bunkerity/bunkerweb Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bunkerity/bunkerwebbunkerity
开源的下一代Web应用防火墙(WAF),基于NGINX构建,默认安全配置,支持Docker、Kubernetes等多环境集成,提供Web UI和插件系统,保护Web服务免受各类***。
13 次收藏下载次数: 0状态:社区镜像维护者:bunkerity仓库类型:镜像最近更新:8 天前
BunkerWeb
镜像概述和主要用途
BunkerWeb是下一代开源Web应用防火墙(WAF),基于NGINX构建,兼具Web服务器功能。其核心目标是实现"默认安全",通过内置的安全特性和灵活配置,无缝集成到现有环境中,保护Web服务免受常见***。支持Linux、Docker、Swarm、Kubernetes等多种部署环境,提供Web UI简化管理,并可通过插件系统扩展功能。
核心功能和特性
安全功能
- HTTPS自动化:支持Let's Encrypt自动证书申请与更新
- Web安全防护:内置HTTP安全头(如CSP、HSTS)、TLS硬化、防信息泄露
- WAF集成:ModSecurity支持OWASP核心规则集(CRS)
- 异常行为封禁:基于HTTP状态码自动识别并封禁异常请求源
- 访问控制:连接与请求频率限制,防止DDoS和暴力***
- 反机器人机制:支持Cookie、JavaScript、验证码(captcha)、hCaptcha或reCAPTCHA挑战
- 威胁情报:集成外部IP黑名单和DNSBL,拦截已知***IP
其他特性
- 多环境支持:Docker、Kubernetes、Swarm、Linux等无缝集成
- 多站点模式:单实例保护多个Web应用(虚拟主机)
- Web UI:图形化界面管理配置、监控和日志
- 插件系统:通过官方/自定义插件扩展功能(如ClamAV杀毒、CrowdSec联动)
- 灵活配置:环境变量或配置文件定义设置,支持动态更新
- 跨平台:支持x64、x86、armv7和arm64架构
使用场景和适用范围
- 单Web应用保护:博客、电商网站、企业官网等独立Web服务
- 多应用环境:同时保护多个不同域名或路径的Web应用
- 容器化部署:Docker/Swarm/Kubernetes环境中的微服务安全防护
- 默认安全需求:需要开箱即用安全配置的场景,减少手动安全调优
- 复杂安全策略:需自定义规则、集成威胁情报或第三方安全工具的场景
详细使用方法和配置说明
Docker集成
BunkerWeb提供预构建Docker镜像,支持多平台,通过环境变量配置,需配合scheduler容器管理配置和任务。
基本使用(docker run)
bash# 创建网络 docker network create bw-net # 启动scheduler(配置存储和任务管理) docker run -d \ --name bw-scheduler \ --network bw-net \ -v bw-data:/data \ -e DATABASE_TYPE=sqlite \ bunkerity/bunkerweb-scheduler:1.5.4 # 启动BunkerWeb docker run -d \ --name bw-web \ --network bw-net \ -p 80:8080 \ -p 443:8443 \ -v bw-data:/data \ -e SCHEDULER_HOST=bw-scheduler \ -e SERVER_NAME=www.example.com \ -e AUTO_LETS_ENCRYPT=yes \ -e USE_ANTIBOT=captcha \ bunkerity/bunkerweb:1.5.4
Docker Compose示例
yamlversion: '3' networks: bw-net: services: bw-scheduler: image: bunkerity/bunkerweb-scheduler:1.5.4 volumes: - bw-data:/data environment: - DATABASE_TYPE=sqlite networks: - bw-net bw-web: image: bunkerity/bunkerweb:1.5.4 ports: - "80:8080" - "443:8443" volumes: - bw-data:/data environment: - SCHEDULER_HOST=bw-scheduler - SERVER_NAME=www.example.com - AUTO_LETS_ENCRYPT=yes - USE_ANTIBOT=captcha - REFERRER_POLICY=no-referrer - USE_GZIP=yes depends_on: - bw-scheduler networks: - bw-net volumes: bw-data:
配置参数说明
环境变量配置
BunkerWeb通过环境变量("设置")配置,常用参数示例:
| 参数名 | 说明 | 取值示例 |
|---|---|---|
SERVER_NAME | 服务器域名(多域名用空格分隔) | [***] |
AUTO_LETS_ENCRYPT | 自动申请Let's Encrypt证书 | yes/no |
USE_ANTIBOT | 反机器人机制 | captcha/hcaptcha |
USE_MODSECURITY | 启用ModSecurity WAF | yes/no |
MAX_CONCURRENT_CONNECTIONS | 最大并发连接数 | 100 |
RATE_LIMIT | 请求频率限制(次/分钟) | 60 |
完整参数列表可通过配置生成器获取。
多站点模式配置
多站点模式下,为特定域名配置参数需添加域名前缀:
bash# 为www.example.com启用验证码反机器人 www.example.com_USE_ANTIBOT=captcha # 为app.example.com禁用GZIP app.example.com_USE_GZIP=no
多组配置通过数字后缀区分(如反向代理规则):
bashREVERSE_PROXY_URL_1=/api REVERSE_PROXY_HOST_1=http://backend-api:3000 REVERSE_PROXY_URL_2=/admin REVERSE_PROXY_HOST_2=http://backend-admin:4000
Web UI
BunkerWeb提供Web UI管理界面,功能包括:
- 启动/停止/重启BunkerWeb实例
- 添加/编辑/删除Web应用配置
- 管理NGINX和ModSecurity自定义配置
- 安装/卸载插件
- 监控任务执行和查看日志
- 搜索日志模式
访问演示视频:Web UI演示
插件系统
BunkerWeb支持插件扩展功能,官方插件包括:
| 插件名 | 版本 | 描述 |
|---|---|---|
| ClamAV | 1.2 | 扫描上传文件是否含***软件 |
| Coraza | 1.2 | Coraza WAF集成(ModSecurity替代方案) |
| CrowdSec | 1.2 | CrowdSec联动,拦截威胁情报中的***IP |
| *** | 1.2 | 发送安全通知到***频道 |
| Slack | 1.2 | 发送安全通知到Slack频道 |
| VirusTotal | 1.2 | 通过VirusTotal API扫描上传文件 |
| WebHook | 1.2 | 发送通知到自定义HTTP端点 |
安全调优
默认配置已确保基础安全,建议根据需求调优:
- 调整
SECURITY_HEADERS强化HTTP安全头(如CSP策略) - 配置
MODSECURITY_RULES自定义WAF规则,减少误报 - 启用
IP_BLACKLIST阻止已知***IP段 - 针对业务场景调整
RATE_LIMIT和MAX_CONCURRENT_CONNECTIONS
详细调优指南见安全调优文档。
支持和资源
- 官方文档:docs.bunkerweb.io
- 配置生成器:config.bunkerweb.io
- 示例代码:github.com/bunkerity/bunkerweb/examples
- 社区支持:***频道、GitHub讨论区、Reddit社区
- 商业支持:咨询、定制开发、技术支持(***)
许可协议
项目采用GNU Affero General Public License (AGPL) v3许可协议。
bunkerity/bunkerweb-ui
bunkerity
BunkerWeb 是下一代开源 Web 应用防火墙 (WAF),基于 NGINX 构建,默认提供安全防护,支持多环境无缝集成与多站点管理,保护 Web 服务免受各类攻击。
10万+ 次下载
8 天前更新
bunkerity/bunkerweb-scheduler
bunkerity
BunkerWeb是一款下一代开源Web应用防火墙(WAF),基于NGINX构建,默认安全配置,支持Linux、Docker、Kubernetes等多环境无缝集成,提供Web UI和插件系统,可高效保护Web服务安全。
10万+ 次下载
8 天前更新
bunkerity/bunkerweb-all-in-one
bunkerity
暂无描述
1 次收藏1万+ 次下载
8 天前更新
bunkerity/bunkerweb-autoconf
bunkerity
BunkerWeb的自动配置助手 🛡️,作为下一代开源Web应用防火墙(BunkerWeb)的辅助工具,可监听Docker事件并实时自动配置BunkerWeb,无需重建容器,简化多站点保护和动态环境下的WAF配置管理。
5万+ 次下载
8 天前更新
bunkerity/bunkerweb-api
bunkerity
BunkerWeb API service.
1万+ 次下载
8 天前更新
bunkeriot/bunkerm
bunkeriot
BunkerM: All-in-one Mosquitto MQTT broker with Web UI, dynamic security, RBAC, monitoring & API.
1 次收藏1万+ 次下载
5 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"