按 IP 地址限制访问 Web 服务器

您可以通过指定具有访问权限的 IP 地址列表以及被拒绝访问的地址列表来确定允许访问 Web 服务器的 HTTP 和 HTTPS 端口的客户机。还可以指定当地址与这两个列表都匹配时哪个列表的优先级高。

关于此任务

由于地址中可以包含通配符,因此,可以限制某个地址类中的所有地址。例如,拒绝对 123.45.6.* 地址的访问表示拒绝对该子网中的所有地址的访问。同样,拒绝对 123.45.* 地址的访问表示拒绝对该地址的所有子网的访问。

IP 地址过滤对于管理 Web 服务器的入局请求很有用 - 例如,您的服务器受防火墙保护,并且只应接受来自防火墙和 Domino® Administrator 客户机的请求。它还有助于最小化过多的请求,如由感染了 Web 蠕虫的计算机生成的请求。

注: IP 地址限制不应当用作保护站点的唯一方法,也不应当用作用户认证的替代方法。客户机 IP 地址是在客户机所发送的网络包中指定的,此信息很容易伪造。另外,黑客总是使用隐藏其真正 IP 地址的攻击方法。不能针对这种攻击使用 IP 地址限制保护服务器。

过程

  1. 打开要编辑的“服务器”文档,然后单击编辑服务器
  2. 单击因特网协议 > HTTP 选项卡。在“网络设置”部分中,填写以下字段:
    1. “网络设置”字段

    字段

    操作

    IP 地址允许/拒绝优先级

    指定当外来的 IP 地址既在允许列表中列出又在拒绝列表中列出(这种情况可能出现这两个列表均包含通配符时)时哪个 IP 地址列表(允许或拒绝)的优先级高。

    缺省为“允许”列表的优先级高。

    IP 地址允许列表

    列出拒绝访问这些端口的 IP 地址。

    IP 地址拒绝列表

    列出拒绝访问这些端口的 IP 地址。

结果

如果客户机 IP 地址不与任一列表匹配,则允许建立连接。
2. 典型 IP 地址限制设置示例

示例配置

设置

注释

允许所有地址访问(保留缺省设置)

IP 地址允许/拒绝优先级:允许

IP 地址允许列表:

IP 地址拒绝列表:

将 IP 地址允许列表和 IP 地址拒绝列表保留为空。

拒绝所有用户访问

IP 地址允许/拒绝优先级:拒绝

IP 地址允许列表:*

IP 地址拒绝列表:*

--

拒绝特定 Web 爬网程序访问

IP 地址允许/拒绝优先级:拒绝

IP 地址允许列表:*

IP 地址拒绝列表:123.45.6.78

允许所有地址,但是由于爬网程序与拒绝列表相匹配,而拒绝列表的优先级高于允许列表,因此将拒绝爬网程序。

拒绝从感染了 Web 蠕虫的子网访问

IP 地址允许/拒绝优先级:拒绝

IP 地址拒绝列表:123.45.*; 95.123.4.*

IP 地址允许列表:*

--

只允许从两个受信任的代理服务器访问

IP 地址允许/拒绝优先级:允许

IP 地址允许列表:123.45.6.78; 123.45.6.79

IP 地址拒绝列表:*

在这种情况下,必须在拒绝列表中使用通配符,以便其他所有地址都明确地与该列表匹配。