关于nginx:宝塔下的免费-waf-防火墙对比

最近搭建了一个网站当前，总感觉裸奔的网站十分不平安，须要加上防护措施。加一套 waf 防火墙，而后就能够安心的睡觉了。因为服务器应用了宝塔 ¹ 治理，所以我须要既能跟宝塔一起用的 waf。

先说论断

1. 宝塔自带 waf 免费；
2. 宝塔软件商店里 waf 要么不适合，要么门槛太高，不好用；
3. 其它收费 waf 大多要命令行装置，施展不了宝塔劣势。

最好是有一个能在宝塔 docker 上运行的防火墙，既能用宝塔治理服务状态，又能有本人治理界面的 waf，而且要收费，还得无效。所以，我最初抉择用 docker compose 模板 + 雷池 waf 社区版。装置办法参考我的另一篇文章 https://www.jianshu.com/p/978e08095628

waf 比照

宝塔内置 waf

既然用宝塔做服务治理，第一反馈就是在宝塔上找找没有适合的 waf。在十分显眼的中央，找到了“防火墙”入口，而后看到了十分显眼的“立刻购买”。本着来都来了的想法，看了一下官网防火墙的性能介绍²，性能还是十分多的，各位看官有钱的捧个钱场，我只能捧集体场。

另外依据文档介绍，nginx 防火墙是基于 Lua 实现的，也就是说这个防火墙的实质是人工规定，人工规定防火墙在防护能力上能够抵挡常见攻打，只能亡羊补牢不能防患未然。宝塔内置 waf 还有一个 Apache 版本³，与 nginx 相似，只是一个基于 Apache 一个基于 Nginx，这两者的差异见仁见智，宝塔官网举荐的是 nginx 版本。

宝塔软件商店中的收费 waf

宝塔自带了一个软件商店，抱着试试看的态度搜了一下，还真找到了 3 款 waf。前两个是官网内置的免费版，第 3 个则是免费版。这一看，不得了啊，这是打算跟官网同台竞技啊。连忙装上试试。

感激作者“民国三年一场雨”，民国三年就是 1914 年，一百多年过来了，也不晓得雨里产生什么。思考到这个利用只有 403.95k 大小，总感觉这个性能可能没有想的那么多。

依据配置界面，启用防护，而后试着发动一次攻打申请，而后被拦挡了。后盾治理界面看到的成果记录是

拦挡成果是

拦挡页面上还有提醒，误报请分割宝塔 http://www.bt.cn/bbs？这不是官网 waf 么？为什么非要假装一下本人？在一个荫蔽角落还找到一个“教程”链接⁴，发帖人是宝塔技术 - 小强⁵，这下是官网的收费 waf 没跑了。

另外我还发现，这个收费防火墙，在软件商店里浏览的时候是找不到的，必须搜寻能力搜进去。所以，其实，人家是不心愿你持续应用这个 waf 的。并且在应用时，还遇到了其它问题

• 治理界面不好找

我须要先进利用商店，搜寻 waf，而后找到之后，在通过“设置”按钮进入。

• 进攻类型固定

想要进攻什么类型的攻打，都是提前设置好的，只能进攻这么多，并且不能新增。

• 内置规定太少

每种进攻类型都须要自行配置，尽管有内置规定，但规定不多，并且都是比拟常见的规定。

总体体验下来，有种我进攻了，但如同进攻不高的感觉。

而且，这是怎么回事？我宝塔本人的 WordPress 用宝塔本人的防火墙扫描，怎么还扫出 2 个 webshell？这是谁出问题了？

其它 waf

😔很久没更新了：https://github.com/httpwaf/httpwaf2.0

😔不好塞进宝塔里：https://github.com/openresty/

😔老牌我的项目了，然而外国产品，用不惯：https://www.modsecurity.org/

😔这个不错，然而也没法塞进宝塔里：http://www.goodwaf.cn/

✅ 巧了，这个原生 docker，刚好兼容宝塔，稍加革新，顺利上线，看看我的 waf 效果图。https://waf-ce.chaitin.cn/