堡塔云WAF之一键安装+内核/网络调优脚本-神人佛-善无痕蛇无泪

一键安装+内核/网络调优脚本（直接复制root执行）

#!/bin/bash
set -e

# ---------- 1. 系统基础更新 & 清理 ----------
apt update && apt upgrade -y
apt install -y curl wget vim net-tools ipset iptables sysstat
sync && echo 3 > /proc/sys/vm/drop_caches

# ---------- 2. 内核/网络调优（2核2G抗CC） ----------
cat > /etc/sysctl.d/99-cloudwaf-tweak.conf << EOF
# 最大文件句柄
fs.file-max = 65535
# 网络队列
net.core.somaxconn = 65535
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
# TCP 抗攻击
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.ip_local_port_range = 1024 65535
# 内存
vm.swappiness = 10
vm.dirty_ratio = 10
EOF
sysctl -p /etc/sysctl.d/99-cloudwaf-tweak.conf

# ---------- 3. 安装堡塔云WAF ----------
URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh
if [ -f /usr/bin/curl ];then
    curl -sSO "$URL"
else
    wget -O install_cloudwaf.sh "$URL"
fi
bash install_cloudwaf.sh

# ---------- 4. 系统防火墙：只留WAF端口，全接管 ----------
# 清空旧规则
iptables -F
iptables -X
iptables -Z

# 默认拒绝所有入站
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 放行本地回环
iptables -A INPUT -i lo -j ACCEPT

# 放行已建立/相关连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 放行必要端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT   # SSH
iptables -A INPUT -p tcp --dport 80 -j ACCEPT   # WAF
iptables -A INPUT -p tcp --dport 443 -j ACCEPT  # WAF
iptables -A INPUT -p tcp --dport 8379 -j ACCEPT # WAF管理

# 保存规则（Debian 用 iptables-persistent）
apt install -y iptables-persistent
netfilter-persistent save

echo "==================== 完成 ===================="
echo "WAF管理地址：https://$(hostname -I | awk '{print $1}'):8379"
echo "请保存好账号密码，腾讯云安全组务必放行 22/80/443/8379"

1. 重启系统（关键步骤）

内核更新后，必须重启才能生效，否则会影响后续操作：

reboot

使用官方脚本安装WAF：

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

3. 配置防火墙，实现WAF全面接管

#!/bin/bash
set -e

# 内核/网络调优（2核2G抗CC）
cat > /etc/sysctl.d/99-cloudwaf-tweak.conf << EOF
fs.file-max = 65535
net.core.somaxconn = 65535
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.ip_local_port_range = 1024 65535
vm.swappiness = 10
vm.dirty_ratio = 10
EOF
sysctl -p /etc/sysctl.d/99-cloudwaf-tweak.conf

# 系统防火墙配置
apt install -y iptables-persistent
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 8379 -j ACCEPT
netfilter-persistent save

– 这台服务器只能运行堡塔云WAF，不要安装任何其他网站服务，避免端口冲突和内存不足。

版权声明 1 公司全称： 神人佛个人网站信息
2 本站简称：神人佛-善无痕蛇无泪
3 本站网址：srf8.com
4 本网站的文章部分内容可能来源于网络和用户搬运，仅供大家学习与参考
5 如有侵权，请联系站长邮箱:1259532999@qq.com进行删除处理
6 本站所有资源内容，仅供大家学习和参考，不存在任何商业目的与商业用途，请下载后24小时内删除
7 禁止下载使用本站资源参与商业和非法行为，如用户未及时删除资源引起的版权纠纷，本站不承担任何法律责任。
8 分享是一种美德，文章是腾讯元宝给的

THE END

优化教程

堡塔云WAF之一键安装+内核/网络调优脚本

请登录后发表评论