提升網(wǎng)站安全性的一個有效方法是通過訪問限制來加固網(wǎng)站，可以有效地防止未經(jīng)授權(quán)的用戶進入敏感區(qū)域，從而減少潛在的安全風(fēng)險，同時提供給用戶一個更加安全可靠的訪問體驗。那么如何通過訪問限制提升網(wǎng)站安全性？下面一起來看看網(wǎng)站訪問限制的各種實現(xiàn)方式。

一、通過DNS解析廠商

通常情況下，掃描器主要針對域名執(zhí)行掃描操作。為了構(gòu)建第一道防線，我們可以在DNS解析階段采取措施，將海外的請求指向本地回環(huán)地址127.0.0.1。一旦配置妥當，大部分海外的掃描嘗試便會失效，從而大幅降低潛在的安全風(fēng)險。

以阿里云為例：

二、通過Nginx

通過域名解析后下一步會進入CDN，WAF網(wǎng)站防火墻，硬件設(shè)備或直接通往源站，此時我們可以對請求進行更細的過濾，這里主要講一下通過網(wǎng)站防火墻配置和Nginx配置。

1、地區(qū)訪問限制

前面提到的是通過DNS解析來對域名進行禁海外訪問，但如果攻擊者使用IP來掃描就沒辦法了，所以我們需要在服務(wù)器或應(yīng)用上進行限制。

2、Nginx實現(xiàn)根據(jù)國家/城市進行訪問限制

Nginx使用模塊ngx_http_geoip_module來實現(xiàn)對國家/城市訪問限制。

3、安裝方式

（1）安裝maxminddb library（geoip2擴展依賴）

Ubuntu debian：

apt install libmaxminddb0 libmaxminddb-dev mmdb-bin

Centos：

yum install libmaxminddb-devel -y

（2）下載ngx_http_geoip2_module模塊

進入root目錄，然后克隆模塊：

cd root && git clone https://github.com/leev/ngx_http_geoip2_module.git

（3）把模塊編譯到Nginx

手工編譯方式：

./configure --add-module=/root/ngx_http_geoip2_module

寶塔面板下nginx的編譯方式：

（4）下載Geoip數(shù)據(jù)庫

模塊安裝成功后，還要在 Nginx 里指定數(shù)據(jù)庫，位于 /usr/share/GeoIP/ 目錄下，一個只有 IPv4，一個包含 IPv4 和 IPv6：

數(shù)據(jù)庫地址：

• cd /usr/local/share/GeoIP
• wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
• wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz

（5）添加配置到Nginx主配置文件

geoip2 /usr/local/share/GeoIP/GeoLite2-Country.mmdb {$geoip2_data_country_code country iso_code;}map $geoip2_data_country_code $allowed_country { default yes; CN no; }

（6）修改Nginx虛擬主機的配置文件，在server段內(nèi)添加后重載nginx

if ($allowed_country = yes) { return 403; }

配置完成。

三、通過堡塔云WAF

堡塔云WAF的安裝方式如下：

堡塔云WAF需要占用80、443、33060端口，建議使用單獨服務(wù)器部署。已經(jīng)安裝了寶塔面板的機器不支持安裝云WAF。

安裝命令如下：

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

官網(wǎng)地址：https://www.bt.cn/

1、借用堡塔云WAF的以下功能：

攔截效果：

2、禁止IDC機房、服務(wù)器IP訪問

通常情況下服務(wù)器IP并不是我們的客戶，在這里推薦大家在沒有接口業(yè)務(wù)的情況下禁止服務(wù)器IP訪問。

堡塔云WAF的功能為例：

只需要在防護網(wǎng)站設(shè)置里開啟禁止IDC訪問即可達成，它還會自動放行真實爬蟲以免影響網(wǎng)站收錄。

3、對用戶上傳目錄進行嚴格限制，禁止訪問可執(zhí)行文件。

這是黑客的主要滲透手段之一，在可上傳文件的目錄下傳入后門文件，我們在禁止后即使他們成功傳入也無法進行利用。

堡塔云WAF的功能為例：

攔截效果：

• 

  廣告合作

• 

  QQ群號：4114653