bunkerity/bunkerweb-clamav

BunkerWeb

镜像概述和主要用途

BunkerWeb是下一代开源Web应用防火墙(WAF)，同时也是一个功能完备的Web服务器（基于NGINX）。它旨在保护Web服务，实现"安全默认"，可无缝集成到现有环境（Linux、Docker、Swarm、Kubernetes等），并提供全面的可配置性（包括Web UI）以满足不同使用场景。核心内置多种安全功能，并可通过插件系统轻松扩展，让网络安全不再成为负担。

核心功能和特性

为什么选择BunkerWeb？

• 轻松集成现有环境：支持Linux、Docker、Swarm、Kubernetes、Ansible、Vagrant等多种环境
• 高度可定制：可轻松启用、禁用和配置功能以满足特定使用场景
• 安全默认：提供开箱即用、无需额外配置的最小安全保障
• 直观Web UI：无需命令行即可高效管理所有功能
• 插件系统：可扩展以满足自定义需求
• 自由开源：基于AGPLv3许可协议

安全特性

BunkerWeb包含以下核心安全功能（非详尽列表）：

• HTTPS支持：集成Let's Encrypt自动证书管理
• 先进Web安全：HTTP安全头、防信息泄露、TLS强化等
• 集成ModSecurity WAF：包含OWASP核心规则集
• 异常行为自动封禁：基于HTTP状态码检测并封禁异常行为
• 客户端连接与请求限制：可配置连接数和请求频率限制
• 机器人防护：通过挑战机制（如Cookie、JavaScript、验证码、hCaptcha或reCAPTCHA）阻止机器人
• 已知*IP拦截**：整合外部黑名单和DNSBL
• 以及更多...

概念

集成方式

BunkerWeb的核心概念之一是与目标环境的集成，支持以下官方集成方式：

• Docker
• Docker autoconf
• Swarm
• Kubernetes
• Linux
• Ansible
• Vagrant

设置

BunkerWeb通过"设置"或"变量"进行配置，每个设置有唯一名称（如AUTO_LETS_ENCRYPT或USE_ANTIBOT），可分配值进行配置。示例配置：

conf
SERVER_NAME=www.example.com
AUTO_LETS_ENCRYPT=yes
USE_ANTIBOT=captcha
REFERRER_POLICY=no-referrer
USE_MODSECURITY=no
USE_GZIP=yes
USE_BROTLI=no

可通过config.bunkerweb.io生成配置。

多站点模式

多站点模式是BunkerWeb的关键概念，继承"虚拟主机"理念，支持单实例（或集群）保护多个Web应用：

• 默认禁用：仅保护一个Web应用，所有设置全局应用
• 启用时：保护多个Web应用，每个应用通过唯一服务器名标识并拥有独立设置

自定义配置

支持自定义NGINX配置（可在HTTP或服务器上下文包含）和ModSecurity配置（用于修复误报或添加自定义规则），以满足特定需求。

数据库

存储当前配置状态，支持的后端数据库：SQLite、MariaDB、MySQL和PostgreSQL，包含以下数据：

• 所有服务的设置
• 自定义配置
• BunkerWeb实例信息
• 任务执行元数据
• 缓存文件

调度器

BunkerWeb的"大脑"，负责：

• 将设置和自定义配置存储到数据库
• 执行各种任务（作业）
• 生成BunkerWeb可理解的配置
• 作为其他服务（如Web UI或autoconf）的中介

安装设置

Docker

提供适用于x64、x86、armv7和arm64平台的预构建镜像（Docker Hub：https://hub.docker.com/u/bunkerity%EF%BC%89%E3%80%82

核心概念：环境变量配置、调度器容器（存储配置和执行作业）、网络（暴露端口和连接上游服务）

Docker部署示例：

bash
# 创建网络
docker network create bunkerweb-network

# 启动调度器容器
docker run -d \
  --name bunkerweb-scheduler \
  --network bunkerweb-network \
  -v bunkerweb-data:/data \
  -e DATABASE_TYPE=sqlite \
  bunkerity/bunkerweb-scheduler:1.5.0

# 启动BunkerWeb容器
docker run -d \
  --name bunkerweb \
  --network bunkerweb-network \
  -p 80:8080 \
  -p 443:8443 \
  -v bunkerweb-data:/data \
  -e SERVER_NAME=www.example.com \
  -e AUTO_LETS_ENCRYPT=yes \
  -e USE_ANTIBOT=captcha \
  bunkerity/bunkerweb:1.5.0

Docker autoconf

解决环境变量配置需重建容器的问题，通过监听Docker事件实时自动重新配置BunkerWeb。配置通过Web应用容器的标签定义，无需为BunkerWeb容器设置环境变量。

Swarm

通过autoconf服务监听Docker Swarm事件（如服务创建/删除），实时配置BunkerWeb实例，无停机时间。配置通过以bunkerweb.为前缀的标签定义。

Kubernetes

autoconf作为Ingress控制器，根据Ingress资源配置BunkerWeb实例，同时监控ConfigMap等Kubernetes对象获取自定义配置。

Linux

支持的Linux发行版：Debian 11、Ubuntu 22.04、Fedora 37、RHEL 8.7。通过PackageCloud提供Linux包仓库，可使用bash脚本自动添加仓库。

Ansible

提供Ansible角色（Ansible Galaxy：bunkerity/bunkerweb），支持上述Linux发行版，实现自动化配置和部署。

Vagrant

提供适用于vmware_desktop、virtualbox、libvirt的Vagrant box，可直接使用。

快速入门指南

集成BunkerWeb后，可参考快速入门指南覆盖以下常见场景：

• 保护单个HTTP应用
• 保护多个HTTP应用
• 负载均衡器后获取客户端真实IP
• 添加自定义配置
• 保护通用TCP/UDP应用
• 与PHP结合使用

安全调优

BunkerWeb的安全特性通过设置配置，默认值确保基本"安全默认"，建议根据需求调优以达到所需安全级别并管理误报。

设置

可通过config.bunkerweb.io生成设置。多站点模式下，特定服务器的设置需添加主服务器名作为前缀（如www.example.com_USE_ANTIBOT=captcha）。"多组"设置可通过数字后缀创建多个配置组（如REVERSE_PROXY_URL_1=/subdir、REVERSE_PROXY_HOST_1=http://myhost1）。

完整设置列表见文档。

Web UI

Web UI是一个用户友好的管理界面，功能包括：

• 启动、停止、重启和重载BunkerWeb实例
• 添加、编辑和删除Web应用设置
• 添加、编辑和删除NGINX与ModSecurity自定义配置
• 安装和卸载外部插件
• 浏览缓存文件
• 监控作业执行
• 查看和搜索日志

插件

BunkerWeb通过插件系统扩展功能，安装后可通过插件定义的额外设置进行管理。官方维护的插件列表：

支持

专业服务

提供与BunkerWeb相关的专业服务：咨询、支持、定制开发、合作。联系***：***。

社区支持

免费社区支持渠道：

• ***服务器的#help频道（邀请链接）
• GitHub Discussions的help分类（https://github.com/bunkerity/bunkerweb/discussions%EF%BC%89
• Reddit子版块：/r/BunkerWeb
• Server Fault和Super User论坛

许可

本项目基于https://github.com/bunkerity/bunkerweb/tree/1.5.0/LICENSE.md%E8%AE%B8%E5%8F%AF%E3%80%82

贡献与安全政策

贡献请参考https://github.com/bunkerity/bunkerweb/tree/1.5.0/CONTRIBUTING.md%E3%80%82%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E8%AF%B7%E9%81%B5%E5%BE%AAhttps://github.com/bunkerity/bunkerweb/tree/1.5.0/SECURITY.md%E8%BF%9B%E8%A1%8C%E8%B4%9F%E8%B4%A3%E4%BB%BB%E6%8A%AB%E9%9C%B2%E3%80%82