服务器安全防护

黑名单可以用来阻止已知的恶意IP地址或曾经尝试攻击系统的IP地址防止这些来源对服务器进行未经授权的访问、扫描、攻击等行为。

白名单仅允许特定IP或IP段访问关键服务比如数据库服务器、内部管理系统等实现最小授权原则降低被未知风险源入侵的可能性。

网站安全防护

黑名单对于频繁发起恶意请求、爬取数据、DDoS攻击等活动的IP将其加入黑名单以限制其对网站的访问。

白名单如果只希望特定合作伙伴、内部员工或特定区域用户访问网站内容则可通过白名单来限定合法访问者的范围。

API接口保护

对于对外提供的API接口通过设置IP黑白名单确保只有经过认证或信任的系统和客户端才能调用接口。

比如比较容易被盗刷的短信接口、文件接口都需要添加IP黑白名单加以限制。

核心实现

Pattern.compile(10\.\d{1,3}\.\d{1,3}\.\d{1,3}|

127\.\d{1,3}\.\d{1,3}\.\d{1,3}|

return

RequestContextHolder.getRequestAttributes();if

(Objects.isNull(requestAttributes))

{return

requestAttributes).getRequest();var

{ip

request.getHeader(PROXY_CLIENT_IP);}if

{ip

request.getHeader(WL_PROXY_CLIENT_IP);}if

{ip

request.getRemoteAddr();}return

ip;}/***

获取客户端真实IP地址防止使用X-Forwarded-For进行IP伪造攻击防御思路见类注释**

return

INTERNAL_PROXIES.matcher(remoteIp).matches();if

(isInternal)

request.getHeaders(X_FORWARDED_FOR);

e.hasMoreElements();

(concatRemoteIpHeaderValue.length()

{concatRemoteIpHeaderValue.append(,

);}concatRemoteIpHeaderValue.append(e.nextElement());}var

remoteIpHeaderValue

commaDelimitedListToArray(concatRemoteIpHeaderValue.toString());for

(var

(!INTERNAL_PROXIES.matcher(currentRemoteIp).matches())

{return

commaDelimitedListToArray(String

{return

commaDelimitedStrings.isEmpty())?

new

COMMA_SEPARATED_VALUES_PATTERN.split(commaDelimitedStrings);}

}获取到客户端IP后我们只要比对客户端IP是否在配置的白名单/黑名单中即可。

新增注解IpCheck

Retention(RetentionPolicy.RUNTIME)

Documented

白名单IP列表支持${...}*/AliasFor(whiteList)String

value()

白名单IP列表支持${...}*/AliasFor(value)String

whiteList()

;}新增IpCheckHandlerInterceptorImpl

我们实现HandlerInterceptor在接口上进行拦截如果不满足配置的黑白名单则抛出异常。

/***

hrefmailto:gcwm99gmail.comgcdd1993/a*

Created

stringValueResolver;Overridepublic

boolean

检查是否有IpWhitelistCheck注解并且是否开启IP白名单检查if

(!(handler

如果没有注解或者注解中关闭了IP白名单检查则继续处理请求}var

handlerMethod

AnnotationUtils.getAnnotation(method,

IpCheck.class);if

Stream.of(Optional.ofNullable(stringValueResolver.resolveStringValue(annotation.whiteList())).map(it

String[]{})).filter(StringUtils::hasText).map(String::trim).collect(Collectors.toUnmodifiableSet());if

{return

Stream.of(Optional.ofNullable(stringValueResolver.resolveStringValue(annotation.blackList())).map(it

String[]{})).filter(StringUtils::hasText).map(String::trim).collect(Collectors.toUnmodifiableSet());if

{return

setEmbeddedValueResolver(StringValueResolver

resolver)

核心逻辑写完了该怎么使用呢为了达到开箱即用的效果我们可以接着新增自动装配的代码

新建IpCheckConfig

hrefmailto:gcwm99gmail.comgcdd1993/a*

Created

ipCheckHandlerInterceptor;Overridepublic

void

addInterceptors(InterceptorRegistry

registry)

{registry.addInterceptor(ipCheckHandlerInterceptor);}}新建EnableIpCheck

参考EnableScheduling的实现自己实现一个EnableIpCheck该注解可以控制功能是否启用

/***

hrefmailto:gcwm99gmail.comgcdd1993/a*

Created

{SpringApplication.run(SampleApplication.class,

args);}}新建测试接口

RequestMapping(/sample/ip-checker)

public

{GetMapping(/white)IpCheck(value

whiteList()

127.0.0.1;}GetMapping(/black)IpCheck(blackList

blackList()

同时配置白名单和黑名单要求IP既在白名单并且不在黑名单否则抛出异常*/GetMapping(/all)IpCheck(value

0:0:0:0:0:0:0:1,

同时配置白名单和黑名单要求IP既在白名单并且不在黑名单否则抛出异常*

支持解析Spring

配置文件*/GetMapping(/config)IpCheck(value

blackList

${digit.ip.check.black-list})String

config()

同时配置白名单和黑名单要求IP既在白名单并且不在黑名单否则抛出异常*

支持解析Spring

配置文件*/GetMapping(/black-config)IpCheck(blackList

${digit.ip.check.black-list})String

blackConfig()

127.0.0.1;}}由于本机请求IP地址是0:0:0:0:0:0:0:1所以这里使用0:0:0:0:0:0:0:1而不是127.0.0.1。

接口返回127.0.0.1

allowed.访问/sample/ip-checker/all

接口返回127.0.0.1

既配置白名单也配置黑名单需要既不在白名单同时在黑名单里才会拦截。

修改配置

192.168.1.2,0:0:0:0:0:0:0:1访问/sample/ip-checker/black-config

Access

IP黑白名单是网络安全管理中常见的策略工具用于控制网络访问权限根据业务场景的不同其应用范围广泛以下是一些典型业务场景

服务器安全防护

黑名单可以用来阻止已知的恶意IP地址或曾经尝试攻击系统的IP地址防止这些来源对服务器进行未经授权的访问、扫描、攻击等行为。

白名单仅允许特定IP或IP段访问关键服务比如数据库服务器、内部管理系统等实现最小授权原则降低被未知风险源入侵的可能性。

网站安全防护

黑名单对于频繁发起恶意请求、爬取数据、DDoS攻击等活动的IP将其加入黑名单以限制其对网站的访问。

白名单如果只希望特定合作伙伴、内部员工或特定区域用户访问网站内容则可通过白名单来限定合法访问者的范围。

API接口保护

对于对外提供的API接口通过设置IP黑白名单确保只有经过认证或信任的系统和客户端才能调用接口。

比如比较容易被盗刷的短信接口、文件接口都需要添加IP黑白名单加以限制。

核心实现

Pattern.compile(10\.\d{1,3}\.\d{1,3}\.\d{1,3}|

127\.\d{1,3}\.\d{1,3}\.\d{1,3}|

return

RequestContextHolder.getRequestAttributes();if

(Objects.isNull(requestAttributes))

{return

requestAttributes).getRequest();var

{ip

request.getHeader(PROXY_CLIENT_IP);}if

{ip

request.getHeader(WL_PROXY_CLIENT_IP);}if

{ip

request.getRemoteAddr();}return

ip;}/***

获取客户端真实IP地址防止使用X-Forwarded-For进行IP伪造攻击防御思路见类注释**

return

INTERNAL_PROXIES.matcher(remoteIp).matches();if

(isInternal)

request.getHeaders(X_FORWARDED_FOR);

e.hasMoreElements();

(concatRemoteIpHeaderValue.length()

{concatRemoteIpHeaderValue.append(,

);}concatRemoteIpHeaderValue.append(e.nextElement());}var

remoteIpHeaderValue

commaDelimitedListToArray(concatRemoteIpHeaderValue.toString());for

(var

(!INTERNAL_PROXIES.matcher(currentRemoteIp).matches())

{return

commaDelimitedListToArray(String

{return

commaDelimitedStrings.isEmpty())?

new

COMMA_SEPARATED_VALUES_PATTERN.split(commaDelimitedStrings);}

}获取到客户端IP后我们只要比对客户端IP是否在配置的白名单/黑名单中即可。

新增注解IpCheck

Retention(RetentionPolicy.RUNTIME)

Documented

白名单IP列表支持${...}*/AliasFor(whiteList)String

value()

白名单IP列表支持${...}*/AliasFor(value)String

whiteList()

;}新增IpCheckHandlerInterceptorImpl

我们实现HandlerInterceptor在接口上进行拦截如果不满足配置的黑白名单则抛出异常。

/***

hrefmailto:gcwm99gmail.comgcdd1993/a*

Created

stringValueResolver;Overridepublic

boolean

检查是否有IpWhitelistCheck注解并且是否开启IP白名单检查if

(!(handler

如果没有注解或者注解中关闭了IP白名单检查则继续处理请求}var

handlerMethod

AnnotationUtils.getAnnotation(method,

IpCheck.class);if

Stream.of(Optional.ofNullable(stringValueResolver.resolveStringValue(annotation.whiteList())).map(it

String[]{})).filter(StringUtils::hasText).map(String::trim).collect(Collectors.toUnmodifiableSet());if

{return

Stream.of(Optional.ofNullable(stringValueResolver.resolveStringValue(annotation.blackList())).map(it

String[]{})).filter(StringUtils::hasText).map(String::trim).collect(Collectors.toUnmodifiableSet());if

{return

setEmbeddedValueResolver(StringValueResolver

resolver)

核心逻辑写完了该怎么使用呢为了达到开箱即用的效果我们可以接着新增自动装配的代码

新建IpCheckConfig

hrefmailto:gcwm99gmail.comgcdd1993/a*

Created

ipCheckHandlerInterceptor;Overridepublic

void

addInterceptors(InterceptorRegistry

registry)

{registry.addInterceptor(ipCheckHandlerInterceptor);}}新建EnableIpCheck

参考EnableScheduling的实现自己实现一个EnableIpCheck该注解可以控制功能是否启用

/***

hrefmailto:gcwm99gmail.comgcdd1993/a*

Created

{SpringApplication.run(SampleApplication.class,

args);}}新建测试接口

RequestMapping(/sample/ip-checker)

public

{GetMapping(/white)IpCheck(value

whiteList()

127.0.0.1;}GetMapping(/black)IpCheck(blackList

blackList()

同时配置白名单和黑名单要求IP既在白名单并且不在黑名单否则抛出异常*/GetMapping(/all)IpCheck(value

0:0:0:0:0:0:0:1,

同时配置白名单和黑名单要求IP既在白名单并且不在黑名单否则抛出异常*

支持解析Spring

配置文件*/GetMapping(/config)IpCheck(value

blackList

${digit.ip.check.black-list})String

config()

同时配置白名单和黑名单要求IP既在白名单并且不在黑名单否则抛出异常*

支持解析Spring

配置文件*/GetMapping(/black-config)IpCheck(blackList

${digit.ip.check.black-list})String

blackConfig()

127.0.0.1;}}由于本机请求IP地址是0:0:0:0:0:0:0:1所以这里使用0:0:0:0:0:0:0:1而不是127.0.0.1。

接口返回127.0.0.1

allowed.访问/sample/ip-checker/all

接口返回127.0.0.1

既配置白名单也配置黑名单需要既不在白名单同时在黑名单里才会拦截。

修改配置

192.168.1.2,0:0:0:0:0:0:0:1访问/sample/ip-checker/black-config

Access