bunkerity/bunkerweb-scheduler Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

BunkerWeb

镜像概述和主要用途

BunkerWeb是一款下一代开源Web应用防火墙(WAF)，同时也是全功能Web服务器（基于NGINX）。它旨在通过"安全默认"机制保护Web服务，可无缝集成到现有环境（Linux、Docker、Kubernetes等），并支持灵活配置以满足不同使用场景。无论是单应用还是多站点部署，BunkerWeb都能提供开箱即用的安全防护，同时通过Web UI简化管理流程。

核心功能和特性

主要特性

• 多环境集成：支持Docker、Docker autoconf、Swarm、Kubernetes、Linux、Ansible、Vagrant等多种环境
• 安全默认配置：内置基础安全防护，无需复杂配置即可启用核心安全功能
• 高度可定制：通过环境变量或设置灵活启用/禁用功能，适应不同安全需求
• Web管理界面：提供直观的Web UI，支持配置管理、日志查看、插件管理等操作
• 插件系统：支持扩展功能，如 antivirus 扫描、第三方WAF集成、安全通知等
• 多站点模式：支持单实例保护多个Web应用，每个站点可独立配置

核心安全功能

• HTTPS自动化：支持Let's Encrypt自动证书申请与更新
• Web安全防护：HTTP安全头、TLS硬化、防止信息泄露等
• ModSecurity集成：内置OWASP Core Rule Set规则集
• 异常行为拦截：基于HTTP状态码自动封禁异常客户端
• 连接与请求限制：限制客户端连接数和请求频率
• 机器人防护：支持Cookie、JavaScript、Captcha、hCaptcha、reCAPTCHA等挑战机制
• ***IP拦截：集成外部黑名单和DNSBL

使用场景和适用范围

适用场景

• 保护单页应用(SPA)、CMS系统（如WordPress）、电商平台等Web应用
• 为Docker/Kubernetes环境中的微服务提供统一WAF防护
• 需满足合规要求（如PCI-DSS）的Web服务
• 多站点服务器的集中安全管理
• 对Web***（SQL注入、XSS等）进行防护

适用用户

• 系统管理员和DevOps工程师
• Web开发团队
• 安全运维人员
• 需要简化Web安全配置的中小企业

使用方法和配置说明

Docker部署示例

基本Docker Compose配置

以下是保护单个Web应用的docker-compose.yml示例：

yaml
version: '3'

services:
  bunkerweb:
    image: bunkerity/bunkerweb:1.5.4
    ports:
      - "80:8080"
      - "443:8443"
    environment:
      - SERVER_NAME=[***]
      - AUTO_LETS_ENCRYPT=yes
      - USE_ANTIBOT=captcha
      - REFERRER_POLICY=no-referrer
      - REVERSE_PROXY_URL=/
      - REVERSE_PROXY_HOST=[***]
    networks:
      - bw-network
    depends_on:
      - scheduler
      - webapp

  scheduler:
    image: bunkerity/bunkerweb-scheduler:1.5.4
    environment:
      - DATABASE_URI=sqlite:////data/db.sqlite3
    volumes:
      - bw-data:/data
    networks:
      - bw-network

  webapp:
    image: nginx:alpine
    networks:
      - bw-network

networks:
  bw-network:

volumes:
  bw-data:

关键环境变量说明

• SERVER_NAME：服务器名称，多个域名用空格分隔
• AUTO_LETS_ENCRYPT：是否自动申请Let's Encrypt证书（yes/no）
• USE_ANTIBOT：启用反机器人机制（none/cookie/javascript/captcha/hcaptcha/recaptcha）
• REVERSE_PROXY_URL：反向代理路径（如/）
• REVERSE_PROXY_HOST：上游Web服务地址（如[***]

多站点模式配置

在多站点模式下，需为每个站点添加服务器名前缀配置：

yaml
environment:
  - MULTISITE=yes
  - SERVER_NAME=[***] app.example.com
  - [***]
  - app.example.com_AUTO_LETS_ENCRYPT=yes
  - [***][***]
  - app.example.com_REVERSE_PROXY_HOST=[***]

自定义配置

可通过挂载文件添加自定义NGINX或ModSecurity规则：

yaml
volumes:
  - ./custom-nginx.conf:/etc/bunkerweb/custom/http.conf:ro
  - ./modsec-custom.conf:/etc/bunkerweb/modsec/custom.conf:ro

配置参数说明

常用全局设置

多值参数

部分参数支持多组配置，通过数字后缀区分：

yaml
environment:
  - REVERSE_PROXY_URL_1=/blog
  - REVERSE_PROXY_HOST_1=[***]
  - REVERSE_PROXY_URL_2=/forum
  - REVERSE_PROXY_HOST_2=[***]

Web UI使用

BunkerWeb提供Web管理界面，支持以下功能：

• 启动/停止/重启BunkerWeb实例
• 添加/编辑/删除Web应用配置
• 管理自定义NGINX和ModSecurity规则
• 安装/卸载插件
• 查看缓存文件和任务执行日志
• 搜索和过滤日志

可通过设置WEBUI_USERNAME和WEBUI_PASSWORD启用Web UI访问。

插件系统

BunkerWeb支持插件扩展，官方插件包括：

• ClamAV：扫描上传文件是否包含***软件
• Coraza：集成Coraza WAF（ModSecurity替代方案）
• CrowdSec：CrowdSec bouncer集成，拦截已知***IP
• /Slack：安全事件通知到/Slack频道
• VirusTotal：通过VirusTotal API扫描上传文件
• WebHook：发送安全通知到自定义HTTP端点

插件可通过Web UI或配置文件安装，具体使用方法参见官方文档。

官方资源

• 网站：[***]
• 文档：[***]
• 演示：[***]
• 配置生成器：[***]
• 社区支持：***服务器、GitHub讨论区

许可证

BunkerWeb采用GNU Affero General Public License v3.0 (AGPLv3)许可证开源。