問題描述

網站業務運行過程中會遇到一些惡意 IP 的攻擊訪問，或者非法盜鏈、惡意采集網站資源的情況。如果網站是使用 Apache 服務構建的，可以通過在根目錄下的 .htaccess 文件中進行相關配置來限制某些 IP 對網站的訪問。

解決方案

1、禁止特定 IP 訪問：

Order Allow,DenyAllow from allDeny from 123.46.7.89

以上設置表示禁止 123.46.7.89 訪問，其他IP可以正常訪問。 

2、禁止 IP 地址段訪問：

Order Allow,DenyAllow from allDeny from 192.168.1.

以上設置表示禁止IP地址段 192.168.1.0/24，也就是禁止 192.168.1.1----192.168.1.254 的 IP 訪問。

解釋一下設置中出現的關鍵字：

• Allow 和 Deny 可以用于 Apache 的 .htaccess 文件中，來控制目錄和文件的訪問授權，Allow 表示允許，Deny 表示拒絕。

• Order 關鍵字可以決定 Allow 和 Deny 起作用的順序，簡單的說就是誰排?最后，誰就有最終的決定權，具體如下：

• Order Deny,Allow 意思是先檢查是否有 Deny 規則，不論有沒有 Deny 規則都會繼續檢查是否有 Allow 規則，如果有 Allow，Allow 規則的內容可以覆蓋掉 Deny 規則。

• Order Allow,Deny 恰好相反。 

例如：

Order Allow,DenyAllow from IP1Deny from all

這段規則實際是禁止了所有 IP 訪問。按照誰在最后誰有最終決定權的原則，deny from all 就將 allow 的命令否決了。所以 IP1 也會被禁止，這個規則會禁止所有 IP 對網站的訪問。

如果想只允許 IP1 訪問，其他 IP 全部禁止，正確的寫法應該是：

Order Deny,Allow    //先檢查Deny，由Allow擁有決定權Deny from all       //Deny規則要求禁止所有IP的訪問Allow from IP1      //Allow規則只允許IP1訪問

按照這個原則，可以應用到網站中的常用規則有：

1. 禁止特定 IP 的訪問

   Order Allow,Deny 
   Allow from all Deny from IP1       //IP1替換成用戶需要屏蔽的IP，比如123.46.7.89

2. 禁止部分 IP（IP1,IP2,IP3），其他IP全部允許訪問的兩種寫法

   Order Deny,AllowDeny from IP1 IP2 IP3

   
   或者

   Order Allow,DenyAllow from allDeny from IP1 IP2 IP3

3.