安全性设计之-ip白名单设计
最近一直在做系统的接口开发,接口对于安全性有一定的要求,采用了一定的安全措施,各种加解密,证书手段也采用了。做了这些常见的安全措施之后,考虑到限制非法ip的访问,决定采用ip白名单设计,只允许部分许可ip访问系统,未许可ip一律禁止访问,减少非法请求。
好了,言归正传,说下需求。
ip白名单设计需求
- 支持ipv4
- 支持多种校验规则
- 支持单个,多个,ip范围,网段ip封禁策略
后期要求支持ipv6
解决方案
好了,有了以上需求,我们就需要,动手开发了,开发之前,我们先来普及下基本的网络知识
现在的IP网络使用32位地址,以点分十进制表示,如172.16.0.0。地址格式为:IP地址=网络地址+主机地址 或 IP地址=主机地址+子网地址+主机地址。
在IP地址3种主要类型里,各保留了3个区域作为私有地址,其地址范围如下:
A类地址:10.0.0.0~10.255.255.255
B类地址:172.16.0.0~172.31.255.255
C类地址:192.168.0.0~192.168.255.255
A类地址的第一组数字为1~126。注意,数字0和 127不作为A类地址,数字127保留给内部回送函数,而数字0则表示该地址是本地宿主机,不能传送。
B类地址的第一组数字为128~191。
C类地址的第一组数字为192~223。
一般公司上网配置网络地址时,都需要配置 主机地址,子网掩码,默认网关,dns地址
主机地址:即该主机在该网段的唯一标识 如 192.168.1.1
子网掩码:即标识该主机所在子网范围,区分网络段和地址段
默认网关: 一个用于 TCP/IP 协议的配置项,是一个可直接到达的 IP 路由器的 IP 地址。配置默认网关可以在 IP 路由表中创建一个默认路径。 一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关,就把数据包发给默认指定的网关,由这个网关来处理数据包。现在主机使用的网关,一般指的是默认网关。 一台电脑的默认网关是不可以随随便便指定的,必须正确地指定,否则一台电脑就会将数据包发给不是网关的电脑,从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式
dns地址:用于解析域名信息和ip地址
好的,基础网络知识普及完毕。
白名单设计关键:
包含多个规则,可以设计分隔符,分离规则字符串为多个规则列表,分割字符;,都可。
单个ip,和多个ip白名单匹配规则,只要判断该规则中是否包含远端ip字符即可,实现简单如规则符:192.168.1.1;192.168.1.2
ip范围:范例规则字符-192.168.1.1-192.168.1.15
即ip在 192.168.1.0/24 网段 1-15都为合法,默认为范围闭区间
设计思路:
ipv4 分为4段,每段范围:0-255
所以首先找出范围ip不同部分所在的段,然后依据ip划分规则,计算
例如 192.168.0.0-192.168.2.15
包含 网段 192.168.0.0 -192.168.0.255,192.168.1.0-192.168.1.255,
192.168.2.0-192.168.2.15
所以只要在这个范围中ip都是合法的
网段地址如何判断尼,请观察 网段地址规则,例如192.168.31.0/24
网络地址/网络位数
网络地址:192.168.31.0
子网掩码:255.255.255.0
测试ip:192.168.31.1
网络地址=ip&子网
所以判断一个ip是否属于一个网段可以通过ip和子网相与得到网络地址,如果和白名单中网络地址相同,则允许访问
好的,分析完毕
上代码:
package com.taoyuanx.utils;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import java.util.regex.Pattern;
/**
*
* ip 白名单校验
*/
public final class IpWhiteCheckUtil {
// IP的正则
private static Pattern pattern = Pattern
.compile("(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\." + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."
+ "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\." + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})");
public static final String DEFAULT_ALLOW_ALL_FLAG = "*";// 允许所有ip标志位
public static final String DEFAULT_DENY_ALL_FLAG = "0"; // 禁止所有ip标志位
/**
*
* getAvaliIpList:(根据IP白名单设置获取可用的IP列表).
*
* @date 2017-4-17 下午02:50:20
* @param ipConfig
* @return
*/
private static Set<String> getAvaliIpList(String allowIp) {
String[] splitRex = allowIp.split(";");// 拆分出白名单正则
Set<String> ipList = new HashSet<String>(splitRex.length);
for (String allow : splitRex) {
if (allow.contains("*")) {// 处理通配符 *
String[] ips = allow.split("\\.");
String[] from = new String[] { "0", "0", "0", "0" };
String[] end = new String[] { "255", "255", "255", "255" };
List<String> tem = new ArrayList<String>();
for (int i = 0; i < ips.length; i++)
if (ips[i].indexOf("*") > -1) {
tem = complete(ips[i]);
from[i] = null;
end[i] = null;
} else {
from[i] = ips[i];
end[i] = ips[i];
}
StringBuilder fromIP = new StringBuilder();
StringBuilder endIP = new StringBuilder();
for (int i = 0; i < 4; i++)
if (from[i] != null) {
fromIP.append(from[i]).append(".");
endIP.append(end[i]).append(".");
} else {
fromIP.append("[*].");
endIP.append("[*].");
}
fromIP.deleteCharAt(fromIP.length() - 1);
endIP.deleteCharAt(endIP.length() - 1);
for (String s : tem) {
String ip = fromIP.toString().replace("[*]", s.split(";")[0]) + "-"
+ endIP.toString().replace("[*]", s.split(";")[1]);
if (validate(ip)) {
ipList.add(ip);
}
}
} else if (allow.contains("/")) {// 处理 网段 xxx.xxx.xxx./24
ipList.add(allow);
} else {// 处理单个 ip 或者 范围
if (validate(allow)) {
ipList.add(allow);
}
}
}
return ipList;
}
/**
* 对单个IP节点进行范围限定
*
* @param arg
* @return 返回限定后的IP范围,格式为List[10;19, 100;199]
*/
private static List<String> complete(String arg) {
List<String> com = new ArrayList<String>();
int len = arg.length();
if (len == 1) {
com.add("0;255");
} else if (len == 2) {
String s1 = complete(arg, 1);
if (s1 != null)
com.add(s1);
String s2 = complete(arg, 2);
if (s2 != null)
com.add(s2);
} else {
String s1 = complete(arg, 1);
if (s1 != null)
com.add(s1);
}
return com;
}
private static String complete(String arg, int length) {
String from = "";
String end = "";
if (length == 1) {
from = arg.replace("*", "0");
end = arg.replace("*", "9");
} else {
from = arg.replace("*", "00");
end = arg.replace("*", "99");
}
if (Integer.valueOf(from) > 255)
return null;
if (Integer.valueOf(end) > 255)
end = "255";
return from + ";" + end;
}
/**
* 在添加至白名单时进行格式校验
*
* @param ip
* @return
*/
private static boolean validate(String ip) {
String[] temp = ip.split("-");
for (String s : temp)
if (!pattern.matcher(s).matches()) {
return false;
}
return true;
}
/**
*
* isPermited:(根据IP,及可用Ip列表来判断ip是否包含在白名单之中).
*
* @date 2017-4-17 下午03:01:03
* @param ip
* @param ipList
* @return
*/
private static boolean isPermited(String ip, Set<String> ipList) {
if (ipList.isEmpty() || ipList.contains(ip))
return true;
for (String allow : ipList) {
if (allow.indexOf("-") > -1) {// 处理 类似 192.168.0.0-192.168.2.1
String[] tempAllow = allow.split("-");
String[] from = tempAllow[0].split("\\.");
String[] end = tempAllow[1].split("\\.");
String[] tag = ip.split("\\.");
boolean check = true;
for (int i = 0; i < 4; i++) {// 对IP从左到右进行逐段匹配
int s = Integer.valueOf(from[i]);
int t = Integer.valueOf(tag[i]);
int e = Integer.valueOf(end[i]);
if (!(s <= t && t <= e)) {
check = false;
break;
}
}
if (check)
return true;
} else if (allow.contains("/")) {// 处理 网段 xxx.xxx.xxx./24
int splitIndex = allow.indexOf("/");
// 取出子网段
String ipSegment = allow.substring(0, splitIndex); // 192.168.3.0
// 子网数
String netmask = allow.substring(splitIndex + 1);// 24
// ip 转二进制
long ipLong = ipToLong(ip);
//子网二进制
long maskLong=(2L<<32 -1) -(2L << Integer.valueOf(32-Integer.valueOf(netmask))-1);
// ip与和子网相与 得到 网络地址
String calcSegment = longToIP(ipLong & maskLong);
// 如果计算得出网络地址和库中网络地址相同 则合法
if(ipSegment.equals(calcSegment))return true;
}
}
return false;
}
/**
*
* isPermited:(根据IP地址,及IP白名单设置规则判断IP是否包含在白名单).
*
* @date 2017-4-17 下午03:01:37
* @param ip
* @param ipWhiteConfig
* @return
*/
public static boolean isPermited(String ip, String ipWhiteConfig) {
if (null == ip || "".equals(ip))
return false;
//ip格式不对
if(!pattern.matcher(ip).matches())return false;
if (DEFAULT_ALLOW_ALL_FLAG.equals(ipWhiteConfig))
return true;
if (DEFAULT_DENY_ALL_FLAG.equals(ipWhiteConfig))
return false;
Set<String> ipList = getAvaliIpList(ipWhiteConfig);
return isPermited(ip, ipList);
}
private static long ipToLong(String strIP) {
long[] ip = new long[4];
// 先找到IP地址字符串中.的位置
int position1 = strIP.indexOf(".");
int position2 = strIP.indexOf(".", position1 + 1);
int position3 = strIP.indexOf(".", position2 + 1);
// 将每个.之间的字符串转换成整型
ip[0] = Long.parseLong(strIP.substring(0, position1));
ip[1] = Long.parseLong(strIP.substring(position1 + 1, position2));
ip[2] = Long.parseLong(strIP.substring(position2 + 1, position3));
ip[3] = Long.parseLong(strIP.substring(position3 + 1));
return (ip[0] << 24) + (ip[1] << 16) + (ip[2] << 8) + ip[3];
}
// 将10进制整数形式转换成127.0.0.1形式的IP地址
private static String longToIP(long longIP) {
StringBuilder sb = new StringBuilder("");
// 直接右移24位
sb.append(String.valueOf(longIP >>> 24));
sb.append(".");
// 将高8位置0,然后右移16位
sb.append(String.valueOf((longIP & 0x00FFFFFF) >>> 16));
sb.append(".");
sb.append(String.valueOf((longIP & 0x0000FFFF) >>> 8));
sb.append(".");
sb.append(String.valueOf(longIP & 0x000000FF));
return sb.toString();
}
public static void main(String[] args) {
System.out.println("192.168.0".matches("192.*"));
System.out.println(IpWhiteCheckUtil.isPermited("192.168.0.1","192.*"));
String ipWhilte = "1.168.1.1;" + //设置单个IP的白名单 //
// "192.*;" //设置ip通配符,对一个ip段进行匹配
"192.168.3.17-192.168.3.38;" //设置一个IP范围
+"192.168.4.0/24"; //設置一个网段
/* System.out.println(IpWhiteCheckUtil.checkLoginIP("1.168.1.1",ipWhilte)); //true
System.out.println(IpWhiteCheckUtil.checkLoginIP("192.168.1.2",ipWhilte)); //false
System.out.println(IpWhiteCheckUtil.checkLoginIP("192.168.3.16",ipWhilte)); //false
System.out.println(IpWhiteCheckUtil.checkLoginIP("192.168.3.37",ipWhilte)); //true
System.out.println(IpWhiteCheckUtil.checkLoginIP("192.168.4.1",ipWhilte));//true
*/
}
}
95
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
