Apache基于規(guī)則的訪問(wèn)控制
Apache提供了許多工具�,允許管理員控制對(duì)服務(wù)器提供的特定資源的訪問(wèn)。 您可能已經(jīng)熟悉基于身份驗(yàn)證的訪問(wèn)控制�����,這需要訪問(wèn)者在訪問(wèn)資源之前對(duì)服務(wù)器進(jìn)行身份驗(yàn)證��。
相比之下��,Apache的基于規(guī)則的訪問(wèn)控制允許您指定哪些訪問(wèn)者在非常細(xì)微的級(jí)別訪問(wèn)哪些資源�����。 您可以創(chuàng)建規(guī)則�����,阻止來(lái)自Web服務(wù)器的指定IP范圍���,或者訪問(wèn)特定資源��,甚至訪問(wèn)特定的虛擬主機(jī)。
基于規(guī)則的訪問(wèn)控制的最基本的使用是對(duì)通過(guò)網(wǎng)絡(luò)連接可訪問(wèn)的資源施加嚴(yán)格的限制����。 在默認(rèn)Apache配置中�,Web服務(wù)器拒絕所有用戶(hù)訪問(wèn)系統(tǒng)上的所有文件。 然后Apache允許管理員允許訪問(wèn)特定資源���。
這些訪問(wèn)規(guī)則的附加用途包括阻止惡意流量的特定IP范圍���,并且在許多其他可能性中將對(duì)給定資源或資源組的訪問(wèn)限制為“內(nèi)部用戶(hù)”。
基于規(guī)則的?問(wèn)控制的示例
下面是一個(gè)基本規(guī)則的例子:
Order Deny,Allow
Deny from all
Allow from 192.168.2.101
Order Deny,Allow指令告訴Web服務(wù)器在Allow規(guī)則之前應(yīng)該處理“Deny”規(guī)則��。
Deny from all指令告訴Web服務(wù)器所有用戶(hù)被拒絕訪問(wèn)給定資源�����。 此規(guī)則優(yōu)先執(zhí)行��。
Allow from指令告訴Web服務(wù)器應(yīng)該允許源自IP地址192.168.2.101的請(qǐng)求���。 這是最后處理��,并表示拒絕所有規(guī)則的例外�����。
簡(jiǎn)而言之�,除192.168.2.101之外的所有主機(jī)都被拒絕訪問(wèn)此資源。
其他訪問(wèn)控制規(guī)則
您可以通過(guò)修改和擴(kuò)展上面的示例為資源指定精細(xì)的訪問(wèn)控制規(guī)則�。 以下注釋和建議提供了對(duì)這些訪問(wèn)控制系統(tǒng)可能實(shí)現(xiàn)的一些更高級(jí)功能的深入了解。
控制指定范圍IP的訪問(wèn)
如果要控制指定范圍IP地址的訪問(wèn)��,而不是單個(gè)地址����,Apache允許使用以下語(yǔ)法:
Order Deny,Allow
Deny from all
Allow from 192.168
Allow from 10
上述語(yǔ)句允許以192.168和10開(kāi)頭的所有地址���。這些IP范圍通常保留給本地網(wǎng)絡(luò)��,不是公共可路?地址����。 如果使用這些訪問(wèn)控制規(guī)則�����,將只允許來(lái)自本地的流量��。
這是訪問(wèn)規(guī)則的另一個(gè)示例:
Order Allow,Deny
Allow from all
Deny from 185.201.1
此規(guī)則允許任何人訪問(wèn)給定資源,然后拒絕以185.201.1開(kāi)頭的所有IP地址的訪問(wèn)��。 此語(yǔ)句將覆蓋源自185.201.1.0到185.201.1.255的IP地址范圍的所有流量���。
當(dāng)創(chuàng)建訪問(wèn)控制規(guī)則時(shí)��,特別是那些使用Allow from all指令的規(guī)則����,應(yīng)該非常確定這些指令位于正確的上下文中�。
高級(jí)訪問(wèn)控制
盡管基于IP地址設(shè)置訪問(wèn)控制規(guī)則是控制訪問(wèn)的最簡(jiǎn)單的方法,但Apache提供了許多其他方法����。
首先,Apache允許管理員根據(jù)請(qǐng)求者的主機(jī)名來(lái)允許或拒絕訪問(wèn)����。 這會(huì)強(qiáng)制Apache對(duì)執(zhí)行請(qǐng)求的主機(jī)名執(zhí)行反向DNS(rDNS)查找,然后根據(jù)此信息允許或拒絕訪問(wèn)�。 考慮這個(gè)例子:
Order Deny,Allow
Deny from all
Allow from hostname.example.com
Apache僅允許來(lái)自具有hostname.example.com的有效rDNS的計(jì)算機(jī)的請(qǐng)求訪問(wèn)此配置中的資源。
其次�����,可以在HTTP會(huì)話(huà)中圍繞環(huán)境變量構(gòu)建訪問(wèn)規(guī)則。 這允許您根據(jù)變量(例如瀏覽器(用戶(hù)代理)和引薦來(lái)源)允許和拒絕對(duì)資源的訪問(wèn)���。 讓我們來(lái)看下面的例子:
SetEnvIf Referer searchenginez.com search_traffic
Order Deny,Allow
Deny from all
Allow from env=search_traffic
此訪問(wèn)控制規(guī)則與Apache的mod_setenvif結(jié)合使用�。 首先�����,如果請(qǐng)求referrer匹配searchenginez.com��,則設(shè)置環(huán)境變量search_traffic�����。 接下來(lái)����,拒絕所有主機(jī)訪問(wèn)資源���。 最后����,設(shè)置了允許訪問(wèn)資源環(huán)境變量為search_traffic的請(qǐng)求�。 有關(guān)設(shè)置和使用?境變量的更多信息���,請(qǐng)參考mod_setenvif的官方Apache文檔。
