宝塔面板防CC攻击WAF规则设置新手实操指南

网站流量上来后，难免会遭遇恶意CC攻击——短时间内大量请求耗光服务器资源，导致网站打不开。
宝塔面板自带的WAF（Web应用防火墙）功能可以帮你自动拦截这类攻击。
本文从零出发，手把手教你完成宝塔面板防CC攻击WAF规则设置，新手也能跟着做。

先搞清楚CC攻击和WAF的关系

CC攻击本质是模拟正常用户发送大量请求，让服务器处理不过来。
宝塔面板的WAF内置了CC防护模块，通过分析请求频率、UA头、IP等特征，对异常流量进行拦截或限速。
设置WAF规则就是告诉面板“什么样的请求算异常”，从而在攻击到达你的网站之前就挡下来。

操作前需要准备什么

• 已安装宝塔面板的服务器（推荐Linux CentOS/Ubuntu），面板版本建议升级到最新。
• 网站已经正常绑定并可以访问。
• 登录宝塔面板后台（浏览器访问 http://你的服务器IP:8888）。
• 确认面板左侧菜单中有“网站”和“安全”两个功能区域。

一步步启用并配置CC防护WAF规则

第一步：开启WAF功能

进入宝塔面板 → 左侧菜单“安全” → 找到“Web防火墙”选项卡 → 点击“开启”。
默认情况下，WAF会启用基础规则集，但CC防护需要单独配置。

第二步：进入CC防护设置

在Web防火墙页面，切换到“CC防护”标签。
这里你会看到“全局设置”和“单站点设置”。
新手建议先从“单站点设置”开始，避免影响其他网站。
点击“添加站点”，选择你需要防护的域名。

第三步：配置核心参数

添加站点后，出现以下配置项：

• 启用CC防护：开启（开关变蓝）。
• 模式：选“标准”或“严格”。首次建议用“标准”，如果误拦太多再调为“宽松”；高安全需求可选“严格”。
• 请求速率：单位是“次/分钟”。例如设200，表示单个IP在1分钟内最多访问200次，超过则触发规则。一般网站建议100-300，根据你正常访客峰值调整。
• 封禁时间：触发规则后IP被禁止访问的时长，单位分钟。默认10分钟，可改为30-60分钟。
• 验证方式：可选“验证码”或“直接拦截”。验证码对正常用户友好，但会多一次交互；直接拦截简单粗暴。推荐选“验证码”。
• URI白名单：如果某些接口需要高频请求（比如API），可以把路径加进去，避免被误拦。

设置完成后单击“保存”。
注意：每个站点可以配置多条规则，不同URL路径可以设置不同速率，灵活性很高。

第四步：应用全局主流规则（可选）

回到“全局设置”，同样开启CC防护并配置类似参数。
全局规则会对所有站点生效，建议先测试单站点，确认无误再启用全局。

避坑指南：新手最容易犯的错

• 速率值设得太低：比如设为20次/分钟，正常用户浏览多几个页面就可能被拦截。建议从200开始，观察一段时间再调整。
• 忘了添加API白名单：如果你的站点有支付回调、推送接口，这些请求往往短时间内会多次触发，不加白名单会导致业务异常。
• 同时开启CDN和WAF：如果网站用了Cloudflare等CDN，请先确保WAF规则能识别真实客户端IP（宝塔面板在“安全” → “IP配置”里可以开启Nginx反向代理模式，并填写CDN的IP段）。否则所有请求看起来都来自CDN，CC防护会误判。
• 修改规则后没有重置计数器：在CC防护页面，每次修改完参数后点击“重置统计”按钮，清除缓存，新规则立即生效。

验证设置是否生效

方法一：查看WAF拦截日志

进入面板“安全” → “Web防火墙” → “拦截日志”。
如果配置正确，当用高频工具（如ab、wrk）模拟攻击时，日志中会出现被CC规则拦截的记录，状态码通常为403。

方法二：真实访问测试

正常用浏览器刷新你的网站，应该能流畅访问；
如果出现验证码（你配置的验证模式），说明规则正在工作。
如果连自己都被弹验证码，说明速率值太小或你的IP被临时封禁，可以到“IP黑名单”里解除，再调整参数。

方法三：使用在线压力测试工具（慎重）

可以用“站长工具”或“阿里云PTS”等，小流量（并发10以内）测试一下响应是否稳定。
注意不要用超过你配置值的频率，以免触发现网。

完成上述步骤后，你的网站就具备了基础的CC攻击抵御能力。
记住，WAF规则不是一劳永逸的，建议每周检查一次拦截日志，根据攻击模式微调参数。
如果你在操作中遇到其他问题，欢迎在评论区留言交流。