搜索
网站建设,网站优化,网络营销,app开发,小程序开发,全网营销

400-825-2717互联网开发&推广服务提供商

与我们合作

我们专注:网站策划设计、网络舆论监控、网站优化及网站营销、品牌策略与设计
主营业务:网站建设、移动端微信小程序开发、APP开发、网络运营、云产品·运维解决方案

有一个品牌项目想和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,这是一个良好的开始,我们将会尽快与您取得联系。当然也欢迎您给我们写信或是打电话,让我们听到您的声音

您也可通过下列途径与我们取得联系:

地 址: 上海市长宁区华宁国际7L

电 话: 400-825-2717(咨询专线)

电 话: 13054973230(售后客户服务)

网 址: http://www.56gw.net

传 真: 021-61488448

邮 箱: admin@wumujituan.com

快速提交您的需求 ↓

提升网站安全-访问限制篇

发布日期:2024-02-26 浏览次数:25758

提升网站安全

——访问限制篇——








运维圈里有句话说的好,“国内业务屏蔽海外访问,能解决你99%的问题”,这次我们就试着从这里了解一下网站访问限制的各种实现方式。






步:通过DNS解析厂商进行

一般情况下扫描器会针对域名进行扫描,我们可以在dns解析处做层防御,将海外线路解析为127.0.0.1,配置完成后海外扫描器就几乎都失效了。



以阿里云为例:



图片


第二步:通过Nginx进行限制


通过域名解析后下一步会进入CDN,WAF网站防火墙,硬件设备或直接通往源站,此时我们可以对请求进行更细的过滤,这里主要讲一下通过网站防火墙配置和Nginx配置。


1.地区访问限制


前面提到的是通过DNS解析来对域名进行禁海外访问,但如果攻击者使用IP来扫描就没办法了,所以我们需要在服务器或应用上进行限制。


Nginx实现根据/城市进行访问限制

Nginx使用模块ngx_http_geoip_module来实现对/城市访问限制



安装方式如下:


1.1 安装maxminddb library(geoip2扩展依赖)

Ubuntu debian


apt install libmaxminddb0 libmaxminddb-dev mmdb-bin

Centos


yum install libmaxminddb-devel -y

1.2 下载ngx_http_geoip2_module模块

进入root目录,然后克隆模块


cd root && git clone https://github.com/leev/ngx_http_geoip2_module.git

1.3 把模块编译到Nginx

手工编译方式


./configure --add-module=/root/ngx_http_geoip2_module

宝塔面板下nginx的编译方式

图片


1.4 下载Geoip数据库

模块安装成功后,还要在 Nginx 里指定数据库,位于 /usr/share/GeoIP/ 目录下,一个只有 IPv4,一个包含 IPv4 和 IPv6:

数据库地址:

cd /usr/local/share/GeoIP

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz

1.5 添加配置到Nginx主配置文件


geoip2 /usr/local/share/GeoIP/GeoLite2-Country.mmdb {$geoip2_data_country_code country iso_code;}map $geoip2_data_country_code $allowed_country { default yes; CN no; }

1.6 修改Nginx虚拟主机的配置文件,在server段内添加后重载nginx


if ($allowed_country = yes) { return 403; }

至此配置完成


另外一种方式是借用堡塔云WAF的【禁中国境外访问】功能


打开此开关即可

图片

拦截效果

图片


2.禁止IDC机房、服务器IP访问


通常情况下服务器IP并不是我们的客户,在这里推荐大家在没有接口业务的情况下禁止服务器IP访问。



堡塔云WAF的功能为例:


我们只需要在防护网站设置里开启禁止IDC访问即可达成,它还会自动放行真实爬虫以免影响网站收录。

图片


3.对用户上传目录进行严格限制,禁止访问可执行文件


这是黑客的主要渗透手段之一,在可上传文件的目录下传入后门文件,我们在禁止后即使他们成功传入也无法进行利用。



堡塔云WAF的功能为例:


配置禁止访问/file/upload目录下的所有以.php结尾的文件

图片

拦截效果

图片


恭喜您

图片

图片

如果您有经过上述配置,您的网站安全性又提高啦!

图片

图片


堡塔云WAF安装方式

堡塔云WAF需要占用80、443、33060端口,建议使用单独服务器部署,已经安装了宝塔面板的机器不支持安装云WAF。


GO 知识
查看经典案例

TOP

QQ客服

免费电话

微信咨询 在线咨询 免费电话
获取报价
您的称呼:

*

您的电话:

*

您的邮箱:

*

提交 重置
重要的事情,电话里聊

接通客服

不方便的时候线上咨询,在线等哦