搭建自己的WEB应用防火墙

之前给客户搭建的网站服务近期频繁遭受恶意扫描、暴力破解攻击，日志里记录着各种奇葩的请求地址，导致Tomcat线程资源耗尽，最终nginx报504（网关超时），在服务器上curl本地请求依然卡死，即让网站无法正常访问，也存在着巨大的安全隐患。奈何没米买WAF防火墙，咱只能发挥老一辈精神撸起袖子自己干，我决定在服务器上搭建 fail2ban 安全工具！！！

名称	版本	备注
操作系统	CentOS 7.9
fail2ban	0.10.2	一个用于阻止暴力破解攻击的安全工具
nginx	1.6.3	代理访问服务，域名端口转发、静态资源和证书等
tomcat	8.0.53	网站实际部署的应用服务器

一、安装 fail2ban

1. 安装 EPEL 源

   sudo yum install epel-release -y
   

   fail2ban 在 CentOS 默认源中不包含，需要添加 EPEL 源。

2. 安装 fail2ban

   sudo yum install fail2ban -y
   

   安装很简单，完成后系统会自动启动和添加 fail2ban 相关服务及配置文件。

二、配置监控策略和过滤器

1. 复制配置文件模板
   安装后有默认主配置文件 /etc/fail2ban/jail.conf，复制一份到 jail.local，避免直接修改官方配置文件，便于后续更新。

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   

2. 配置 jail.local 文件

   sudo vi /etc/fail2ban/jail.local
   

   jail.local作为用户自定义的本地配置文件，用来覆盖jail.conf的设置。Faile2ban会优先读取并保留这个文件，Fail2ban升级时也不会被覆盖。
   示例，我希望监控Tomcat服务，配置如下：

   [tomcat-access]
   enabled = true
   filter = tomcat-access
   logpath = /opt/tomcat/logs/localhost_access_log.*.txt
   maxretry = 5
   findtime = 300
   bantime = 3600
   backend = auto
   action = iptables-multiport[name=tomcat, port="80,443", protocol=tcp]
   

   参数说明：

   属性	说明
   enabled	启用该规则，true启用，false禁用或者注释该属性。
   filter	指定使用哪个过滤器定义文件，对应文件名前缀。
   logpath	指定需要监控的日志路径，可以使用通配符（例如按日期命名的日志文件）。Fail2Ban 会自动扫描这些文件并实时读取新增日志。
   maxretry	在 findtime 指定的时间段内（例如 5 分钟），同一个 IP 如果触发了 failregex 规则 5 次，就会被封禁。
   findtime	监控时间窗口，单位为秒。表示 Fail2Ban 会在过去 300 秒（即 5 分钟）内累计每个 IP 的违规次数。
   bantime	封禁时间，单位为秒（这里是 1 小时）。一个 IP 被封后，在 bantime 时间结束前不能再次访问。可设置为：-1 永久封禁；0 不封 IP，但会执行其他 action（如发邮件）。
   action	指定封禁方式和封禁哪些端口及协议。iptables-multiport 是 Fail2Ban 提供的一个内置 action 模板，表示用 iptables 拒绝多个端口的访问。

3. 配置拦截器filter

   sudo vi /etc/fail2ban/filter.d/tomcat-access.conf
   

   前面介绍的jail.local是用来配置应用场景，而filter是用来定义拦截规则。可以理解为：

   • Filter = 你想拦截什么？（匹配什么日志内容）
   • Jail = 你在哪儿拦截？多久内拦截？封多久？怎么封？
     两者配合使用，才能让 Fail2Ban 正常工作。
     示例，我希望拦截非法访问（匹配404、尝试非法路径、异常请求等等）：

   [Definition]
   failregex = ^<HOST> -.*"(GET|POST|HEAD).*HTTP.*" 404^<HOST> -.*"(GET|POST).*wp-login.php.*HTTP.*"^<HOST> -.*"(GET|POST).*\.env.*HTTP.*"^<HOST> -.*"(GET|POST).*\.git.*HTTP.*"
   ignoreregex =
   

   参数说明：

   属性	说明
   Definition	这是 Fail2Ban 规则文件的标准节名，表示你要定义一个“过滤器规则”。
   failregex	核心正则表达式，用于匹配目标日志文件中可疑/恶意行为的日志行。每行一个正则表达式；关键是识别出 IP 地址（用 占位）；一旦匹配，就会记录这个 IP 的一次“违规行为”；如果同一个 IP 在 jail 设定的 findtime 时间内达到 maxretry 次数，就触发封禁。
   ignoreregex	这里你可以写入要排除的正则表达式。如果某些请求虽然匹配 failregex，但你认为是“白名单”，可以写在这里；它会被优先执行；通常为空即可。

   failregex正则表达式详解，以上面示例说明如下：

   ^<HOST> -.*"(GET|POST|HEAD).*HTTP.*" 404
   

   匹配如：
   192.168.1.100 - - [时间] “GET /test.php HTTP/1.1” 404，表示这个 IP 请求了一个不存在的路径（404）。

   ^<HOST> -.*"(GET|POST).*wp-login.php.*HTTP.*"
   

   匹配 WordPress 登录页面攻击（即使你不用 WordPress，也有很多扫描器会试图访问）。

   	^<HOST> -.*"(GET|POST).*\.env.*HTTP.*"
   

   .env 文件包含敏感环境变量，攻击者扫描时常用路径。

   ^<HOST> -.*"(GET|POST).*\.git.*HTTP.*"
   

   .git 被误暴露时会泄露源码，扫描器会尝试访问。

   <HOST>
   

   这是 Fail2Ban 特定的占位符，代表被拦截 IP 的位置。它告诉 Fail2Ban “从这部分提取 IP 地址”，并用于计数和封禁。

   例如日志文件内容如下：

   192.168.1.10 - - [24/Jun/2025:11:03:01 +0800] "GET /.env HTTP/1.1" 404 987
   

   Fail2Ban会提取 192.168.1.10，作为封禁目标。

   这里只是举了一个简单示例，还有很多拦截器配置内容，大家可以根据需要防护的内容去配置，具体配置内容可以搜索或AI询问即可。

三、配置 SSH 防护

1. 启用 SSH 保护
   在 jail.local 文件中找到 [sshd] 部分，设置 enabled = true。
2. 自定义 SSH 端口防护（如果更改默认端口）
   若服务器 SSH 端口非默认 22，需添加以下内容：

   [sshd]
   port = 2222
   

   将 2222 替换为实际端口号。

四、启动与管理

1. 启动 fail2ban

   sudo systemctl start fail2ban
   

   安装完成系统已经自动启动。

2. 设置开机自启

   sudo systemctl enable fail2ban
   

3. 重启服务

    sudo systemctl restart fail2ban
   

   每次修改配置后需要重启生效。

4. 查看状态

   sudo fail2ban-client status
   

   可以查看当前防护拦截器的列表。

5. 查看拦截日志

   sudo fail2ban-client status [拦截器名称]
   

   例如：

   sudo fail2ban-client status tomcat-access
   

   返回结果如下：

   Status for the jail: tomcat-access
   |- Filter
   |  |- Currently failed:	0
   |  |- Total failed:	0
   |  `- File list:	/opt/tomcat/logs/localhost_access_log.2024-08-23.txt /opt/tomcat/logs/localhost_access_log.2025-06-02.txt 此处省略掉若干文件名称......
   `- Actions|- Currently banned:	0|- Total banned:	0`- Banned IP list:	
   

   参数说明：

   属性	说明
   Status for the jail	显示当前你查看的是名为 tomcat-access 的 jail（监控规则块）。
   Currently failed	当前时间窗口（findtime，如 300 秒）内，有“多少个 IP 正在违反规则”。这表示当前没有 IP 正在被 Fail2Ban 判断为恶意（匹配到 failregex）。
   Total failed	自 Fail2Ban 启动以来，这个 jail 触发过多少次 failregex。为 0 表示从未匹配成功，注意检查：1.failregex 正则没匹配到日志内容；2.日志路径不对；3.日志格式与正则不符；4.服务本身没有被攻击。
   File list	Fail2Ban 正在读取并监控的日志文件列表。在你的配置中，它包括多个 localhost_access_log.YYYY-MM-DD.txt 文件（Tomcat 的访问日志），用于分析是否存在异常访问行为。
   Currently failed	当前时间窗口（findtime，如 300 秒）内，有“多少个 IP 正在违反规则”。这表示当前没有 IP 正在被 Fail2Ban 判断为恶意（匹配到 failregex）。
   Currently banned	当前被封禁的 IP 数量为 0。说明没有 IP 正在被防火墙屏蔽。
   Total banned	历史上这个 jail 封过多少 IP。0 表示你这条规则还没有成功拦过任何人。
   Banned IP list	当前封禁列表。为空表示没有 IP 被 ban。

五、进阶配置

1. 配置邮件报警
   编辑 jail.local 文件，添加以下内容：

   destemail = your_email@example.com
   sender = fail2ban@example.com
   mta = sendmail
   action = %(action_mwl)s
   

   替换为实际邮箱地址，并确保邮件服务正常运行。

2. 添加自定义过滤规则
   在 /etc/fail2ban/filter.d/ 目录下创建自定义过滤文件，如 custom-sshd.conf，编写正则表达式匹配日志中的攻击行为。

六、注意事项与难点

1. 文件权限
   配置文件权限不要过于开放，建议保持默认权限，避免安全风险。
2. 日志路径准确性
   确保 fail2ban 配置的日志路径与实际服务日志路径一致，否则无法正确识别攻击。
3. 误封问题
   合理设置参数，避免因网络波动等正常情况导致自己被误封，可设置白名单：

   [sshd]
   ignoreip = 192.168.1.100 10.0.0.0/24
   

七、下一步思考

目前配置已有效抵御暴力破解攻击，但还可以进一步完善：

1. 集成更多服务防护规则，如 Apache、Nginx 等 Web 服务。
2. 探索与云防火墙联动，实现更高级的防护策略。
3. 定期分析 fail2ban 日志，优化过滤规则，提升防护精准度。

通过在 CentOS 7 上部署 fail2ban，服务器的安全防线得到了显著加强，恶意攻击行为得到了有效遏制。后续会持续优化配置，构建更稳固的安全体系。