通過(guò)域名解析后下一步會(huì)進(jìn)入CDN，WAF網(wǎng)站防火墻，硬件設(shè)備或直接通往源站，此時(shí)我們可以對(duì)請(qǐng)求進(jìn)行更細(xì)的過(guò)濾，這里主要講一下通過(guò)網(wǎng)站防火墻配置和Nginx配置。

前面提到的是通過(guò)DNS解析來(lái)對(duì)域名進(jìn)行禁海外訪問(wèn)，但如果攻擊者使用IP來(lái)掃描就沒(méi)辦法了，所以我們需要在服務(wù)器或應(yīng)用上進(jìn)行限制。

Nginx使用模塊ngx_http_geoip_module來(lái)實(shí)現(xiàn)對(duì)/城市訪問(wèn)限制

1.1 安裝maxminddb library（geoip2擴(kuò)展依賴）

Ubuntu debian

apt install libmaxminddb0 libmaxminddb-dev mmdb-bin

Centos

yum install libmaxminddb-devel -y

1.2 下載ngx_http_geoip2_module模塊

進(jìn)入root目錄，然后克隆模塊

cd root && git clone https://github.com/leev/ngx_http_geoip2_module.git

1.3 把模塊編譯到Nginx

手工編譯方式

./configure --add-module=/root/ngx_http_geoip2_module

寶塔面板下nginx的編譯方式

1.4 下載Geoip數(shù)據(jù)庫(kù)

模塊安裝成功后，還要在 Nginx 里指定數(shù)據(jù)庫(kù)，位于 /usr/share/GeoIP/ 目錄下，一個(gè)只有 IPv4，一個(gè)包含 IPv4 和 IPv6：

數(shù)據(jù)庫(kù)地址：

cd /usr/local/share/GeoIP

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz

1.5 添加配置到Nginx主配置文件

geoip2 /usr/local/share/GeoIP/GeoLite2-Country.mmdb {$geoip2_data_country_code country iso_code;}map $geoip2_data_country_code $allowed_country { default yes; CN no; }

1.6 修改Nginx虛擬主機(jī)的配置文件，在server段內(nèi)添加后重載nginx

if ($allowed_country = yes) { return 403; }

至此配置完成

打開(kāi)此開(kāi)關(guān)即可

攔截效果

通常情況下服務(wù)器IP并不是我們的客戶，在這里推薦大家在沒(méi)有接口業(yè)務(wù)的情況下禁止服務(wù)器IP訪問(wèn)。

我們只需要在防護(hù)網(wǎng)站設(shè)置里開(kāi)啟禁止IDC訪問(wèn)即可達(dá)成，它還會(huì)自動(dòng)放行真實(shí)爬蟲(chóng)以免影響網(wǎng)站收錄。

這是黑客的主要滲透手段之一，在可上傳文件的目錄下傳入后門(mén)文件，我們?cè)诮购蠹词顾麄兂晒魅胍矡o(wú)法進(jìn)行利用。

配置禁止訪問(wèn)/file/upload目錄下的所有以.php結(jié)尾的文件

攔截效果

堡塔云WAF需要占用80、443、33060端口，建議使用單獨(dú)服務(wù)器部署，已經(jīng)安裝了寶塔面板的機(jī)器不支持安裝云WAF。