一、通过安全组规则限制IP访问
安全组是阿里云服务器最常用的网络访问控制工具,可通过以下步骤配置:
- 登录阿里云控制台,进入ECS管理页面,在左侧导航栏选择“网络与安全” → “安全组”
- 选择目标安全组实例,点击“配置规则”,在“入方向”或“出方向”标签页中添加新规则
- 设置协议类型(如HTTP/80或自定义TCP)、授权策略(允许/拒绝)、源IP地址范围(如单个IP或CIDR格式网段)
- 保存规则后,配置将在1分钟内生效
典型应用场景:限制Web服务仅允许特定IP访问时,可创建授权策略:拒绝且源IP:0.0.0.0/0的规则,再添加白名单IP的允许规则
二、使用网络ACL实现IP过滤
网络ACL提供子网级别的访问控制,配置流程如下:
- 进入VPC管理控制台,选择目标VPC实例的网络ACL模块
- 创建新规则时设置匹配条件:协议类型、源/目的IP地址、动作(接受/拒绝)
- 规则优先级数值越小优先级越高,建议拒绝规则设置较高优先级
与安全组的区别:网络ACL支持无状态检测,适用于需要双向控制的场景,且可关联多个交换机
三、系统级防火墙配置方法
对于操作系统层面的IP限制,可通过以下方式实现:
# 禁止特定IP访问 iptables -A INPUT -s 222.186.23.24 -j DROP # 仅允许指定IP访问SSH iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
Web服务器特殊配置:Apache可通过.htaccess文件添加以下规则实现IP封禁
Order Allow,Deny Allow from all Deny from 222.186.23.24
四、SSH服务访问限制
加强SSH访问安全性的两种方法:
- 修改sshd_config文件:添加
AllowUsers user@192.168.1.0/24限制允许登录的IP段 - 使用安全组规则:仅开放特定IP对TCP 22端口的访问权限
配置完成后需执行systemctl restart sshd使新配置生效,建议同时启用密钥认证增强安全性
阿里云提供多层次IP访问控制机制:安全组适用于实例级别的粗粒度控制;网络ACL实现子网级别的流量过滤;系统防火墙和SSH配置则提供更细粒度的应用层控制。建议采用分层防御策略,先通过安全组设置基础白名单,再结合网络ACL和系统防火墙处理特殊需求
