安全性设计之-ip白名单设计.pdfVIP

安全性设计之-ip⽩名单设计 最近⼀直在做系统的接⼝开发，接⼝对于安全性有⼀定的要求，采⽤了⼀定的安全措施，各种加解密，证书⼿段也采⽤了。做了这些常见的 安全措施之后，考虑到限制⾮法ip的访问，决定采⽤ip⽩名单设计，只允许部分许可ip访问系统，未许可ip⼀律禁⽌访问，减少⾮法请求。 好了，⾔归正传，说下需求。 ip⽩名单设计需求 1. ⽀持ipv4 2. ⽀持多种校验规则 3. ⽀持单个，多个，ip范围，⽹段ip封禁策略 4. 后期要求⽀持ipv6 解决⽅案 好了，有了以上需求，我们就需要，动⼿开发了，开发之前，我们先来普及下基本的⽹络知识 现在的IP⽹络使⽤32位地址，以点分⼗进制表⽰，如。地址格式为：IP地址=⽹络地址＋主机地址 或 IP地址=主机地址＋ ⼦⽹地址＋主机地址。 在IP地址3种主要类型⾥，各保留了3个区域作为私有地址，其地址范围如下： A类地址：～55 B类地址：～55 C类地址：～55 A类地址的第⼀组数字为1～126。注意，数字0和 127不作为A类地址，数字127保留给内部回送函数，⽽数字0则表⽰该地址是本地宿主 机，不能传送。 B类地址的第⼀组数字为128～191。 C类地址的第⼀组数字为192～223。 ⼀般公司上⽹配置⽹络地址时，都需要配置 主机地址，⼦⽹掩码，默认⽹关，dns地址 主机地址：即该主机在该⽹段的唯⼀标识 如 ⼦⽹掩码：即标识该主机所在⼦⽹范围，区分⽹络段和地址段 默认⽹关： ⼀个⽤于 TCP/IP 协议的配置项，是⼀个可直接到达的 IP 路由器的 IP 地址。配置默认⽹关可以在 IP 路由表中创建⼀个默认路 径。 ⼀台主机可以有多个⽹关。默认⽹关的意思是⼀台主机如果找不到可⽤的⽹关，就把数据包发给默认指定的⽹关，由这个⽹关来处理 数据包。现在主机使⽤的⽹关，⼀般指的是默认⽹关。 ⼀台电脑的默认⽹关是不可以随随便便指定的，必须正确地指定，否则⼀台电脑就 会将数据包发给不是⽹关的电脑，从⽽⽆法与其他⽹络的电脑通信。默认⽹关的设定有⼿动设置和⾃动设置两种⽅式 dns地址：⽤于解析域名信息和ip地址 好的，基础⽹络知识普及完毕。 ⽩名单设计关键： 包含多个规则，可以设计分隔符，分离规则字符串为多个规则列表，分割字符；，都可。 单个ip，和多个ip⽩名单匹配规则，只要判断该规则中是否包含远端ip字符即可，实现简单如规则符：； ip范围：范例规则字符--5 即ip在 /24 ⽹段 1-15都为合法，默认为范围闭区间 设计思路： ipv4 分为4段，每段范围：0-255 所以⾸先找出范围ip不同部分所在的段，然后依据ip划分规则，计算 例如 -5 包含 ⽹段 -55,-55, -5 所以只要在这个范围中ip都是合法的 ⽹段地址如何判断尼,请观察 ⽹段地址规则,例如/24 ⽹络地址/⽹络位数 ⽹络地址: ⼦⽹掩码: 测试ip: ⽹络地址=ip⼦⽹ 所以判断⼀个ip是否属于⼀个⽹段可以通过ip和⼦⽹相与得到⽹络地址,如果和⽩名单中⽹络地址相同,则允许访问 好的,分析完毕 上代码: package com.taoyuanx.utils; import java.util.ArrayList; import java.util.HashSet; import java.util.List; import java.util.Set; import java.util.regex.Pattern; /** * * ip ⽩名单校验 * public final class IpWhiteCheckUtil { IP 的正则 private static Pattern pattern = Pattern .compile((1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\. + (1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\. + (1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\. + (1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})); public static final String DEFAULT_ALLOW_ALL_FLAG = *;