宝塔面板防CC攻击设置指南：零基础也能快速上手

前置准备

在开始宝塔面板防CC攻击设置前，请确保你满足以下条件：

• 已安装宝塔面板（Linux环境，建议最新稳定版）


• 已在宝塔面板中添加至少一个网站，并确保域名解析正常


• 网站运行环境为Nginx（Apache也可用，但本教程以Nginx为例）


• 已登录宝塔面板后台（默认地址：http://你的服务器IP:8888）

如果你还没有安装宝塔面板，可先执行官方安装命令：

wget -O install.sh http://download.bt.cn/install/install_6.0.sh && bash install.sh

分步操作

以下将按步骤完成宝塔面板防CC攻击设置。

每一步都给出面板操作路径和关键参数。

第一步：安装Nginx防火墙插件

1. 登录宝塔面板，点击左侧菜单栏的 软件商店。


2. 在应用搜索框中输入 Nginx防火墙。


3. 在结果中找到“Nginx防火墙”（免费版即可使用基础CC防御功能），点击 安装。


4. 选择版本（LTS稳定版）并确认安装，等待进度条完成。

第二步：开启CC攻击防御

1. 安装完成后，点击软件商店中已安装的“Nginx防火墙”右侧的 设置。


2. 在弹出的窗口中，切换到 全局设置 标签页。


3. 找到“CC防御”区域，将开关 开启。


4. 设置触发阈值（例如：单个IP在60秒内请求超过600次则拦截）。建议初始值设为120次/分钟，后续根据网站正常流量调整。


5. 点击 保存。

如果网站被误拦，可以进入 攻击记录 查看拦截IP并手动放行。

第三步：针对单个网站精细化配置（可选）

如果你只想对特定目录或URL加强防御：

1. 在防火墙设置页面中，点击 站点规则。


2. 选择需要保护的网站域名。


3. 配置规则：可以限制某个URL的请求频率，例如 /api/ 接口限制每秒1次。


4. 保存后生效。

第四步：额外加固——修改Nginx配置（进阶）

如果你希望不依赖插件，也可以通过Nginx原生的limit_req模块实现防CC：

http {

limit_req_zone $binary_remote_addr zone=cc_limit:10m rate=5r/s;

server {

location / {

limit_req zone=cc_limit burst=10 nodelay;

}

}

}

将上述配置添加到/www/server/nginx/conf/nginx.conf的相应位置，然后重启Nginx。

nginx -t  # 测试配置语法

/etc/init.d/nginx restart  # 重启

注意：此方法对零基础用户有一定门槛，建议优先使用宝塔插件。

避坑指南

1. 阈值设太低：导致正常用户（如爬虫、批量访问）被拦截。建议先观察一周网站访问日志，用宝塔面板的 监控 功能查看PV/IP比，再动态调整阈值。


2. 插件未开启：安装后需要在 设置 中手动开启CC防御，默认是关闭的。


3. 误伤CDN回源IP：若使用CloudFlare等CDN，需要将CDN节点IP加入白名单，否则回源请求会被拦截。可在防火墙白名单中添加CDN IP段。


4. 忘记保存规则：修改配置后务必点击保存，部分页面的保存按钮在底部。

效果验证

方法一：查看防火墙攻击记录

进入Nginx防火墙设置 -> 攻击记录，如果看到大量来自同一IP的拦截记录，说明CC防御已生效。

方法二：模拟异常请求测试

ab -n 1000 -c 50 http://你的域名/   # 模拟50并发共1000次请求

观察返回结果：如果出现 503 Service Temporarily Unavailable 或 403 Forbidden，代表触发防御机制。

请务必在非正式环境测试。

方法三：观察服务器负载

使用宝塔面板的监控图表，若配置后异常时间段的CPU和内存使用明显下降，说明CC攻击被有效拦截。

高频问题解答

• 问题1：免费版的Nginx防火墙够用吗？

免费版已包含基础的CC防御（IP频率限制），应对中小规模CC攻击足够。

若遭遇大规模DDoS，建议升级专业版或使用云防护（如腾讯云大禹、CloudFlare）。

• 问题2：我设置了阈值但好像没生效，怎么办？

检查是否开启了全局开关；

确认网站被应用的配置是否正确（站点规则优先级高于全局）。

重启Nginx防火墙插件试试。

• 问题3：如何判断我的网站正在被CC攻击？

症状：网站无法打开但服务器ping正常；

Nginx日志出现大量499或503状态码；

宝塔面板中访问IP数异常激增且来源单一。

• 问题4：误拦截了搜索引擎爬虫怎么办？

在防火墙 IP白名单 中添加百度、谷歌等爬虫的IP段（可定期从官方获取列表）。

同时调高阈值或延长检测周期。

如果你正在处理宝塔面板防CC攻击设置，建议先按本文步骤完整执行，再根据自己的环境做微调；

遇到异常时优先回看避坑和高频问题部分。