BunkerWeb是一個功能完備的Web服務(wù)器, 基于Nginx構(gòu)建, 不同的是, BunkerWeb集成了WAF防火墻功能, 使Web應(yīng)用程序默認(rèn)保證其安全性。BunkerWeb可以無縫集成到企業(yè)現(xiàn)有的網(wǎng)絡(luò)環(huán)境中, 包括:Linux、Docker、Swarm、Kubernetes等。并且支持自定義配置, 除此之外,還自帶一個Web UI界面, 并支持強(qiáng)大的插件系統(tǒng)。

開源地址: 

https://github.com/bunkerity/bunkerweb?tab=readme-ov-file

BunkerWeb最大的特定是其自帶的安全特性, 主要包含以下安全屬性:

• HTTPS支持透明的Let's Encryptautomation：通過自動化Let's Encrypt集成輕松保護(hù)Web服務(wù)，確?？蛻舳撕头?wù)器之間的加密通信。

• 包括全面的HTTP安全標(biāo)頭、數(shù)據(jù)泄漏預(yù)防和TLS強(qiáng)化技術(shù)。

• 通過集成ModSecurity, 增強(qiáng)對Web應(yīng)用程序攻擊的保護(hù)，由著名的OWASP核心規(guī)則集加強(qiáng)。(ModSecurity是一個著名的開源WAF防火墻, 開源地址:

  https://github.com/owasp-modsecurity/ModSecurity )

• BunkerWeb通過自動禁止觸發(fā)異常HTTP狀態(tài)碼的行為，智能識別并阻止可疑活動。

• 對來自客戶端的連接和請求的數(shù)量設(shè)置限制，防止資源耗盡并確保服務(wù)器資源的公平使用。

• 通過挑戰(zhàn)惡意機(jī)器人解決諸如cookie、JavaScript測試、驗(yàn)證碼、hCaptcha、reCAPTCHA或Turnstile等難題，有效阻止未經(jīng)授權(quán)的訪問，從而將其拒之門外。

• 利用外部黑名單和基于DNS的DNSBL列表主動阻止已知的惡意IP地址，增強(qiáng)對潛在威脅的防御。

BunkerWeb可以很方便的集成到現(xiàn)有的服務(wù)配置中, 當(dāng)前BunkerWeb的最新版本為:v1.5.9,

打開該頁面:https://config.bunkerweb.io/v1.5.9 , 

可以通過Web頁面很方便的查看BunkerWeb支持的導(dǎo)入配置、全局配置、服務(wù)配置、文件管理、導(dǎo)出配置等參數(shù)。

例如,全局配置參數(shù)如下:

以下是服務(wù)配置:

在集成配置中,支持Docker、Autoconf、Swarm、Kubernetes和Linux,每一項配置都已經(jīng)準(zhǔn)備好,直接下載使用即可, 如圖:

BunkerWeb支持眾多高級安全功能, 官方建議即使確保了最低限度的默認(rèn)安全性, 也最好自己進(jìn)行根據(jù)實(shí)際情況進(jìn)行調(diào)優(yōu),。以下是支持的安全組件:

詳細(xì)的調(diào)優(yōu)策略可以參考文檔: 

https://docs.bunkerweb.io/1.5.9/security-tuning/#http-protocol

BunkerWeb自帶一套強(qiáng)大的插件系統(tǒng),可以輕松添加新功能, 官方默認(rèn)自帶以下安全插件:

• ClamAV - 使用ClamAV防病毒引擎自動掃描上傳的文件，并在文件被檢測為惡意時拒絕請求。

• Coraza - 使用Coraza WAF（ModSecurity的替代品）檢查請求。

• CrowdSec - 使用行為分析來檢測潛在的惡意活動。它能夠識別并分析服務(wù)器上的異常行為，例如暴力破解嘗試、掃描和其他惡意操作。

• Discord - 使用Webhook向Discord頻道發(fā)送安全通知。

• Slack - 使用Webhook將安全通知發(fā)送到Slack通道。

• VirusTotal - 用VirusTotal API自動掃描上傳的文件，并在文件被檢測為惡意時拒絕請求。

• WebHook - 使用Webhook向自定義HTTP端點(diǎn)發(fā)送安全通知。 

詳細(xì)的插件使用方法可以參考:

https://docs.bunkerweb.io/1.5.9/plugins/#official-plugins