cPanel 防火墙配置，提升安全性

26 3 月, 2025 16:30 1 min

通过配置良好的 firewall 来保护您的 cPanel hosting environment，是防止您的 server 和 website 遭受未经授权访问、恶意流量和自动化攻击的最重要步骤之一。firewall 作为您的 server 与互联网之间的保护层，只允许受信任的流量访问您的服务。

在本文中，我们将向您介绍如何为您的 cPanel hosting 设置 firewall，并使用经过验证的工具和最佳实践来保持您的 server 安全。

为什么 firewall 对 cPanel Hosting 很重要

cPanel 提供了一个用户友好的界面来管理 hosting 任务，但像任何可公开访问的系统一样，它也可能成为以下攻击的目标：

针对 cPanel、SSH 或 email 账户的暴力破解攻击
未经授权的登录尝试
DDoS (Distributed Denial of Service) 攻击
针对开放端口和服务的漏洞利用
恶意 bot 和扫描器

实施 firewall 可让您阻止有害流量、限制对敏感端口的访问，并监控可疑活动——这些都是安全 hosting 设置的关键。

第 1 步：在您的 server 上安装 firewall

对于 AVA.hosting 提供的 VPS 或 dedicated servers 上的 cPanel hosting，我们建议使用 CSF (ConfigServer Security & Firewall)——这是最可靠的、专为 cPanel/WHM 环境定制的 firewall 解决方案之一。

如何安装 CSF

通过 SSH 连接到您的 server
使用 SSH client（例如 PuTTY）并以 root 身份登录：

ssh root@your-server-ip

下载并安装 CSF：

cd /usr/src
wget https://download.configserver.com/csf.tgz

tar -xzf csf.tgz
cd csf
sh install.sh

验证安装：

csf -v

安装完成后，CSF 会直接集成到 WHM 中，便于配置。

第 2 步：通过 WHM 配置 CSF

在 WHM 中访问 CSF

关键配置步骤：

Allow/Block IPs：将受信任的 IP 添加到 allowlist，并阻止已知的恶意 IP。
Manage Ports：定义哪些端口保持开放（例如 80、443、22）。关闭未使用的端口以提高安全性。
Enable Alerts：接收有关可疑登录尝试、端口扫描或过度资源使用的通知。

在完全启用 firewall 之前，CSF 会以测试模式运行，以避免意外锁定。

要激活 firewall：

csf -e      # Enable firewall in test mode

在测试并验证您的设置后，退出测试模式：

csf -x      # Disable test mode and apply active rules

第 3 步：使用额外的安全功能

CSF 中包含的 LFD 可帮助检测重复的登录失败尝试，并自动阻止这些 IP——从而防止针对 SSH、cPanel 和 email 的暴力破解攻击。

国家级阻止

如果您的受众仅限于特定地区，您可以使用 CSF 中的 GeoIP filters 限制来自高风险国家的访问。

要阻止国家：

编辑 CSF 配置文件：/etc/csf/csf.conf
找到 CC_DENY 并输入国家代码（例如 RU,CN,IR）

连接跟踪

限制来自单个 IP 的同时连接数量，以减轻基本的 DDoS 尝试。

在 CSF 配置中，查找 CT_LIMIT 并定义允许的最大连接数。
示例：CT_LIMIT = “100”

第 4 步：监控并维护您的 firewall

配置完成后，定期监控 firewall 活动非常重要，以确保您的 server 始终受到保护。

查看日志

使用此命令查看实时日志：

tail -f /var/log/lfd.log

保持规则和软件更新

根据需要开放新端口或允许新的 IP
删除未使用的规则以保持 firewall 整洁
保持 CSF 为最新版本：

csf -u

最后的想法

配置 firewall 是保护您的 cPanel hosting 的基础部分。像 CSF 这样的工具让管理流量、阻止威胁以及掌控您的 server 暴露面变得更容易。

结合强密码、定期更新和智能访问策略，配置良好的 firewall 能让您确信您的在线资产是安全的。

如何为您的 cPanel 托管配置防火墙