Apache Web服务器访问控制设置方法

一、源站访问控制描述

源站访问控制是在源服务器上设置访问控制,只允许云防御IP访问,云防御和源站联动提高防护安全性的方法。

接入知道创宇云防御平台后,经过云防御的攻击知道创宇均会按防御级别拦截,但因源站 IP 在接入前已经暴露过,存在攻击者已经获取到源站 IP 可直接攻击源服务器的风险。因此知道创宇建议如有条件可在接入云防御后将源站服务器 IP 更换为未暴露过的IP地址,如果不具备变更源站 IP 条件,建议尽量设置访问控制,即仅允许云防御集群 IP 访问源站,最大程度保障源服务器的安全。

二、获取云防御集群IP

知道创宇云防御共有6242个节点集群,每个集群背后均有多台服务器作为支撑,根据节点性能负载情况,知道创宇云防御会不定期为您选择最优节点集群。获取云防御集群IP时可登录云防御控制台,点击购买的产品,下拉框中点击【功能管理】,选择【通用设置】,进入【查看节点IP】中获取。

三、配置指导

通常修改站点配置文件/etc/httpd/conf/httpd.conf,如果网站配置在其它目录或文件中,修改时需与网站管理员核实,以对应配置文件情况为准。

1.配置示例:

在Apache配置文件中找到对应网站的配置,并搜索文件中是否存在Order deny,Allow,若不存在可重新创建配置内容,若存在直接修改即可。

比如云防御的节点组有两组,分别是 1.1.1.0 ~ 1.1.1.255和2.2.2.0 ~ 2.2.2.255,那么配置allow from 1.1.1.0/24就代表允许整个IP地址C段访问,而deny from all代表除以上外,对其它IP地址均不允许访问。

<Directory  “您的网站根目录路径”>

Options Indexes FollowSymLinks

AllowOverride None

Order deny,allow

Allow from 1.1.1.0/24

Allow from 2.2.2.0/24

Deny from All

</Directory>

注意:设置时,节点IP请以云防御官网公布的最新节点IP为准,并将上面的网站根目录路径修改为实际路径,设置完成后,重启Apache生效。

2.验证策略是否生效:仅Allow的IP地址(云防御节点)可请求成功,其他IP地址请求均返回403拒绝。

a.修改本地Host文件,指定域名解析到源站IP。

b.访问该域名时若出现以下报错则策略生效,若可正常访问网站则策略有误,建议核实配置情况。

四、其他服务器

1.常见服务器设置方法可参考:【IIS】、【Nginx】、【Iptables】、【Tomcat】、【阿里云】、【腾讯云】。

2.除上述WEB 服务器和防火墙的其他设备建议参考厂商官方指导配置或联系厂商技术支持协助。