通過域名解析后下一步會進入CDN，WAF網站防火墻，硬件設備或直接通往源站，此時我們可以對請求進行更細的過濾，這里主要講一下通過網站防火墻配置和Nginx配置。

前面提到的是通過DNS解析來對域名進行禁海外訪問，但如果攻擊者使用IP來掃描就沒辦法了，所以我們需要在服務器或應用上進行限制。

Nginx使用模塊ngx_http_geoip_module來實現對/城市訪問限制

1.1 安裝maxminddb library（geoip2擴展依賴）

Ubuntu debian

apt install libmaxminddb0 libmaxminddb-dev mmdb-bin

Centos

yum install libmaxminddb-devel -y

1.2 下載ngx_http_geoip2_module模塊

進入root目錄，然后克隆模塊

cd root && git clone https://github.com/leev/ngx_http_geoip2_module.git

1.3 把模塊編譯到Nginx

手工編譯方式

./configure --add-module=/root/ngx_http_geoip2_module

寶塔面板下nginx的編譯方式

1.4 下載Geoip數據庫

模塊安裝成功后，還要在 Nginx 里指定數據庫，位于 /usr/share/GeoIP/ 目錄下，一個只有 IPv4，一個包含 IPv4 和 IPv6：

數據庫地址：

cd /usr/local/share/GeoIP

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz

1.5 添加配置到Nginx主配置文件

geoip2 /usr/local/share/GeoIP/GeoLite2-Country.mmdb {$geoip2_data_country_code country iso_code;}map $geoip2_data_country_code $allowed_country { default yes; CN no; }

1.6 修改Nginx虛擬主機的配置文件，在server段內添加后重載nginx

if ($allowed_country = yes) { return 403; }

至此配置完成

打開此開關即可

攔截效果

通常情況下服務器IP并不是我們的客戶，在這里推薦大家在沒有接口業務的情況下禁止服務器IP訪問。

我們只需要在防護網站設置里開啟禁止IDC訪問即可達成，它還會自動放行真實爬蟲以免影響網站收錄。

這是黑客的主要滲透手段之一，在可上傳文件的目錄下傳入后門文件，我們在禁止后即使他們成功傳入也無法進行利用。

配置禁止訪問/file/upload目錄下的所有以.php結尾的文件

攔截效果

堡塔云WAF需要占用80、443、33060端口，建議使用單獨服務器部署，已經安裝了寶塔面板的機器不支持安裝云WAF。