网关-Nginx禁止通过IP访问,允许域名访问

本文涉及的产品
.cn 域名,1个 12个月
简介: Nginx开启域名访问模式,屏蔽通过IP访问

nginx

1. 背景

近期因为信息安全方面的要求,安全部门提出我们的对公服务,要屏蔽来自 IP 地址的访问。我们接到这个需求,分析出要在反向代理服务器上设置禁止通过 IP 地址来访问服务,只允许通过域名的访问。

2. 现状

因为我们的对公服务域名有多个,而且域名,因为当初建设过程中,没考虑冗余,都配置成同城同机房一组外网服务器进行转发,所以这些域名都对应同一个公网 IP

3. 问题分析

提前补充一点网络的小知识,通过IP访问 与 通过 域名访问的区别就在于 HTTP 请求头信息中的 Host 值。我们在反向代理软件中,只要校验 Host 属性与我们自身域名不相同,则直接给我们的错误代码。

  • 域名访问

通过域名访问

  • IP访问

通过IP访问

3.1. 多域名

我们域名比较多,但是 NginxLua 语法不支持多重判断。所这里这里可以使用多个条件语句。

3.2. 多监听

此处没法绕过,只能挨个 server 配置,如果有更好的办法,欢迎请在留言处指明。

4. Nginx版本

此次演示是基于 1.21.6 的版本来操作。


-rwxrwxr-x 1 kejie kejie 6133152 Jun 10 20:28 nginx
[kejie@portal-apptest8 sbin]$ ./nginx -v
nginx version: nginx/1.21.6

5. 实现方案

由于 Nginx 语法特殊性,写法也有不同,下来主要就两种方式来说明实现方案。

5.1. 传统方式

Nginx 通过 $host 来获取 HTTP 中的 Host 属性,对 $host 内容进行判定即可。


http {
    include mime.types;
    default_type application/octet-stream;
    sendfile on;
    keepalive_timeout 65;

    server {
        listen 80;
        server_name _;

        set $flag 0;
        if ($host ~* ^cia* ) {
             set $flag "1${flag}";
         }
         if ($host ~* ^mo* ) {
             set $flag "1${flag}";
         }
         if ($flag !~* ^1* ) {
             return 403;
         }
    }
}

这种方式,就是堆叠 if 语句,客观性和拓展性不够好。适用于临时应急方案。

5.2. 正则方式

既然传统方式不够友好,那需要考虑其他实现方案。通过观察,我们域名都有一定的特点,如后缀都是 cia.com.cn 。所以这里考虑使用正则表达式。

只要是 server_name 中的域名都是以 cia.com.cn 结尾的都是放行,最终配置如下:


http {
    include mime.types;
    default_type application/octet-stream;
    sendfile on;
    keepalive_timeout 65;

    server {
        listen 80;
        server_name ~^(.+).cia.com.cn$;;
    }
}
目录
相关文章
|
23天前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
66 3
|
25天前
|
运维 监控 安全
在实际应用中,如何选择基于不同域名还是不同 IP 进行代理多服务的配置?
综上所述,在实际应用中选择基于不同域名还是不同 IP 进行代理多服务的配置,需要根据具体的业务需求、可扩展性、性能、安全性以及维护和管理成本等多方面因素进行综合考虑,权衡利弊,选择最适合自己系统架构和运营需求的配置方式。
|
1月前
|
域名解析 网络协议 前端开发
浏览器输入域名网址访问后的过程详解
1、以91处理网为例,客户端浏览器通过DNS解析到www.91chuli.com,IP地址是202.108.22.5,通过这个IP地址找到客户端到服务器的路径。客户端浏览器发起一个HTTP会话到202.108.22.5,然后通过TCP进行封装数据包,输入到网络层。
55 2
|
26天前
|
安全 数据建模 测试技术
只有ip没有域名怎么申请SSL
在没有域名只有IP地址的情况下,仍可申请SSL证书。需确保拥有固定公网IP地址和服务器管理权限,选择支持IP SSL证书的CA(如JoySSL),完成注册、购买、验证、安装和测试等步骤,实现HTTPS加密访问。注意证书有效期、兼容性和安全性。
|
2月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
2月前
|
存储 Kubernetes 负载均衡
基于Ubuntu-22.04安装K8s-v1.28.2实验(四)使用域名访问网站应用
基于Ubuntu-22.04安装K8s-v1.28.2实验(四)使用域名访问网站应用
33 1
|
3月前
|
网络协议 安全
网络中IP地址与域名系统
网络中IP地址与域名系统
64 3
|
2月前
|
域名解析 缓存 网络协议
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
|
2月前
|
安全 5G 网络性能优化
|
3月前
|
监控 负载均衡 安全
微服务(五)-服务网关zuul(一)
微服务(五)-服务网关zuul(一)