- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會(huì )理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務(wù)機構許可:滇D3-20230001
- 代理域名注冊服務(wù)機構:新網(wǎng)數碼
Apache提供了許多工具,允許管理員控制對服務(wù)器提供的特定資源的訪(fǎng)問(wèn)。 您可能已經(jīng)熟悉基于身份驗證的訪(fǎng)問(wèn)控制,這需要訪(fǎng)問(wèn)者在訪(fǎng)問(wèn)資源之前對服務(wù)器進(jìn)行身份驗證。
相比之下,Apache的基于規則的訪(fǎng)問(wèn)控制允許您指定哪些訪(fǎng)問(wèn)者在非常細微的級別訪(fǎng)問(wèn)哪些資源。 您可以創(chuàng )建規則,阻止來(lái)自Web服務(wù)器的指定IP范圍,或者訪(fǎng)問(wèn)特定資源,甚至訪(fǎng)問(wèn)特定的虛擬主機。
基于規則的訪(fǎng)問(wèn)控制的最基本的使用是對通過(guò)網(wǎng)絡(luò )連接可訪(fǎng)問(wèn)的資源施加嚴格的限制。 在默認Apache配置中,Web服務(wù)器拒絕所有用戶(hù)訪(fǎng)問(wèn)系統上的所有文件。 然后Apache允許管理員允許訪(fǎng)問(wèn)特定資源。
這些訪(fǎng)問(wèn)規則的附加用途包括阻止惡意流量的特定IP范圍,并且在許多其他可能性中將對給定資源或資源組的訪(fǎng)問(wèn)限制為“內部用戶(hù)”。
下面是一個(gè)基本規則的例子:
Order Deny,Allow Deny from all Allow from 192.168.2.101
Order Deny,Allow指令告訴Web服務(wù)器在A(yíng)llow規則之前應該處理“Deny”規則。
Deny from all指令告訴Web服務(wù)器所有用戶(hù)被拒絕訪(fǎng)問(wèn)給定資源。 此規則優(yōu)先執行。
Allow from指令告訴Web服務(wù)器應該允許源自IP地址192.168.2.101的請求。 這是最后處理,并表示拒絕所有規則的例外。
簡(jiǎn)而言之,除192.168.2.101之外的所有主機都被拒絕訪(fǎng)問(wèn)此資源。
其他訪(fǎng)問(wèn)控制規則
您可以通過(guò)修改和擴展上面的示例為資源指定精細的訪(fǎng)問(wèn)控制規則。 以下注釋和建議提供了對這些訪(fǎng)問(wèn)控制系統可能實(shí)現的一些更高級功能的深入了解。
控制指定范圍IP的訪(fǎng)問(wèn)
如果要控制指定范圍IP地址的訪(fǎng)問(wèn),而不是單個(gè)地址,Apache允許使用以下語(yǔ)法:
Order Deny,Allow Deny from all Allow from 192.168 Allow from 10
上述語(yǔ)句允許以192.168和10開(kāi)頭的所有地址。這些IP范圍通常保留給本地網(wǎng)絡(luò ),不是公共可路?地址。 如果使用這些訪(fǎng)問(wèn)控制規則,將只允許來(lái)自本地的流量。
這是訪(fǎng)問(wèn)規則的另一個(gè)示例:
Order Allow,Deny Allow from all Deny from 185.201.1
此規則允許任何人訪(fǎng)問(wèn)給定資源,然后拒絕以185.201.1開(kāi)頭的所有IP地址的訪(fǎng)問(wèn)。 此語(yǔ)句將覆蓋源自185.201.1.0到185.201.1.255的IP地址范圍的所有流量。
當創(chuàng )建訪(fǎng)問(wèn)控制規則時(shí),特別是那些使用Allow from all指令的規則,應該非常確定這些指令位于正確的上下文中。
高級訪(fǎng)問(wèn)控制
盡管基于IP地址設置訪(fǎng)問(wèn)控制規則是控制訪(fǎng)問(wèn)的最簡(jiǎn)單的方法,但Apache提供了許多其他方法。
首先,Apache允許管理員根據請求者的主機名來(lái)允許或拒絕訪(fǎng)問(wèn)。 這會(huì )強制Apache對執行請求的主機名執行反向DNS(rDNS)查找,然后根據此信息允許或拒絕訪(fǎng)問(wèn)。 考慮這個(gè)例子:
Order Deny,Allow Deny from all Allow from hostname.example.com
Apache僅允許來(lái)自具有hostname.example.com的有效rDNS的計算機的請求訪(fǎng)問(wèn)此配置中的資源。
其次,可以在HTTP會(huì )話(huà)中圍繞環(huán)境變量構建訪(fǎng)問(wèn)規則。 這允許您根據變量(例如瀏覽器(用戶(hù)代理)和引薦來(lái)源)允許和拒絕對資源的訪(fǎng)問(wèn)。 讓我們來(lái)看下面的例子:
SetEnvIf Referer searchenginez.com search_traffic
Order Deny,Allow
Deny from all
Allow from env=search_traffic
此訪(fǎng)問(wèn)控制規則與Apache的mod_setenvif結合使用。 首先,如果請求referrer匹配searchenginez.com,則設置環(huán)境變量search_traffic。 接下來(lái),拒絕所有主機訪(fǎng)問(wèn)資源。 最后,設置了允許訪(fǎng)問(wèn)資源環(huán)境變量為search_traffic的請求。 有關(guān)設置和使用?境變量的更多信息,請參考mod_setenvif的官方Apache文檔。
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP