服务器为什么要禁止通过IP直接访问?

 

1、若公布于外网的服务器IP地址未备案,就有可能被工信部查封。这样备案的域名也会无法访问。

2、如果AppScan通过ip访问扫描,会有“发现内部ip泄露模式”的低级别的警告安全风险

     - 可能会收集有关Web 应用程序的敏感信息,如用户名、密码、机器名/或敏感文件位置

 

Tomcat服务为例,可通过简单的配置屏蔽IP地址直接访问:

  IP地址是 120.77.145.25,相应域名是 www.unicom-iot.net

 

  1、找到 conf/server.xml 的 Engine 节点

 

WEB安全:Tomcat 只可通过域名访问,禁止通过 IP 访问_xml
    <Engine name="Catalina" defaultHost="localhost">
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>

      <Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
       <Context path="/iot/file" docBase="/UIOT_FILE/" reloadable="true" />
      </Host>
    </Engine>
WEB安全:Tomcat 只可通过域名访问,禁止通过 IP 访问_xml

  修改为:

WEB安全:Tomcat 只可通过域名访问,禁止通过 IP 访问_xml
    <Engine name="Catalina" defaultHost="www.unicom-iot.net">
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>

      <Host name="www.unicom-iot.net"  appBase="webapps" unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
      <Context path="/iot/file" docBase="/UIOT_FILE/" reloadable="true" />
      </Host>
 
      <Host name="120.77.145.25"  appBase="ipapps"  
            unpackWARs="true" autoDeploy="true"  
            xmlValidation="false" xmlNamespaceAware="false"/>  

    </Engine>
WEB安全:Tomcat 只可通过域名访问,禁止通过 IP 访问_xml

 

  2、此时可以在webapps同级目录创建 ipapps 目录,再在 ipapps下创建一个 ROOT 目录下拷贝,

    同时在里面的 放个 index.html 文件修改成想要展示给用于的界面。

 

  3、重启 Tomcat 即可。

WEB安全:Tomcat 只可通过域名访问,禁止通过 IP 访问_apache_05

 

  POINTS:

 

  1. Engine 节点配置的 defaultHost 表明缺省访问的Host。defaultHost 对应的名称必须存在于 Engine 节点下配置的 host 节点中。

    当一台机器有多个 IP,而按照规定只允许通过一个指定的域名访问时很有用。此时,把 defaultHost 指定为非域名对应的 host,

    这样不通过域名访问时就都定位到指定的非域名 HOST 。

 

  2. Host 节点 name 对应IP地址,以及域名。一个Host只有指定一个IP或域名。

 

  3. Host 节点的 appBase ,对应的是存放web应用的目录。这里输入的目录相对于 %TOMCAT_HOME% ,

    如上面的 www.myTest.com 对应的目录是 %TOMCAT_HOME%/webapps,而 120.77.145.25 对应的目录是 %TOMCAT_HOME%/ipapps。

 

 

  4.修改 localhost 为 www.unicom-iot.net 后,在 %TOMCAT_HOME%/conf/Catalina/localhost 下配置的虚拟目录会失效。

    因为配置虚拟目录的元素节点 Context 是 server.xml 下 Host 节点下的子节点,Catalina 下的文件夹名字是根据 host 节点的 name 属性来的。

    现在 Host 的 name 已经改 www.unicom-iot.net 那么需要在 %TOMCAT_HOME%/conf/Catalina 新建一个 www.unicom-iot.net 的文件夹,

    然后把 localhost 下的 myTest.xml 文件拷贝到 www.unicom-iot.net 文件夹下才能是虚拟目录继续有效。