agent 访问，可以有效过滤掉大部分批量扫描的攻击和恶意工具的抓取。例如，一些采集文章的工具可能会被拦截，减少了网站内容被非法采集的风险。同时，对于一些自己做的搜索工具抓取数据的情况，如果其 User-Agent 不在白名单中，也会被拦截，从而保护了服务器资源和数据的安全。
其次，设置白名单可以在一定程度上优化服务器的性能。由于减少了不必要的请求和攻击，服务器的负载会降低，响应速度会加快，为正常用户提供更好的访问体验。

（二）注意事项

然而，在设置 User-Agent 白名单时也需要注意一些问题。一方面，可能会出现误拦截的情况。现在很多技术玩家自己搞了搜索引擎抓取数据，他们的 User-Agent 可能是基础的 apache 等，如果这些被误拦截，可能会导致他们抓取数据失败。此外，一些正常的工具或应用的 User-Agent 如果没有被正确识别，也可能被误拦截，影响其正常功能。
另一方面，要定期检查和更新白名单。随着业务的发展和环境的变化，可能会有新的可信 User-Agent 出现，或者原来在白名单中的 User-Agent 不再可信。因此，需要定期查看服务器的访问日志，分析 User-Agent 的情况，及时调整白名单，确保其有效性和安全性。
总之，设置宝塔 Nginx 免费防火墙的 User-Agent 白名单需要谨慎考虑，权衡安全性和可用性，以达到最佳的防护效果。

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。