Ограничение доступа по ip: Ограничение доступа по IP-адресу — RU-CENTER

Содержание

Ограничить доступ пользователя по IP-адресу

Чтобы никто посторонний не получил доступ к кабинету компании, установите ограничение на вход только с определенных IP-адресов. В этом случае, если кто-то попытается войти в СБИС с постороннего адреса, он будет заблокирован. Укажите:

одиночный IP-адрес — один или несколько адресов разрешенных устройств, например: 192.168.1.50;
маску IP-адреса — если компьютеры связаны по локальной сети и интернет работает через прокси-сервер, то IP-адрес берется из общей части диапазона адресов;
диапазон IP-адресов — если IP-адреса компьютеров составляют последовательный ряд адресов, то указывается их диапазон. Например, 192.168.1.0-192.168.1.255.

Узнать диапазон IP-адресов можно у интернет-провайдера.

Для всех пользователей

На главной странице нажмите «Конфигурация» и перейдите в раздел «Система и безопасность/Политка безопасности».
Перейдите на вкладку «IP-адреса и сети» и в строке «Диапазоны разрешенных IP-адресов» нажмите .
Укажите IP-адрес и нажмите «Сохранить».

Настройка будет работать при следующей авторизации. Текущие сессии автоматически завершены не будут, но вы можете это сделать вручную.

Вход в СБИС будет доступен с тех устройств, чьи IP-адреса входят в разрешенный диапазон или указаны в доверенных сетях.

Для конкретных сотрудников

Откройте карточку сотрудника для редактирования.
На вкладке «Права и подписи» в блоке «IP-адреса» установите ограничение — «Вход разрешен только с указанных IP-адресов».
Нажмите и укажите IP, диапазон адресов или маску. Если хотите указать адреса, для которых не требуется двухфакторная аутентификация, установите флаг «Доверенная сеть».

Сотрудник сможет войти в СБИС с устройства, которое использует указанный IP-адрес.

Чтобы посмотреть, с каких устройств работал сотрудник, нажмите .

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

Как ограничить доступ по IP адресам

Иногда возникает необходимость ограничить доступ к каналам определенным IP адресам.
Или наоборот, разрешать доступ к каналу только определенному списку IP. Эту задачу можно решить с помощью бэкенда, собранного с помощью конструктора бэкендов.

С помощью конфигуратора можно настроить очень гибкие схемы авторизации. На этой странице приведем примеры как заблокировать определенные IP-адреса, или наоборот, пустить мимо системы авторизации.
Это может быть полезно для систем мониторинга.

Все правила, описанные далее, могут быть применены к потоку или глобально.

stream example_stream {
  url fake://fake;
  auth auth://blacklist;
}

Где blacklist — имя одного из настроенных бэкендов. Конечно же, вы можете создать более одного авторизационного правила.

Заблокировать

Вся настройка происходит через /etc/flussonic/flussonic.conf.

auth_backend blacklist {
  deny ip 1.1.1.1;
  deny ip 2.2.2.2;
  deny ip 10.10/16;
  allow default;
}

Это правило запрещает просмотр с двух определенных адресов (1.1.1.1, 2.2.2.2) и целой подсети (10.10.0.0/16).

Строка allow default; означает, что по умолчанию нужно всем разрешать просмотр, кроме адресов, перечисленных в deny. Подробнее об опции

Разрешить

auth_backend whitelist {
  allow ip 192.168.0/24;
  allow ip 10.10/16;
  allow ip 8.8.8.8;
}

Это правило разрешает просмотр только из указанных сетей и конкретного IP-адреса. Остальные соединения будут блокироваться.

auth_backend multi {
  allow ip 192.168.0/24;
  backend http://examplehost/stalker_portal/server/api/chk_flussonic_tmp_link.php;
}

Это правило разрешает просмотр из локальной сети, а остальные обращения через IPTV Middleware.

Как заблокировать доступ к сайту по IP | REG.RU

Блокировка доступа к сайту по ip для хостинга Linux

Добавьте в файл .htaccess, находящийся в корневой папке сайта, следующие строки:

Order Allow,Deny
Allow from all
Deny from 123.123.123.123
Deny from 122.122.122.122

где 123.123.123.123, 122.122.122.122 — IP-адреса, для которых запрещается доступ к сайту.

Узнать больше о методе блокировки.

Блокировка подсети IP для хостинга Linux

Если вам нужно заблокировать не отдельные IP-адреса, а подсеть IP-адресов (некий диапазон), сначала определите нужное значение с помощью безклассовой адресации CIDR (калькулятор IP-диапазона в CIDR):

Затем добавьте в файл .htaccess, находящийся в корневой папке сайта, следующие строки:

Order Deny,Allow
Deny from 123.123.0.0/26

где 123.123.0.0/26 — подсеть IP, которую вам нужно заблокировать.

Блокировка доступа к сайту по ip для хостинга Windows

Добавьте в файл web.config, находящийся в корневой папке сайта, следующие строки:

<?xml version="1.(.*)$" ignoreCase="false" />
                    <conditions logicalGrouping="MatchAll">
                        <add input="{REMOTE_ADDR}" pattern="123.123.123.123" ignoreCase="false" negate="false" />
                    </conditions>
                    <action type="CustomResponse" statusCode="403"
                                                    subStatusCode="0"
                                                    statusReason="Forbidden"
                                                    statusDescription="Forbidden" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

где 123.123.123.123 — IP-адрес, для которого запрещается доступ к сайту.

Помогла ли вам статья?

78
раз уже
помогла

Ограничение доступа к сайту по IP — VPS.ua Wiki

Для ограничения доступа к сайту по IP адресу посетителя необходимо в корневой каталог хоста добавить файл .htaccess со следующими инструкциями:

Order Allow,Deny
Allow from All
Deny from X.X.X.X

где X.X.X.X – IP адрес посетителя.

Первой строкой задаётся порядок обработки инструкций разрешения доступа (Allow) и запрета доступа (Deny). После этого, при обработке инструкций вебсервером, доступ сначала разрешается всем посетителям, а потом запрещается посетителю с указанным IP.

Другим способом решения задачи ограничения доступа к сайту является предоставление доступа только предварительно зарегистрированным посетителям. В данном случае администратору сайта будет необходимо создавать «аккаунты» посетителей (имя пользователя и пароль), которым разрешено заходить на сайт, и сообщать им детали доступа.

Сделать это можно следующим образом. Сначала в файл .htaccess, расположенный в корневой директории хоста, добавляется инструкция:

AuthName "Off limits to unauthorized visitors"
AuthType Basic
AuthUserFile /var/www/html/domains/mydomain.com/.htpasswd
require valid-user

Разберём каждую строчку.

AuthName – предупреждение, которое будут получать пользователи до прохождения процедуры авторизации на сайте.

AuthType – тип авторизации. Обычно достаточно типа Basic.

AuthUserFile – полный путь к файлу (от /), в котором будут храниться имена пользователей и пароли (пароли – в зашифрованном виде). Данный файл принято называть .htpasswd, но использование этого имени совсем необязательно.

reqire valid-user – данная инструкция разрешает доступ тем посетителям, которые верно указали свои имя и пароль.

После этого создаём сам файл .htpasswd (ключ –c в команде ниже) и сразу же добавляем пользователя (например, 1user1).

htpasswd -c .htpasswd 1user1

Далее утилита htpasswd попросит указать и подтвердить пароль для нового пользователя. На этом создание файла .htpasswd и добавление в него первого пользователя заканчивается. Для добавления новых пользователей достаточно выполнить следующую команду:

htpasswd .htpasswd 2user2

Примеры использования правил межсетевого экрана (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «Примеры использования правил межсетевого экрана».

Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран. В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана.

В данной статье приведем практические примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic.
Теорию и подробное описание работы с межсетевым экраном в интернет-центрах серии Keenetic можно найти в статье: «Описание работы с межсетевым экраном»

Рассмотрим следующие примеры:

Внимание! Для запрета доступа в Интернет в правилах сетевого экрана мы будем указывать протокол передачи данных TCP, т.к. Интернет построен на базе сетевых протоколов передачи данных TCP/IP.

Пример 1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ.

В данном примере нужно создать два правила для интерфейса локальной сети Home network.
Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.

Затем создаем запрещающее правило, в котором указываем в качестве IP-адреса источника подсеть (192.168.1.0 c маской 255.255.255.0) и тип протокола TCP.

Предупреждение! Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.

Пример 2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети.

В данном примере нужно создать одно правило для интерфейса локальной сети Home network.

Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP.

Пример 3. Заблокировать доступ к определенному веб-сайту из локальной сети.

В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту социальной сети знакомств Love.Ru

Внимание! В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.

В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др).

Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup <имя веб-сайта>
Например, в командной строке операционной системы выполним команду nslookup love.ru

Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт использует 4 IP-адреса).

Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru).
В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку Проверить. После этого вы увидите все IP-адреса, на которых работает сайт.

Теперь, выяснив IP-адреса веб-сайта, можно приступать к созданию правил межсетевого экрана.

Внимание! Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.

Так как в нашем примере сайт использует 4 IP-адреса, создадим для интерфейса локальной сети Home network 8 правил для блокировки трафика по протоколам: 4 для HTTP и 4 для HTTPS.
Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).

Пример 4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту.

В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.1.40 доступ только к веб-сайту свободной энциклопедии Википедия. Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.

Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной статьи.

В данном примере нужно создать три правила для интерфейса локальной сети Home network.

Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.

Затем создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP (для блокирования Интернета).

Пример 5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам).

Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь остальной трафик заблокируем.

В данном примере нужно создать правила для интерфейса локальной сети Home network.

Сначала создаем разрешающие правила, в которых указываем значение Любой в полях IP-адрес источника и IP-адрес назначения, а в поле Протокол выбираем из списка нужный тип протокола (сервиса или службы).

А затем создаем два запрещающих правила, в которых указываем значение Любой в полях IP-адрес источника и IP-адрес назначения, а в поле Протокол значение TCP и UDP для блокирования доступа в Интернет.

Обращаем ваше внимание, что для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53, UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).

В нашем примере получился следующий набор правил сетевого экрана:

Пример 6. Разрешить удаленное управление интернет-центром.

Внимание! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.

Доступ к устройству из Интернета возможен только при наличии «белого» публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети. Желательно, чтобы это был статический или постоянный IP-адрес. Если же IP-адрес для выхода в Интернет динамический (т.е. меняется каждый раз при новом соединении с провайдером), нужно воспользоваться сервисом динамического DNS (дополнительная информация представлена в статье «Настройка и использование сервиса динамического DNS от No-IP»).

В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).
В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).

В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 93.94.95.96).

Внимание! Не открывайте доступ к веб-конфигуратору интернет-центра и не разрешайте выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.

В нашем примере нужно создать правила для интерфейса внешней сети Broadband connection (ISP). Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).

Создаем разрешающее правило, в котором указываем в поле IP-адрес источника (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле Протокол выбираем TCP/80 (HTTP).

Затем создаем аналогичное правило, только для протокола ICMP (для работы утилиты ping).

Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.

Обращаем ваше внимание, что в веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра в окне Системный монитор на вкладке Система в поле Адрес IPv4). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://89.88.87.86).

Пример 7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети.

Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов.
Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.

В данном случае на внешнем интерфейсе интернет-центра (через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.

Создайте запрещающие правила для трафика TCP/UDP/ICMP(пинг), где в качестве IP-адреса источника нужно установить значение Подсеть и указать номер подсети и маску.

Обращаем ваше внимание, что при использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).

Примечание

Вопрос: Возможно ли с помощью правил Межсетевого экрана заблокировать трафик только между двумя хостами локальной сети?

Ответ: С помощью правил Межсетевого экрана заблокировать трафик между двумя хостами одной локальной сети нельзя, так как хосты находятся в одном сегменте и обмен между ними проходит на втором уровне модели OSI. Межсетевой экран работает на третьем уровне модели OSI.
Заблокировать трафик возможно только между всеми хостами, которые находятся в разных сегментах сети, включением функции isolate-private (блокирует связь полностью между сегментами), или с помощью отдельных правил Межсетевого экрана, блокируя доступ только для некоторых хостов.

KB-4985

динамическое ограничение доступа по IP / Хабр

Сервер IIS 7 и предыдущие версии содержали встроенную функциональность, которая позволяла администраторам разрешить или запретить доступ к серверу для определенных IP-адресов (или их диапазонов). Когда IP-адрес блокировался, любой HTTP-клиент с таким IP получал в ответ на запрос к серверу HTTP-ошибку «403.6 Forbidden». Этот функционал позволял администраторам настроить доступ к их серверу на основе активности, которую они могли проанализировать по логам сервера. Тем не менее, это был ручной процесс. Даже при том, что управление функциями могло настраиваться через скрипты для определения подозрительных пользователей с помощью анализа логов утилитами типа Microsoft’s LogParser, все равно требовалось много ручной работы.

Решение

IIS 8

встроенная функциональность была расширена для того, чтобы предложить следующие функции:

Динамическая фильтрация IP-адресов, которая позволяет администраторам настроить их сервер на блокировку IP-адресов, которые создают слишком много запросов к серверу;

Фильтрация IP-адресов теперь позволяет администраторам указать поведение сервера во время блокировки IP-адреса, так что запросы от злоумышленников могут быть прерваны сервером, вместо того, чтобы возвращать клиенту HTTP 403.6;

Фильтрация по IP теперь поддерживает функцию прокси-режима, которая позволяет блокировать адреса не только по IP-адресу клиента, который получает сервер, но и по полученным значениям HTTP-заголовков x-forwarded-for.

Пошаговая инструкция

Требования:

Предустановленная Windows 8 с включенным IIS 8;

Замечание: функция

IP and Domain Restrictions

должна быть установлена вместе с IIS.

Конфигурирование IIS для блокировки доступа на основе HTTP-запросов

Сервер IIS 8.0 может быть сконфигурирован для блокировки доступа к веб-сайтам на основе определенного числа запросов в единицу времени, которые производит клиент. Другим вариантом является блокировка на основе количества одновременных подключений клиента.

Для конфигурирования IIS для блокировки доступа основанной на числе HTTP-запросов проделайте следующие шаги:

Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.

Нажмите Edit Dynamic Restriction Settings на панели Actions.

В окне Dynamic IP Restriction Settings выберите Deny IP Address based on the number of concurrent requests, если вы хотите предотвратить слишком много одновременных подключений от пользователя. Если вы хотите предотвратить слишком большое количество запросов от пользователя, выберите Deny IP Address based on the number of requests over a period of time.

Нажмите ОК.

Конфигурирование поведения IIS при запрете IP-адресов

В IIS 7 и ранних версиях, сервер возвращал HTTP-ошибку «403.6 Forbidden», когда происходила блокировка IP-адреса. В IIS 8.0 администраторы могут сконфигурировать свой сервер для того, чтобы запрещать доступ с IP-адресов несколькими дополнительными вариантами.

Для того чтобы указать то, как должен поступать IIS, когда он блокирует IP-адрес, выполните следующие шаги:

Нажмите Edit Feature Settings на панели Actions.

В окне Edit IP and Domain Restriction Settings выберите в ниспадающем меню Deny Action Type предпочтительное поведение сервера:

Unauthorized: IIS вернет ответ HTTP 401;

Forbidden: IIS вернет ответ HTTP 403;

Not Found: IIS вернет HTTP 404;

Abort: IIS закроет HTTP-соединение.

Нажмите ОК.

Конфигурирование IIS для прокси-режима

Одной из проблем при IP-фильтрации является возможная ситуация, когда с одного IP-адреса на сервер обращаются множество разных клиентов (через firewall, балансировщик нагрузки, прокси). Так что для каждого такого клиента IP-адрес будет одинаковым. В IIS 8.0 администраторы могут сконфигурировать сервер с учетом HTTP-заголовка

x-forwarded-for

, в дополнение к IP-адресу клиента, для того, чтобы точнее определять какие именно запросы необходимо блокировать. Такое поведение называется «прокси-режимом».

Для конфигурирования IIS для прокси-режима проделайте следующие шаги.

Нажмите на Edit Feature Settings в панели Actions.

В окне Edit IP and Domain Restriction Settings выберите Enable Proxy Mode.

Нажмите ОК.

Заключение

В этом руководстве вы познакомились с конфигурирование IIS для динамического блокирования доступа к вашему серверу на основе числа запросов от клиента, а так же с настройкой поведения IIS, которое сервер будет использовать при блокировке потенциальных злоумышленников.

От переводчика

Вы можете прочитать обзорную статью о многих других нововведениях в IIS 8 (на русском) по

этому адресу

Для полноты картины я хотел бы дополнить статью полезными ссылками, которые более полно раскрывают многие новые функции IIS 8:

Еще одна полезная вещь – выпуск бесплатного легкого сервера IIS 8 Express для разработчиков, который вы уже можете скачать и установить. Подробности по

ссылке

3 апреля в Самаре пройдет бесплатная конференция WebProfessionals, на которой будет рассказано про IIS 8 и другие элементы веб-платформы Microsoft. Регистрация уже открыта.

Ограничение доступа к сайту через Nginx

Закроем доступ к файлам, которые могут вызывать повышенный интерес:

        location ~ /.svn/ {
           deny all;
        }

Можно разрешить/запретить доступ к файлам лишь с определенных ip-адресов, используя директивы allow и deny:

  location /server-status {
      allow 111.111.111.111;
      allow 11.11.11.11;
            deny all;
  }

Также для разграничения доступа к файлам можно использовать директивы auth_basic и auth_basic_user_file — в этом случае пользователю необходимо будет ввести логин/пароль для доступа:

  location /admin/ {
      auth_basic "Enter password to access";
      auth_basic_user_file /etc/nginx/basic.auth;
  }

Также можно комбинировать эти два способа:

  location /admin/ {
      satisfy any;
      allow 111.111.111.111;
      allow 11.11.11.11;
      deny  all;

      auth_basic "Enter password to access";
      auth_basic_user_file /etc/nginx/basic.auth;
  }

Защититься от запросов к несуществующим файлам на Nginx можно так:

        location ~ \.(js|css|png|jpg|gif|swf|ico|pdf|mov|fla|zip|rar)$ {
           try_files $uri =404;
        }

После перезапускаем Nginx одной из команд:

systemctl reload nginx  
service nginx reload

В зависимости от определенного IP-адреса Nginx может выполнять такие действия, как перенаправление:

location / {  

    if ($remote_addr != 111.111.111.111) {
        return 301 https://$host$request_uri;
    }

}

в данном примере мы перенаправляем всех посетителей по пути https://$host$request_uri, кроме запросов с IP-адреса 111.111.111.111.

Защиту от перебора паролей можно организовать c использованием iptables:

Блокирование IP на время, если количество запросов в секунду превышает какое-либо разумное количество

iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW  
            -m recent --name bhttp --set
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW  
            -m recent --name bhttp --update --seconds 120
            --hitcount 360 -j DROP
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -j ACCEPT

Ограничения доступа к службе приложений Azure — Служба приложений Azure

17.12.2020
На чтение 9 минут

В этой статье

Установив ограничения доступа, вы можете определить упорядоченный по приоритету список разрешений / запретов, который управляет сетевым доступом к вашему приложению. Список может включать IP-адреса или подсети виртуальной сети Azure.Когда есть одна или несколько записей, неявное deny, что все существуют в конце списка.

Возможность ограничения доступа работает со всеми рабочими нагрузками, размещенными в службе приложений Azure. Рабочие нагрузки могут включать веб-приложения, приложения API, приложения Linux, приложения-контейнеры Linux и функции.

Когда к вашему приложению поступает запрос, адрес FROM оценивается на соответствие правилам в вашем списке ограничений доступа. Если адрес FROM находится в подсети, настроенной с конечными точками службы для Microsoft.Web исходная подсеть сравнивается с правилами виртуальной сети в вашем списке ограничений доступа. Если к адресу не разрешен доступ на основании правил в списке, служба отвечает кодом состояния HTTP 403.

Возможность ограничения доступа реализована во внешних ролях службы приложений, которые находятся выше рабочих хостов, на которых выполняется ваш код. Следовательно, ограничения доступа фактически представляют собой списки управления доступом к сети (ACL).

Возможность ограничить доступ к вашему веб-приложению из виртуальной сети Azure обеспечивается конечными точками службы.С помощью конечных точек службы вы можете ограничить доступ к мультитенантной службе из выбранных подсетей. Не работает ограничение трафика для приложений, размещенных в среде службы приложений. Если вы находитесь в среде службы приложений, вы можете контролировать доступ к своему приложению, применяя правила для IP-адресов.

Примечание

Конечные точки службы должны быть включены как на сетевой стороне, так и для службы Azure, с которой они включены. Список служб Azure, поддерживающих конечные точки службы, см. В разделе Конечные точки службы виртуальной сети.

Управление правилами ограничения доступа на портале

Чтобы добавить в приложение правило ограничения доступа, выполните следующие действия:

Войдите на портал Azure.
На левой панели выберите Сеть .
На панели Сеть в разделе Ограничения доступа выберите Настроить ограничения доступа .
На странице Ограничения доступа просмотрите список правил ограничения доступа, определенных для вашего приложения.
В списке отображаются все текущие ограничения, применяемые к приложению. Если у вас есть ограничение виртуальной сети для вашего приложения, в таблице показано, включены ли конечные точки службы для Microsoft.Web. Если для вашего приложения не определены ограничения, оно доступно из любого места.

Добавить правило ограничения доступа

Чтобы добавить правило ограничения доступа в приложение, на панели Ограничения доступа выберите Добавить правило .После добавления правила оно сразу же вступает в силу.

Правила применяются в порядке приоритета, начиная с наименьшего числа в столбце Приоритет . Неявный deny all действует после добавления хотя бы одного правила.

На панели Добавить ограничение доступа при создании правила выполните следующие действия:

В разделе Действие выберите Разрешить или Запретить .
При желании введите имя и описание правила.
В поле Priority введите значение приоритета.
В раскрывающемся списке Тип выберите тип правила.

Различные типы правил описаны в следующих разделах.

Примечание

Максимальное количество правил ограничения доступа — 512. Если вам требуется более 512 правил ограничения доступа, мы рекомендуем вам рассмотреть возможность установки автономного продукта безопасности, такого как Azure Front Door, Azure App Gateway или альтернативный WAF.

Установить правило на основе IP-адреса

Следуйте процедуре, описанной в предыдущем разделе, но со следующим дополнением:

Для шага 4 в раскрывающемся списке Тип выберите IPv4 или IPv6 .

Укажите блок IP-адресов в нотации бесклассовой междоменной маршрутизации (CIDR) для адресов IPv4 и IPv6. Чтобы указать адрес, вы можете использовать что-то вроде 1.2.3.4/32 , где первые четыре октета представляют ваш IP-адрес, а /32 — это маска.Обозначение IPv4 CIDR для всех адресов — 0.0.0.0/0. Чтобы узнать больше о нотации CIDR, см. Бесклассовая междоменная маршрутизация.

Установить правило на основе конечной точки службы

Укажите раскрывающиеся списки Подписка , Виртуальная сеть и Подсеть , соответствующие тому, к чему вы хотите ограничить доступ.

Используя конечные точки службы, вы можете ограничить доступ к выбранным подсетям виртуальной сети Azure. Если конечные точки службы еще не включены в Microsoft.Web для выбранной подсети, они будут автоматически включены, если вы не установите флажок Игнорировать отсутствующие конечные точки службы Microsoft.Web . Сценарий, в котором вы можете включить конечные точки службы в приложении, но не в подсети, зависит в основном от того, есть ли у вас разрешения для их включения в подсети.

Если вам нужен кто-то другой для включения конечных точек службы в подсети, установите флажок Игнорировать отсутствующие конечные точки службы Microsoft.Web .Ваше приложение будет настроено для конечных точек службы, ожидая, что они будут включены позже в подсети.

Вы не можете использовать конечные точки службы для ограничения доступа к приложениям, работающим в среде службы приложений. Когда ваше приложение находится в среде службы приложений, вы можете контролировать доступ к нему, применяя правила IP-доступа.

С помощью конечных точек служб вы можете настроить свое приложение со шлюзами приложений или другими устройствами брандмауэра веб-приложений (WAF). Вы также можете настроить многоуровневые приложения с защищенной серверной частью.Дополнительные сведения см. В разделах Сетевые функции и Интеграция службы приложений и шлюза приложений с конечными точками службы.

Примечание

Конечные точки службы в настоящее время не поддерживаются для веб-приложений, использующих привязки TLS / SSL на основе IP с виртуальным IP (VIP).

Установить правило на основе тегов обслуживания

Каждый тег службы представляет собой список диапазонов IP-адресов служб Azure. Список этих сервисов и ссылки на определенные диапазоны можно найти в документации по сервисному тегу.

Все доступные служебные теги поддерживаются в правилах ограничения доступа. Для простоты на портале Azure доступен только список наиболее распространенных тегов. Используйте шаблоны или сценарии Azure Resource Manager для настройки более сложных правил, например правил с региональной областью действия. Эти теги доступны на портале Azure:

Группа действий
ApplicationInsightsAvailability
AzureCloud
AzureCognitiveSearch
AzureEventGrid
AzureFrontDoor.Бэкэнд
AzureMachineLearning
AzureTrafficManager
LogicApps

Изменить правило

Чтобы начать редактирование существующего правила ограничения доступа, на странице Ограничения доступа выберите правило, которое вы хотите изменить.
На панели Изменить ограничение доступа внесите изменения и выберите Правило обновления . Изменения вступают в силу немедленно, включая изменения в порядке приоритета.
Примечание
Когда вы редактируете правило, вы не можете переключаться между типами правил.

Удалить правило

Чтобы удалить правило, на странице Ограничения доступа выберите многоточие ( … ) рядом с правилом, которое вы хотите удалить, а затем выберите Удалить .

Расширенные сценарии ограничения доступа

В следующих разделах описаны некоторые расширенные сценарии использования ограничений доступа.

Фильтр по заголовку http

В рамках любого правила вы можете добавить дополнительные фильтры заголовков http. Поддерживаются следующие имена заголовков http:

X-Forwarded-For
X-Forwarded-Host
X-Azure-FDID
X-FD-HealthProbe

Для каждого имени заголовка можно добавить до восьми значений, разделенных запятыми. Фильтры заголовка http оцениваются после самого правила, и для применения правила должны выполняться оба условия.

Правила с несколькими источниками

Правила с несколькими источниками позволяют объединить до восьми диапазонов IP-адресов или восьми сервисных тегов в одном правиле.Вы можете использовать это, если у вас более 512 IP-диапазонов или вы хотите создать логические правила, в которых несколько IP-диапазонов объединяются с одним фильтром заголовка http.

Правила для нескольких источников определяются так же, как и правила для одного источника, но с каждым диапазоном, разделенным запятой.

Пример PowerShell:

  Add-AzWebAppAccessRestrictionRule -ResourceGroupName "ResourceGroup" -WebAppName "AppName" `
  -Название "Правило нескольких источников" -IpAddress "192.168.1.0/24,192.168.10.0 / 24,192.168.100.0 / 24 "`
  -Приоритет 100 -Действие Разрешить

Блокировать один IP-адрес

Когда вы добавляете свое первое правило ограничения доступа, служба добавляет явное правило Запретить все с приоритетом 2147483647. На практике явное правило Запретить все является последним правилом, которое нужно выполнить, и оно блокирует доступ к любому IP-адрес, который явно не разрешен правилом Allow .

Для сценария, в котором вы хотите явно заблокировать один IP-адрес или блок IP-адресов, но разрешить доступ ко всему остальному, добавьте явное правило Разрешить все .

Ограничить доступ к сайту SCM

Помимо возможности контролировать доступ к своему приложению, вы можете ограничить доступ к сайту SCM, который используется вашим приложением. Сайт SCM является одновременно конечной точкой веб-развертывания и консолью Kudu. Вы можете назначить ограничения доступа к сайту SCM отдельно из приложения или использовать один и тот же набор ограничений как для приложения, так и для сайта SCM. Если вы установите флажок Те же ограничения, что и <имя приложения> , все будет отключено.Если вы снимите этот флажок, настройки вашего сайта SCM будут применены повторно.

Ограничить доступ к определенному экземпляру Azure Front Door

Трафик от входной двери Azure к вашему приложению исходит из хорошо известного набора диапазонов IP-адресов, определенных в теге службы AzureFrontDoor.Backend. Используя правило ограничения тегов службы, вы можете ограничить трафик, исходящий только от входной двери Azure. Чтобы гарантировать, что трафик исходит только от вашего конкретного экземпляра, вам необходимо дополнительно отфильтровать входящие запросы на основе уникального HTTP-заголовка, который отправляет Azure Front Door.

Пример PowerShell:

  $ afd = Get-AzFrontDoor -Name "MyFrontDoorInstanceName"
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "ResourceGroup" -WebAppName "AppName" `
  -Название «Пример правила входной двери» -Приоритет 100 -Разрешить действие -ServiceTag AzureFrontDoor.Backend `
  -HttpHeader @ {'x-azure-fdid' = $ afd.FrontDoorId}

Программное управление правилами ограничения доступа

Вы можете добавить ограничения доступа программно, выполнив одно из следующих действий:

Используйте Azure CLI.Например:
```
  az webapp config добавление ограничения доступа --resource-group ResourceGroup --name AppName \
  --rule-name 'Пример правила IP' --action Allow --ip-address 122.133.144.0/24 --priority 100
  
```
Примечание
Для работы с тегами служб, заголовками http или правилами с несколькими источниками в Azure CLI требуется версия не ниже 2.23.0. Вы можете проверить версию установленного модуля с помощью: az version
Используйте Azure PowerShell. Например:
```
  Add-AzWebAppAccessRestrictionRule -ResourceGroupName "ResourceGroup" -WebAppName "AppName"
    -Название «Пример правила IP-адреса» -Приоритет 100 -Разрешить действие -IpAddress 122.133.144.0 / 24
  
```
Примечание
Для работы с тегами служб, заголовками http или правилами с несколькими источниками в Azure PowerShell требуется версия не ниже 5.7.0. Вы можете проверить версию установленного модуля с помощью: Get-InstalledModule -Name Az

Вы также можете установить значения вручную, выполнив одно из следующих действий:

Используйте операцию PUT Azure REST API в конфигурации приложения в Azure Resource Manager. Расположение этой информации в Azure Resource Manager:
.
менеджмент.azure.com/subscriptions/ идентификатор подписки / resourceGroups / группы ресурсов /providers/Microsoft.Web/sites/ имя веб-приложения / config / web? api-version = 2020-06-01

Используйте шаблон диспетчера ресурсов. В качестве примера вы можете использовать resources.azure.com и отредактировать блок ipSecurityRestrictions, чтобы добавить требуемый JSON.

Синтаксис JSON для предыдущего примера:

  {
  "характеристики": {
    "ipSecurityRestrictions": [
      {
        «ipAddress»: «122.133.144.0 / 24 ",
        "действие": "Разрешить",
        «приоритет»: 100,
        "name": "Пример правила IP"
      }
    ]
  }
}

Синтаксис JSON для расширенного примера с использованием тега службы и ограничения заголовка http:

  {
  "характеристики": {
    "ipSecurityRestrictions": [
      {
        "ipAddress": "AzureFrontDoor.Backend",
        "tag": "ServiceTag",
        "действие": "Разрешить",
        «приоритет»: 100,
        "name": "Пример Лазурной входной двери",
        "заголовки": {
          "x-azure-fdid": [
            «xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx»
          ]
        }
      }
    ]
  }
}

Настройка ограничений доступа к функциям Azure

Ограничения доступа также доступны для приложений-функций с той же функциональностью, что и планы службы приложений.При включении ограничений доступа вы также отключаете редактор кода портала Azure для любых запрещенных IP-адресов.

Следующие шаги

Ограничения доступа для функций Azure
Интеграция шлюза приложений с конечными точками службы

Ограничения IP-доступа

Каждая служба в VPOP3 имеет вкладку «Ограничения IP-доступа». Это сообщает VPOP3, какие сети / компьютеры могут получить доступ к этой части VPOP3, и, в некоторых случаях, какие пользователи могут получить доступ к этой части VPOP3 с каких компьютеров.

Базовая функциональность одинакова для каждой службы, но разные службы могут немного отличаться. Например, некоторые службы (SMTP и LDAP) могут поддерживать анонимное использование, а также использование с аутентификацией, поэтому можно установить ограничения доступа по IP, чтобы указать, какие компьютеры могут получить к нему доступ анонимно. Другие службы (например, Finger) не поддерживают аутентификацию, поэтому ограничить доступ пользователем невозможно.

На этой странице будут описаны наиболее функциональные настройки ограничения IP-доступа со всеми параметрами, но конкретная служба, которую вы используете, может не иметь столбцов «Разрешить неавторизацию» или «Пользователи».

Параметр «Использовать глобальные ограничения доступа» указывает VPOP3 использовать ограничения доступа, установленные на странице «Глобальные службы», а также ограничения доступа для конкретных служб. Если какой-либо из них заблокирует соединение, оно будет заблокировано. Обычно это отключено, потому что это может вызвать путаницу, но опция есть, если вы хотите ее использовать.

Таблица ограничений состоит из четырех или более столбцов. В этом случае он имеет шесть столбцов, но столбцы «Разрешить неавторизацию» и «Пользователи» могут не иметь отношения к конкретной настраиваемой службе.

Restrict — этот столбец сообщает VPOP3, разрешить или заблокировать соединения с назначенных компьютеров.

Тип — указывает, как определены компьютеры, назначенные этому правилу. Они описаны ниже.

Address — обычно указывает хост или сетевой адрес для этого правила.

Префикс

— указывает префикс CIDR для сети для этого правила (например, / 24 эквивалентен маске подсети 255.255.255.0, / 32 — это одиночный хост IPv4, / 128 — одиночный хост IPv6).

Allow Unauth — это указывает, разрешен ли неаутентифицированный / анонимный доступ с назначенных компьютеров. Эта опция доступна только в том случае, если неаутентифицированный доступ является необязательным для определенного протокола — например, SMTP или LDAP.

Пользователи — указывает, каким пользователям разрешен доступ с назначенных компьютеров. Это значение по умолчанию для всех пользователей. Эта опция доступна только в том случае, если для протокола используется аутентификация.

Записи в этой таблице обрабатываются в порядке сверху вниз, и используется первая совпадающая запись.Записи в этой таблице сортируются автоматически: более конкретные записи вверху, а менее конкретные — внизу. Обратите внимание, что когда вы редактируете или добавляете новую запись, они не сортируются сразу, но если вы перезагрузите страницу после сохранения каких-либо изменений, будет отображаться отсортированный порядок.

Тип

Столбец Тип может быть:

• Маршрутизаторы — указывает адрес (а) шлюза по умолчанию, назначенный этому компьютеру. Они обнаруживаются при запуске VPOP3. Обычно вы блокируете доступ к этим адресам, поскольку ваш маршрутизатор не хочет получать доступ к вашей почте или отправлять исходящую почту.Блокировка доступа к вашим маршрутизаторам обычно НЕ блокирует доступ удаленным пользователям (если только ваш маршрутизатор не работает как прокси-сервер, что бывает редко).

• Локальные сети — указывает локальные сети, назначенные этому компьютеру. Они обнаруживаются при запуске VPOP3. По умолчанию они разрешены. Обратите внимание, что VPOP3 может обнаруживать только локальные сети, напрямую подключенные к компьютеру VPOP3, но не другие локальные сети, к которым можно получить доступ через локальный маршрутизатор. Сети, обнаруженные VPOP3, указаны под таблицей ограничений доступа в разделе, озаглавленном «Информация об обнаруженной сети».

• Сеть / хост IPv4 — указывает указанную сеть или хост IPv4.

• Сеть / хост IPv6 — указывает указанную сеть или хост IPv6.

• Поиск по IP-адресу — указывает, что IP-адрес следует искать в локальной базе данных, а затем проверять на соответствие указанным данным. Часто это используется для блокировки IP-адресов с использованием геолокации (например, в приведенном выше примере соединения с IP-адресов в России или Китае не разрешены). См. Тему «Поиск по IP-адресу» для получения дополнительной информации.

• Любой хост IPv4 — указывает любой хост IPv4.

• Любой хост IPv6 — указывает на любой хост IPv6.

• Любой хост — указывает любой хост IPv4 или IPv6.

Изменение ограничений доступа

Чтобы добавить новое ограничение, нажмите кнопку «Добавить» под таблицей. Удалите один, выберите его и нажмите кнопку «Удалить». Кнопка «По умолчанию» удалит все записи и заменит их простой настройкой по умолчанию (блокировать маршрутизаторы и разрешать локальные сети).

Чтобы изменить ограничение, дважды щелкните его.

Здесь вы можете выбрать все варианты. Чтобы выбрать один компьютер, введите IP-адрес в поле «Сетевой адрес» и выберите «Один узел» в списке «Подсеть». Чтобы выбрать сеть, введите сетевой адрес (например, 192.168.1.0 в поле Сетевой адрес) и выберите соответствующую маску подсети / префикс CIDR из списка подсети.

Обратите внимание, что сетевой адрес не является действительным IP-адресом. Для сети 255.255.255.0 последнее число всегда должно быть 0.В общем, любые двоичные цифры (биты) в сетевом адресе после счетчика префикса CIDR являются нулями, поэтому в сети / 24 (255.255.255.0) и биты после первых 24 битов являются нулями, поэтому, если IP-адрес равен 192.168.0. 1.57, то есть 1100 0000 1010 1000 0000 0001 0011 1001. Установив биты после первых 24 бит на нули, вы получите 1100 0000 1010 1000 0000 0001 0000 0000, что отображается как 192.168.1.0

Если вы не выберете ни одного пользователя из списка «Пользователи», то VPOP3 будет рассматривать его так, как если бы доступ был у всех пользователей.

Ограничения IP-адресов

IP Address Restrictions — это функция ограничения доступа с использованием исходных IP-адресов.
Например, вы можете разрешить доступ к Kintone только для IP-адресов ваших офисов и запретить доступ из внешних источников.
Ограничивая места доступа и блокируя доступ из внешних источников, вы можете эффективно предотвратить несанкционированный доступ от внешних третьих сторон.

Пользователи, которые могут настраивать ограничения IP-адресов

Пользователи Kintone и системный администратор

Подробнее см. «Типы администраторов».

Процедура

Чтобы настроить ограничения IP-адресов, укажите «глобальный IP-адрес» сети, из которой вы хотите разрешить доступ.
Чтобы узнать глобальный IP-адрес вашей сети, обратитесь к сетевому администратору или поставщику услуг Интернета. Вы можете указать несколько глобальных IP-адресов.
Ниже описана процедура настройки ограничений IP-адресов.

Если настроено пользователями и системными администраторами Kintone

Доступ к экрану «Пользователи Kintone и системное администрирование».
В разделе «Безопасность» щелкните Контроль доступа.
Нажмите «Разрешить определенные IP-адреса».
По умолчанию выбрано «Разрешить все».
Если вы выбрали «Разрешить определенные IP-адреса»:
- IP-адрес:
  Укажите глобальные IP-адреса сети, из которой вы хотите разрешить доступ. Вы можете указать до 1000 IP-адресов.
  Можно указать только адреса IPv4. Адреса IPv6 не могут быть указаны.
- CIDR:
  CIDR необходимо заполнять только в том случае, если вы хотите указать диапазон IP-адресов.
Нажмите «Сохранить».
Применение настроек может занять некоторое время.
После завершения настройки на адрес электронной почты администратора будет отправлено сообщение электронной почты.

Если вы допустили ошибку при настройке и потеряли доступ к услуге

Если вы ошиблись при установке ограничений IP-адресов и потеряли доступ к Kintone, попробуйте одно из следующих действий:

Щелкните Reset URL в электронном письме, которое вы получили после завершения настройки.
Срок действия этого URL сброса истекает через час.
Воспользуйтесь ссылкой «Связаться с нами», чтобы оставить запрос.

Настройки, необходимые для разрешения доступа в командировке или удаленной работе

Подтвердите, какие типы сетей используют пользователи, когда они находятся в командировках или работают удаленно.
Ниже описаны типичные варианты использования.
Обратите внимание, что доступ осуществляется с адресов, отличных от разрешенных IP-адресов в следующих примерах.

Использование общественной беспроводной локальной сети или гостевой локальной сети отеля во время деловой поездки
Использование домашней сети при удаленной работе
Использование мобильной сети (например, 4G) вне офиса

Следующие настройки необходимы, чтобы разрешить вышеупомянутый доступ.

Выберите Разрешить все для ограничений IP-адресов
Это позволяет использовать мобильные сети (например, 4G).
Включить двухфакторную аутентификацию (для всех пользователей)
Если вы выберете «Разрешить все» для ограничений IP-адресов, уровень безопасности станет низким.
Для предотвращения несанкционированного доступа мы рекомендуем всем пользователям использовать двухфакторную аутентификацию.

Подробнее см. В разделе с описанием доступа с динамических IP-адресов на странице «Использование двухфакторной аутентификации».

Повышение безопасности

Повышая надежность пароля, вы можете повысить безопасность своих служб.
Вы должны сделать это, если доступ осуществляется из сетей, отличных от разрешенных.
Для получения подробной информации, смотрите «Указание сложности пароля и срока действия пароля».

Использование ограничения IP для защиты вашей учетной записи

Одним из вариантов обеспечения безопасности онлайн-аккаунта является использование ограничения IP. Короче говоря, ограничение IP-адресов ограничивает вашу возможность входить в систему на компьютерах с заданного диапазона IP-адресов.

Хотя IP-адреса долгое время считались «небезопасными» для аутентификации, в сочетании с другими мерами безопасности IP-адреса могут добавить еще один уровень безопасности к вашей учетной записи.

В нашей статье о двухфакторной аутентификации мы объясняем, как вы можете добавить защиту своим онлайн-аккаунтам, добавив уровни безопасности, называемые факторами . Он работает так же, как карта банкомата с PIN-кодом защищает ваш банковский счет. Чтобы доказать, что вы являетесь тем, кем себя называете, банкомат требует карту («что-то, что у вас есть») и код («что-то, что вы знаете»).

Вы можете думать об IP-адресе как о чем-то, что у вас есть. Это номер, присвоенный вашему компьютеру сетью, поэтому его можно использовать как еще один фактор.

Конечно, IP-адрес может быть украден точно так же, как карта банкомата, ключ U2F, телефон и другие факторы, которые «что-то у вас есть», поэтому самого по себе этого недостаточно для обеспечения безопасности вашей учетной записи. Но вы можете комбинировать его со своим паролем или другими факторами, чтобы повысить безопасность вашей учетной записи в целом.

Когда использовать и не использовать ограничение IP

Если вы уже согласны с этой идеей и готовы ограничить вход во все свои учетные записи в Интернете по IP-адресу, вы можете сначала сделать шаг назад и подумать, подходит ли вам ограничение IP.

Когда вы подключаетесь к сети вашего интернет-провайдера, он назначает вам IP-адрес. Однако они могут не назначать вам один и тот же IP-адрес навсегда .

С другой стороны, если у вас есть собственный офис, ваша ИТ-команда, вероятно, настроила сеть для самого офиса, а интернет-провайдер вашей компании, вероятно, предоставил сети вашей компании диапазон IP-адресов, на которые вы будете иметь исключительное право. .

Если вы много путешествуете, если ваш интернет-провайдер назначает вам динамический IP-адрес, и если вы не можете гарантировать, что вы всегда будете подключаться с одного IP-адреса или нескольких IP-адресов, ограничения IP-адресов, вероятно, нет. для тебя.

Однако, если вы управляете учетной записью компании, например, для управления портфелем доменных имен, имеет смысл добавить ограничение IP-адреса для входа в учетную запись. Вы можете ограничить доступ к одному IP-адресу или к диапазону IP-адресов, используемых вашим офисом, и обеспечить безопасность ресурсов вашей компании.

Реализация ограничения IP

Перед введением ограничения IP-адресов вам следует поговорить со своим ИТ-отделом, чтобы убедиться, что в вашем офисе есть статические IP-адреса.Они знают, как проверить.

Кроме того, чтобы добавить ограничение IP-адресов в онлайн-аккаунт, вам, вероятно, понадобится ваш IP-адрес или диапазон в формате CIDR. Если вам нужна помощь в получении этой информации, обратитесь к своему ИТ-отделу.

Не все онлайн-аккаунты имеют ограничение IP, но обычно вы можете найти варианты ограничения IP в настройках безопасности аккаунта.

Например, чтобы активировать ограничение IP в Gandi, вы должны перейти в «Настройки пользователя», а затем «Изменить пароль и настроить ограничения доступа.”

После того, как вы активировали ограничение IP, вы не сможете войти в свою учетную запись с любого IP-адреса, который вы не указали при настройке ограничения IP.

Отключение ограничения IP зависит от учетной записи. В Gandi вам необходимо связаться с нашей службой поддержки клиентов, чтобы отключить ограничение IP, если у вас нет доступа к своей учетной записи.

Если вы всегда подключаетесь к конфиденциальным онлайн-учетным записям из одной сети, такой как офисная сеть, или из нескольких сетей с фиксированными IP-адресами, вы можете защитить свою учетную запись, помимо паролей и двухфакторной аутентификации, разрешив вход только из соответствующей сети, используя Ограничение IP.

Это, вероятно, должно включать в себя консультации с кем-то в вашей компании, обладающим большим техническим опытом, чем вы, но, в конце концов, наличие другого уровня безопасности дает вам больший контроль над своими учетными записями и важными активами или информацией, которые вы можете иметь в них.

Помечено в доменных именах

Ограничение IP — Центр поддержки iThemes

Надстройка IP Restriction имеет две ключевые особенности:

Вы можете внести в белый список IP-адресов. Любые IP-адреса из белого списка смогут обойти ограничения контента и получить полный доступ к ограниченному контенту, даже если они не соответствуют требованиям.
Вы также можете добавить в черный список IP-адресов. Любые IP-адреса из черного списка не смогут зарегистрироваться через вашу регистрационную форму Restrict Content Pro.

Настройка параметров ограничения IP

Настройки ограничения IP можно найти в Ограничение> Ограничение IP .

Белый список IP

Параметр «Белый список IP-адресов» на панели настроек является глобальным. Любые введенные здесь IP-адреса будут иметь доступ к всем материалам на сайте, доступ к которым ограничен через Restrict Content Pro, даже если они не соответствуют требованиям.

Черный список IP

Любые IP-адреса, введенные в это поле, не смогут заполнить регистрационную форму Restrict Content Pro. Они будут получать сообщение об ошибке при каждой попытке отправить его (см. Ниже).

Сообщение об ошибке черного списка

Это сообщение об ошибке, которое будет показано пользователям, которые пытаются зарегистрироваться для подписки, но находятся в черном списке IP-адресов.

Настройка белого списка для уровня членства

IP-адреса

также могут быть внесены в белый список для уровня членства.Когда вы перейдете к Ограничить> Уровни членства , вы найдете новое поле для «Белый список IP» при добавлении нового уровня или редактировании существующего.

Если вы добавите IP-адрес в белый список здесь, участники с этим IP-адресом получат доступ к любому контенту, который ограничен конкретно этим уровнем подписки. Вот пример:

Допустим, у вас есть один уровень под названием «Бронза», а другой уровень под названием «Золото». Вы добавляете IP 216.3.128.12 в белый список на Бронзовом уровне членства, затем создайте новую страницу (Страница №1) и ограничьте эту страницу только для членов Бронзового уровня членства. Если пользователь, который не вошел в систему, но имеет IP-адрес 216.3.128.12 , посетит ваш сайт, он сможет получить доступ к странице №1.

Но предположим, что вы создаете страницу №2 и ограничиваете ее членами только с золотым уровнем членства. Этот же пользователь не сможет получить доступ к этому сообщению, потому что он находится в белом списке только для Бронзового уровня, а Бронзовый не имеет доступа к этому ограниченному сообщению.

Настройка белого списка для отдельного сообщения или страницы

При редактировании сообщения или страницы вы увидите новый метабокс на боковой панели под названием «Ограничение IP».

Это позволяет настроить белый список IP-адресов только для этого отдельного сообщения или страницы. Вы можете ввести IP-адрес (или несколько — по одному в каждой строке) в это поле, чтобы предоставить пользователям с этим IP-адресом доступ к контенту, даже если они не соответствуют критериям метабокса Ограничить этот контент .

Поддерживаемые форматы IP

Для всех белых и черных списков IP-адресов следует вводить по одному IP-адресу в каждой строке. Поддерживаются как IPv4, так и IPv6.

IP Restriction поддерживает следующие форматы IP-адресов во всех IP-входах:

Одиночные IP-адреса

Допустимые примеры:

226.216.136.78
207.174.243.113
59.229.72.176

Подстановочные знаки

Все октеты — это , а не .

Допустимые примеры:

200.122.216. *
252.109. *. *
186. *. *. *
186. *
149.58. *

Диапазоны

Введите IP-адрес для начала диапазона, дефис и конец диапазона IP-адресов. Диапазоны являются включительными, что означает, что начало и конец диапазона будут внесены в белый список.

Подстановочные знаки можно комбинировать с диапазонами.

Допустимые примеры:

159.7.89.231-159.7.89.240
56.229.200.50-56.229.200.60
149.58. * — 149.60. *

При объединении подстановочных знаков и диапазонов все подстановочные знаки в первом IP-адресе будут заменены на 0 , а все подстановочные знаки во втором IP-адресе будут заменены на 255 .Затем IP-адрес будет сопоставлен с этим диапазоном.

Например, если вы введете этот диапазон: 149.58. * - 149.60. * , он будет преобразован в: 149.58.0.0-149.60.255.255 .

Блоки CIDR

Допустимые примеры:

10.0.0.0/8
10.0.0.0/24

Ограничения IP

Примечание: Эта функция доступна только для привилегированных администраторов.

Password Manager Pro позволяет администраторам ограничивать входящие подключения к серверу Password Manager Pro, вводя ограничения на основе IP для минимизации нежелательного трафика.Он обеспечивает дополнительный уровень безопасности, позволяя администратору выбирать, каким именно системам следует разрешить или заблокировать доступ и отправку запросов на сервер Password Manager Pro. Разрешить или ограничить доступ можно как для отдельного IP-адреса, так и для диапазона IP-адресов.

Password Manager Pro предлагает три типа ограничений IP:

Веб-доступ
Доступ к API
Доступ агента

1. Доступ в Интернет

Вы можете включить ограничения на основе IP для доступа к веб-серверу Password Manager Pro.Ограничения IP могут быть установлены на различных уровнях и комбинациях, таких как определенные диапазоны IP или отдельные IP-адреса.

Чтобы настроить ограничения на основе IP, выполните следующие действия:

Перейдите в Админ >> Конфигурация и выберите Ограничения IP.
В Web Access у вас есть два варианта на выбор:
- Разрешенные IP-адреса: Если этот параметр выбран, доступ будет разрешен только IP-адресам, указанным в этом поле, а для остальных IP-адресов будет заблокирован доступ к веб-серверу Password Manager Pro.
- Заблокированные IP-адреса: Эта опция может использоваться для блокировки определенного IP-адреса или диапазона IP-адресов и разрешения доступа ко всем остальным IP-адресам.

Примечание. IP-адреса необходимо вводить в текстовое поле в виде значений, разделенных запятыми. Например: 10.0.2.1 — 10.0.2.15, 10.0.3.176, 10.0.3.222 . Нет ограничений на количество IP-адресов, которые можно указать в обоих полях.

2.Доступ к API

Password Manager Pro позволяет вам включить ограничения на основе IP для вызовов API, а также обмен данными из собственных мобильных приложений и расширений браузера с сервером Password Manager Pro. Ограничения IP могут быть установлены на различных уровнях и комбинациях, таких как определенные диапазоны IP или отдельные IP-адреса.

Чтобы настроить ограничения на основе IP, выполните следующие действия:

Перейдите в Админ >> Конфигурация и выберите Ограничения IP.
В разделе «Доступ к API» у вас есть два варианта на выбор:
- Разрешенные IP-адреса: Если этот параметр выбран, доступ к API будет разрешен только IP-адресам, указанным в этом поле, а для остальных IP-адресов будет заблокирована отправка и / или получение вызовов API.
- Заблокированные IP-адреса: Эта опция может использоваться для блокировки определенного IP-адреса или диапазона IP-адресов и разрешения доступа ко всем остальным IP-адресам.

Примечание. IP-адреса необходимо вводить в текстовое поле в виде значений, разделенных запятыми. Например: 10.0.2.1 — 10.0.2.15, 10.0.3.176, 10.0.3.222. Нет ограничений на количество IP-адресов, которые могут быть определены в обоих полях.

3. Доступ агента

Password Manager Pro позволяет регулировать связь агента с целевыми машинами на сервер Password Manager Pro с ограничениями на основе IP.Ограничения IP могут быть установлены на различных уровнях и комбинациях, таких как определенные диапазоны IP или отдельные IP-адреса.

Чтобы настроить ограничения на основе IP, выполните следующие действия:

Перейдите в Админ >> Конфигурация и выберите Ограничения IP.
В разделе «Доступ агента» у вас есть два варианта на выбор:
- Разрешенные IP-адреса: Если этот параметр выбран, доступ будет разрешен только IP-адресам, указанным в этом поле, а для остальных IP-адресов будет заблокирован доступ к веб-серверу Password Manager Pro.
- Заблокированные IP-адреса: Эта опция может использоваться для блокировки определенного IP-адреса или диапазона IP-адресов и разрешения доступа ко всем остальным IP-адресам.

Ограничение доступа к веб-страницам

веб-страниц обычно доступны любому пользователю.Однако доступ к веб-страницам может быть ограничен одним или обоими из них.
способы:

по идентификатору пользователя и паролю
по IP-адресу

Оба метода имеют общие черты:

Как правило, проще всего собрать страницы с ограниченным доступом в один каталог.
который содержит только закрытые страницы.
Ограничения будут применяться ко всем файлам и подкаталогам в папке с ограничениями.
Ограничения контролируются файлом с именем .htaccess
который помещается в защищаемый каталог.Файл должен быть доступен для чтения веб-сервером.
Другими словами, пользователь www должен иметь возможность читать файл.
Пунктуация и использование заглавных букв важны.
В директивах учитывается регистр; двойные кавычки требуются вокруг
все параметры; и каждая директива должна быть в одной строке.

Ограничение по идентификатору пользователя и паролю

Проще всего использовать комбинацию идентификатора пользователя и пароля, когда есть
задействовано несколько идентификаторов пользователей.
Для классовых ситуаций цель состоит в том, чтобы предотвратить доступ ко всему миру,
поэтому хорошо известный идентификатор пользователя и пароль для класса — разумный подход.Это не ограничит доступ соседей по комнате или друзей, но предотвратит
доступ для всего мира.
Это похоже на то, как лекции ограничены.
Мы не просим удостоверять личность всех, кто входит в
лекционный зал.
Тем не менее, простые физические ограничения не позволяют 10 000 человек посещать
лекция.

Чтобы ограничить доступ с помощью идентификатора пользователя и пароля,
вам нужно добавить в каталог два файла.
Первый файл называется .htaccess .
Поместите следующие строки в .htaccess файл.

AuthType Basic
AuthName « Описание сайта »
Файл AuthBasicProvider
AuthUserFile / usr / local / data / www / your_directory_name / userlist.txt
Require valid-user

Этот файл сообщает веб-серверу, что для получения доступа ко всем файлам в этом каталоге клиент должен ввести идентификатор пользователя и пароль, которые совпадают с таковыми в файле / usr / local / data / www / your_directory_name / userlist.txt ,
где your_directory_name — это путь к защищенному каталогу.

Описание сайта должно быть кратким описанием сайта.
Описание используется браузером в запросе пароля.
Приглашение различается в зависимости от браузера, но похоже на:

Введите имя пользователя для , описание сайта на www.k-state.edu:

Второй файл называется userlist.txt .Внутри этого файла у каждого пользователя есть одна строка вида:

ИД пользователя : encryptedpassword

, где userid — имя пользователя, а зашифрованный пароль
пароль, зашифрованный стандартным паролем Unix
алгоритм шифрования. Эти линии могут быть созданы с помощью
страница шифрования пароля.

Эти идентификаторы пользователей и пароли создаются только для веб-страницы. Они не имеют отношения к идентификаторам пользователей и паролям.
используется для доступа к системе CTS Unix, службе телефонной связи Telecommunication или ресурсам отдела.

Любое количество идентификаторов пользователей и паролей может быть включено в userlist.txt
файл. Однако управление забытыми паролями может стать обременительным для автора страницы.
Для классов должно быть достаточно одного идентификатора пользователя и пароля.

Пример защиты паролем

URL-адрес http://www.k-state.edu/tools/restrict-access/password
защищен идентификатором пользователя neil и паролем testpass .
Попробуйте перейти по ссылке, чтобы убедиться, что защита работает.

Ограничение доступа по IP-адресу

Каждый компьютер, подключенный к Интернету, имеет IP-адрес.
Такие адреса записываются в виде четырех чисел, разделенных точками.
Например, 129.130.12.5 — это адрес, присвоенный одному из центральных офисов K-State.
Машины Unix. Все IP-адреса, первые два числа которых имеют 129.130, связаны с K-состоянием.

Чтобы ограничить доступ на основе IP-адреса, поместите следующие строки в файл .htaccess :

Заказать отклонить, разрешить Запретить со всех

Разрешить с ipaddress

Удовлетворить любой

, где ipaddress — шаблон IP-адреса, к которому разрешен доступ.У вас может быть столько строк IP-адресов, сколько необходимо, или вы можете использовать частичный IP-адрес для ограничения группы IP-адресов, например здания или отдела.

Например, чтобы ограничить доступ к IP-адресам K-State, используйте «129.130».

Заказать отклонить, разрешить Запретить со всех

Разрешить с 129,130

Удовлетворить любой

Пример ограничения IP-адреса

Пример страницы только для K-State
показывает, как ограничить доступ к IP-адресам K-State, т.е.е., те, у кого
первые два числа «129.130».

Банкноты

Приведенное выше обсуждение предполагало, что защищаемые страницы находятся на
сервер www.k-state.edu.
Та же процедура работает для личных страниц, хранящихся на
www-personal.ksu.edu
сервер. Однако путь к файлу userlist.txt должен
укажите, где хранится файл. Для домашних каталогов K-State путь имеет формат:
/ homes / идентификатор пользователя /.html/userlist.txt
Чтобы узнать свой домашний каталог, войдите в Unix и выполните команду «echo $ HOME».
Ограничение доступа к K-State IP-адресов — это не то же самое, что ограничение
доступ к K-State человек . Студенты, преподаватели и сотрудники K-State могут использовать различные
сетевые провайдеры, такие как America Online и местные интернет-провайдеры;
Ограничения, основанные на IP-адресе, могут остановить доступ с помощью этих методов. По аналогии,
университетские офисы и вычислительные лаборатории не полностью ограничены использованием K-State
студенты и сотрудники.
Точнее, ограничение IP-адреса 129.130 разрешит доступ только для компьютеров
в университетском городке, те, кто использует услуги телефонной связи, и те, кто использует виртуальную частную сеть.
Доступ за пределами кампуса к веб-сайтам с ограниченным IP-адресом K-State можно получить с помощью
Виртуальная частная сеть (VPN) K-State.
Файлы .htaccess и userlist.txt должны сами
быть доступным для чтения веб-сервером, т. е. иметь соответствующие права доступа к файлам Unix.
Для файлов на сервере www.k-state.edu:
список управления доступом Unix предоставляет соответствующие значения по умолчанию.Однако для www-personal.ksu.edu
сервер, обязательно измените разрешения, как обычно для файла HTML.
Доступ к .htaccess осуществляется на глобальном уровне. Поскольку вы можете использовать любое имя файла для хранения вашего идентификатора / пароля (мы предлагаем userlist.txt ), вы также должны защитить его. Доступ к этим файлам может помочь хакерам понять и спланировать обход ограничений доступа. Например, общие пароли можно определить по зашифрованному паролю.
Чтобы запретить доступ к этим файлам, добавьте в
конец 90-х 321.htaccess файл:
Заказать разрешить, отказать Запретить всем Удовлетворит все

После этого добавления к файлам нельзя будет получить доступ через веб-сервер.
Однако файлы по-прежнему доступны через FTP, самбу или при входе в систему.
в систему Unix.
При доступе к защищенным страницам, если вы получаете сообщение:
Ошибка сервера
Этот сервер обнаружил внутреннюю ошибку, которая не позволяет ему выполнить ваш запрос.Наиболее вероятная причина — неправильная конфигурация. Попросите администратора поискать сообщения в журнале ошибок сервера.
проверьте формат файла .htaccess .
Эта ошибка также может возникать из-за того, что файл userlist.txt не находится в месте, указанном в файле .htaccess , или не может быть прочитан пользователем www.
Если вы используете pico для редактирования файла .htaccess , имейте в виду, что pico по умолчанию переносит длинные строки.Чтобы расширить поле, чтобы было достаточно места для длинной средней линии
.htaccess , используйте команду:
pico -r200 .

Category Разное