安全性设计之-ip⽩名单设计
安全性设计之-ip⽩名单设计
最近⼀直在做系统的接⼝开发,接⼝对于安全性有⼀定的要求,采⽤了⼀定的安全措施,各种加解密,证书⼿段也采⽤了。做了这些常见的安全措施之后,考虑到限制⾮法ip的访问,决定采⽤ip⽩名单设计,只允许部分许可ip访问系统,未许可ip⼀律禁⽌访问,减少⾮法请求。 好了,⾔归正传,说下需求。
ip⽩名单设计需求
1. ⽀持ipv4
2. ⽀持多种校验规则
3. ⽀持单个,多个,ip范围,⽹段ip封禁策略
4. 后期要求⽀持ipv6
解决⽅案
好了,有了以上需求,我们就需要,动⼿开发了,开发之前,我们先来普及下基本的⽹络知识
现在的IP⽹络使⽤32位地址,以点分⼗进制表⽰,如172.16.0.0。地址格式为:IP地址=⽹络地址+主机地址 或 IP地址=主机地址+⼦⽹地址+主机地址。
在IP地址3种主要类型⾥,各保留了3个区域作为私有地址,其地址范围如下:
A类地址:10.0.0.0~10.255.255.255
B类地址:172.16.0.0~172.31.255.255
C类地址:192.168.0.0~192.168.255.255
A类地址的第⼀组数字为1~126。注意,数字0和 127不作为A类地址,数字127保留给内部回送函数,⽽数字0则表⽰该地址是本地宿主机,不能传送。
B类地址的第⼀组数字为128~191。
C类地址的第⼀组数字为192~223。
⼀般公司上⽹配置⽹络地址时,都需要配置 主机地址,⼦⽹掩码,默认⽹关,dns地址
主机地址:即该主机在该⽹段的唯⼀标识 如 192.168.1.1
⼦⽹掩码:即标识该主机所在⼦⽹范围,区分⽹络段和地址段
默认⽹关: ⼀个⽤于 TCP/IP 协议的配置项,是⼀个可直接到达的 IP 路由器的 IP 地址。配置默认⽹关可以在 IP 路由表中创建⼀个默认路径。 ⼀台主机可以有多个⽹关。默认⽹关的意思是⼀台主机如果找不到可⽤的⽹关,就把数据包发给默认指定的⽹关,由这个⽹关来处理数据包。现在主机使⽤的⽹关,⼀般指的是默认⽹关。 ⼀台电脑的默认⽹关是不可以随随便便指定的,必须正确地指定,否则⼀台电脑就会将数据包发给不是⽹关的电脑,从⽽⽆法与其他⽹络的电脑通信。默认⽹关的设定有⼿动设置和⾃动设置两种⽅式
dns地址:⽤于解析域名信息和ip地址
好的,基础⽹络知识普及完毕。
⽩名单设计关键:
包含多个规则,可以设计分隔符,分离规则字符串为多个规则列表,分割字符;,都可。
单个ip,和多个ip⽩名单匹配规则,只要判断该规则中是否包含远端ip字符即可,实现简单如规则符:192.168.1.1;192.168.1.2
ip范围:范例规则字符-192.168.1.1-192.168.1.15
即ip在 192.168.1.0/24 ⽹段 1-15都为合法,默认为范围闭区间
设计思路:
ipv4 分为4段,每段范围:0-255
所以⾸先找出范围ip不同部分所在的段,然后依据ip划分规则,计算
例如 192.168.0.0-192.168.2.15
包含 ⽹段 192.168.0.0 -192.168.0.255,192.168.1.0-192.168.1.255,
192.168.2.0-192.168.2.15
所以只要在这个范围中ip都是合法的
⽹段地址如何判断尼,请观察 ⽹段地址规则,例如192.168.31.0/24
⽹络地址/⽹络位数
⽹络地址:192.168.31.0
⼦⽹掩码:255.255.255.0
测试ip:192.168.31.1
⽹络地址=ip&⼦⽹
所以判断⼀个ip是否属于⼀个⽹段可以通过ip和⼦⽹相与得到⽹络地址,如果和⽩名单中⽹络地址相同,则允许访问
好的,分析完毕
上代码:
package com.taoyuanx.utils;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import Pattern;
/**
*
* ip ⽩名单校验
*/
public final class IpWhiteCheckUtil {
// IP的正则
private static Pattern pattern = Pattern
.compile("(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\." + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."
+ "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\." + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})");
拼音练习
public static final String DEFAULT_ALLOW_ALL_FLAG = "*";// 允许所有ip标志位
public static final String DEFAULT_DENY_ALL_FLAG = "0"; // 禁⽌所有ip标志位
/**
*
* getAvaliIpList:(根据IP⽩名单设置获取可⽤的IP列表).
*
* @date 2017-4-17 下午02:50:20
* @param ipConfig
* @return
*/
private static Set<String> getAvaliIpList(String allowIp) {
String[] splitRex = allowIp.split(";");// 拆分出⽩名单正则
Set<String> ipList = new HashSet<String>(splitRex.length);
for (String allow : splitRex) {
if (ains("*")) {// 处理通配符 *
String[] ips = allow.split("\\.");
String[] from = new String[] { "0", "0", "0", "0" };
String[] end = new String[] { "255", "255", "255", "255" };
List<String> tem = new ArrayList<String>();
for (int i = 0; i < ips.length; i++)
if (ips[i].indexOf("*") > -1) {
tem = complete(ips[i]);
from[i] = null;
end[i] = null;
} el {
from[i] = ips[i];
end[i] = ips[i];
}
StringBuilder fromIP = new StringBuilder();
StringBuilder fromIP = new StringBuilder();
StringBuilder endIP = new StringBuilder();
for (int i = 0; i < 4; i++)
if (from[i] != null) {
fromIP.append(from[i]).append(".");
endIP.append(end[i]).append(".");
} el {
fromIP.append("[*].");
endIP.append("[*].");
}
fromIP.deleteCharAt(fromIP.length() - 1);
endIP.deleteCharAt(endIP.length() - 1);
for (String s : tem) {
String ip = String().replace("[*]", s.split(";")[0]) + "-" + String().replace("[*]", s.split(";")[1]);
if (validate(ip)) {
ipList.add(ip);
}
}
} el if (ains("/")) {// 处理⽹段 /24
ipList.add(allow);
} el {// 处理单个 ip 或者范围
if (validate(allow)) {
ipList.add(allow);
}
}
}
return ipList;
}
/**
* 对单个IP节点进⾏范围限定
*
* @param arg
* @return返回限定后的IP范围,格式为List[10;19, 100;199]
*/
private static List<String> complete(String arg) {
List<String> com = new ArrayList<String>();
int len = arg.length();
if (len == 1) {
com.add("0;255");
} el if (len == 2) {发芽图片
String s1 = complete(arg, 1);
if (s1 != null)
com.add(s1);
String s2 = complete(arg, 2);
if (s2 != null)
com.add(s2);
} el {
String s1 = complete(arg, 1);
if (s1 != null)
com.add(s1);
}
return com;
}
private static String complete(String arg, int length) {
小河怎么画
String from = "";
String end = "";
if (length == 1) {
from = place("*", "0");
end = place("*", "9");
} el {
} el {
from = place("*", "00");
end = place("*", "99");
}南沙参的功效与作用
if (Integer.valueOf(from) > 255)
return null;
if (Integer.valueOf(end) > 255)
end = "255";
return from + ";" + end;
}
/**
* 在添加⾄⽩名单时进⾏格式校验
*
诗篇圣经* @param ip
* @return
*/
private static boolean validate(String ip) {
String[] temp = ip.split("-");
for (String s : temp)
if (!pattern.matcher(s).matches()) {
return fal;
}
return true;
}
/**
*
* isPermited:(根据IP,及可⽤Ip列表来判断ip是否包含在⽩名单之中).
*
* @date 2017-4-17 下午03:01:03
* @param ip
* @param ipList
* @return
*/
private static boolean isPermited(String ip, Set<String> ipList) {
if (ipList.isEmpty() || ains(ip))
return true;
for (String allow : ipList) {
if (allow.indexOf("-") > -1) {// 处理类似 192.168.0.0-192.168.2.1
String[] tempAllow = allow.split("-");
String[] from = tempAllow[0].split("\\.");
String[] end = tempAllow[1].split("\\.");
String[] tag = ip.split("\\.");
boolean check = true;
for (int i = 0; i < 4; i++) {// 对IP从左到右进⾏逐段匹配
int s = Integer.valueOf(from[i]);
int t = Integer.valueOf(tag[i]);
int e = Integer.valueOf(end[i]);
if (!(s <= t && t <= e)) {
check = fal;
break;
}
}
写真图片大全if (check)
return true;
} el if (ains("/")) {// 处理⽹段 /24
int splitIndex = allow.indexOf("/");
// 取出⼦⽹段
String ipSegment = allow.substring(0, splitIndex); // 192.168.3.0
// ⼦⽹数
String netmask = allow.substring(splitIndex + 1);// 24
// ip 转⼆进制
long ipLong = ipToLong(ip);
//⼦⽹⼆进制
long maskLong=(2L<<32 -1) -(2L << Integer.valueOf(32-Integer.valueOf(netmask))-1);
long maskLong=(2L<<32 -1) -(2L << Integer.valueOf(32-Integer.valueOf(netmask))-1);
// ip与和⼦⽹相与得到⽹络地址
String calcSegment = longToIP(ipLong & maskLong);
// 如果计算得出⽹络地址和库中⽹络地址相同则合法
if(ipSegment.equals(calcSegment))return true;
}
}
return fal;
}
/**
*
* isPermited:(根据IP地址,及IP⽩名单设置规则判断IP是否包含在⽩名单).
*
* @date 2017-4-17 下午03:01:37
* @param ip
* @param ipWhiteConfig
* @return
*/
public static boolean isPermited(String ip, String ipWhiteConfig) {
if (null == ip || "".equals(ip))
return fal;
//ip格式不对
if(!pattern.matcher(ip).matches())return fal;
if (DEFAULT_ALLOW_ALL_FLAG.equals(ipWhiteConfig))
return true;
if (DEFAULT_DENY_ALL_FLAG.equals(ipWhiteConfig))
return fal;
Set<String> ipList = getAvaliIpList(ipWhiteConfig);
return isPermited(ip, ipList);
}
private static long ipToLong(String strIP) {
long[] ip = new long[4];
// 先找到IP地址字符串中.的位置
int position1 = strIP.indexOf(".");
int position2 = strIP.indexOf(".", position1 + 1);
int position3 = strIP.indexOf(".", position2 + 1);
// 将每个.之间的字符串转换成整型
ip[0] = Long.parLong(strIP.substring(0, position1));
ip[1] = Long.parLong(strIP.substring(position1 + 1, position2));
ip[2] = Long.parLong(strIP.substring(position2 + 1, position3));
ip[3] = Long.parLong(strIP.substring(position3 + 1));
return (ip[0] << 24) + (ip[1] << 16) + (ip[2] << 8) + ip[3];
}
// 将10进制整数形式转换成127.0.0.1形式的IP地址
private static String longToIP(long longIP) {
顶破天打一字StringBuilder sb = new StringBuilder("");
/
/ 直接右移24位
sb.append(String.valueOf(longIP >>> 24));
sb.append(".");
// 将⾼8位置0,然后右移16位
sb.append(String.valueOf((longIP & 0x00FFFFFF) >>> 16));
sb.append(".");
sb.append(String.valueOf((longIP & 0x0000FFFF) >>> 8));
sb.append(".");
sb.append(String.valueOf(longIP & 0x000000FF));
String();
}
课外书public static void main(String[] args) {
System.out.println("192.168.0".matches("192.*"));
System.out.println(IpWhiteCheckUtil.isPermited("192.168.0.1","192.*"));
