服务器怎么加白

服务器加白全攻略

在网络安全防护体系中，“服务器加白”是一项至关重要的操作，它能有效防止服务器遭受反面攻击、非规访问等风险，保障服务器稳定运行以及数据安全，以下为你详细介绍服务器加白的多种方法及相关要点。

一、IP 白名单设置

这是最常见的服务器加白方式，通过将信任的 IP 地址添加到服务器的白名单中，仅允许这些特定 IP 访问服务器资源。

（一）Windows 系统服务器（以 IIS 为例）

1、打开“Internet 信息服务（IIS）管理器”，找到要配置的网站或应用程序。

2、在右侧操作栏点击“IP 地址和域限制”。

3、点击右侧“编辑功能设置”，确保“启用 IP 地址限制”勾选。

4、再次点击右侧“添加允许条目”，在弹出窗口中输入要加白的 IP 地址，可具体到单个 IP 或设置 IP 范围，如“192.168.1.100”或“192.168.1.0/24”，填写描述后点击“确定”。

（二）Linux 系统服务器（以 Nginx 为例）

1、找到 Nginx 配置文件，通常位于“/etc/nginx/nginx.conf”或站点配置文件目录下。

2、在 server 块内添加如下指令：

allow 192.168.1.100;
allow 192.168.1.0/24;
deny all;

192.168.1.100”为允许的单个 IP，“192.168.1.0/24”为允许的 IP 段，“deny all”表示拒绝其他所有未授权 IP 访问。

3、保存配置文件并重启 Nginx 服务，使配置生效：sudo systemctl restart nginx

二、域名白名单设置

当基于域名来识别和控制访问时，域名白名单就发挥作用了，尤其适用于有固定域名访问服务器的场景。

（一）Apache 服务器

1、编辑 Apache 虚拟主机配置文件，一般位于“/etc/httpd/conf/httpd.conf”或“/etc/apache2/sites-available/default”等路径。

2、在相应的虚拟主机配置段落中，使用“Require”指令配合域名来实现白名单。

<VirtualHost *:80>
    ServerName example.com
    DocumentRoot /var/www/html
    <Directory /var/www/html>
        Require host example.com
    </Directory>
</VirtualHost>

此配置确保只有访问“example.com”域名的请求能被允许访问该虚拟主机下的文档根目录。

3、重启 Apache 服务：sudo systemctl restart httpd（CentOS）或sudo systemctl restart apache2（Ubuntu）。

（二）Nginx 服务器

1、在 Nginx 服务器块中配置，同样找到相应站点的配置文件。

2、添加如下指令：

server {
    listen 80;
    server_name example.com;
    location / {
        if ($host !~* ^(example.com)$ ) {
            return 403;
        }
        root /var/www/html;
        index index.html;
    }
}

这里通过判断请求头中的 Host 字段是否与指定域名匹配，若不匹配则返回 403 禁止访问状态码，实现域名白名单效果，保存后重启 Nginx 服务。

三、MAC 地址白名单设置（适用于局域网环境）

在一些局域网内的服务器管理场景下，可依据客户端设备的 MAC 地址进行访问控制。

（一）路由器层面设置（以常见家用路由器为例）

1、登录路由器管理界面，一般在浏览器地址栏输入路由器默认 IP，如“192.168.0.1”或“192.168.1.1”，输入用户名和密码进入。

2、找到“访问控制”或“家长控制”等相关功能模块。

3、开启访问控制功能，选择“允许”模式，然后依次添加允许访问服务器的设备 MAC 地址，设备列表可通过“DHCP 客户端列表”查看已连接设备的 MAC 信息获取。

4、保存设置，此时只有白名单内的设备能通过路由器访问服务器。

（二）服务器防火墙规则设置（以 Linux iptables 为例）

1、查看要允许访问的客户端 MAC 地址，假设为“00:11:22:33:44:55”。

2、使用 iptables 命令添加规则：

sudo iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT

此规则将允许具有该 MAC 地址的数据包进入服务器，若要永久保存规则，需根据系统不同将规则写入相应配置文件，如在 CentOS 中可保存到“/etc/sysconfig/iptables”文件。

3、执行命令使规则生效：sudo service iptables restart

四、注意事项

1、精准配置：无论是 IP、域名还是 MAC 地址加白，都要确保配置的准确性，避免因误填导致合法用户无法访问或安全破绽，IP 地址范围书写错误可能把不该限制的 IP 排除在外，或者把应允许的 IP 错误拦截。

2、动态调整：随着业务发展和网络环境变化，可能需要频繁更新白名单，比如公司新增部门员工，其办公电脑 IP 需及时加入；网站更换域名，域名白名单也要同步修改，建议定期审查白名单合理性。

3、多层防护结合：单一加白方式存在局限性，实际运维中宜结合多种手段，如在网络边界部署防火墙做 IP 过滤的同时，服务器内部软件再设域名或 MAC 白名单，层层把关提升安全性。

相关问答FAQs

问题 1：我在 Windows 服务器上设置了 IP 白名单，但外部合法用户反馈无法访问，可能是什么原因？

答：首先检查用户访问的 IP 地址是否准确无误地添加到了白名单中，注意是否存在大小写、空格等输入错误；其次确认服务器上的相关网络服务（如网站、数据库服务等）是否正常启动运行；再者排查网络中间环节，像是否有额外的防火墙、路由器策略阻挡了该 IP 访问；最后检查 Windows 系统自身是否存在网络故障或安全策略冲突，例如系统自带的防火墙是否误拦了访问请求。

问题 2：对于拥有多个子域名的网站，如何在 Nginx 中设置域名白名单？

答：如果主域名是“example.com”，子域名有“sub1.example.com”“sub2.example.com”等，在 Nginx 配置中可使用通配符来简化设置，在 server 块里将“server_name”设置为“.example.com”，这样就能匹配所有以“example.com”结尾的子域名，同时按照上述提到的域名白名单逻辑，在 location 或其他配置区块内添加对子域名访问的控制指令，保障合法子域名访问，阻止非规域名请求。

小编有话说：服务器加白虽看似简单，实则关乎网络安全大局，每一个细节都不容小觑，各位运维人员、网管小伙伴在操作时务必严谨细致，多测试、勤检查，让服务器在安全的“白名单护盾”下稳健运行，为业务保驾护航，毕竟，网络安全无小事，稍有不慎就可能给企业、用户带来难以估量的损失，希望大家都能掌握好这些加白技巧，筑牢服务器安全防线。