文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

开发环境下如何进行安全加固呢

2024-12-02 15:47

关注

[[437935]]

目前合理的需求如下:

  1. 公司网络地址段可以访问开发环境不受限制
  2. 允许部分第三方IP地址段加入白名单
  3. 若第三方IP不固定,需支持第三方回调的URL加入白名单
  4. 不在上述条件内全部禁止外网访问。

面对上述简单的需求场景,我们如何实现呢?

方案一:采用防火墙白名单策略进行实现,目前看只能实现 1 和 2 的条件

方案二:采用Nginx的allow、deny等策略,目前看也只能实现 1 和 2 的条件

方案三:采用Nginx+Lua 通过access_by_lua_file策略,目前看能实现上述所有条件而且实现起来比较简单,改造成本较小。

  1. 在Nginx的server层配置:access_by_lua_file 'scripts/filter_white.lua'
  2. filter_white.lua 脚本配置信息: 
  1. root@develop:/usr/local/nginx/scripts# cat filter_white.lua  
  2. -- 默认配置 
  3. local redis = require 'resty.redis' 
  4. local allow = false 
  5.  
  6. -- 连接Redis 
  7. local red = redis:new() 
  8. local ok, err = red:connect('172.17.173.183', 26379) 
  9. if not ok then 
  10.     ngx.log(ngx.ERR, 'connect to redis failed: ' .. err) 
  11. end 
  12.  
  13. local res, err = red:auth('Huajianghu@123'
  14. if not res then 
  15.     ngx.log(ngx.ERR, 'failed to authenticate: ' .. err) 
  16. end 
  17.  
  18. -- 过滤精确IP 
  19. --if red:sismember('white:dev:ip', ngx.var.remote_addr) == 1 then 
  20. --    allow = true 
  21. --end 
  22.  
  23. -- 过滤IP地址段 
  24. local iputils = require("resty.iputils"
  25. iputils.enable_lrucache() 
  26. local white_ips =red:smembers('white:dev:ip'
  27. local whitelist = iputils.parse_cidrs(white_ips) 
  28. if iputils.ip_in_cidrs(ngx.var.remote_addr, whitelist) then 
  29.     allow = true 
  30. end  
  31.  
  32. -- 过滤URL 
  33. if not allow then 
  34.         local url = ngx.var.http_host .. ngx.var.uri 
  35.         local white_urls = red:smembers('white:dev:url'
  36.         for index, white_url in ipairs(white_urls) do 
  37.                 if url:match(white_url) then 
  38.                         allow = true 
  39.                         break 
  40.                 end 
  41.         end 
  42. end 
  43.  
  44. -- 默认策略 
  45. if not allow then 
  46.     ngx.log(ngx.ERR, "not allow: " .. ngx.var.http_host .. ngx.var.uri) 
  47.     ngx.status = ngx.HTTP_FORBIDDEN 
  48.     ngx.say('请申请白名单'
  49.     ngx.exit(200) 
  50. end 

此脚本仅供参考使用,特殊场景需要进行修改lua脚本。

 

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯