apache禁止使用IP访问和恶意绑定的实现方法（附禁止目录和虚机配置）

草根站长

apache禁止访问目录列表
$ b0 E; L8 f9 ^0 l3 |1 eapache禁止访问目录列表对于开发人员来说还是蛮实用的，可以迅速查找根目录下的所有项目，但如果一个挂在互联网上的服务器为了提高安全性就必须禁止访问目录列表。
1 T) Y1 G4 U9 _. J! t
4 ~* `  k; V5 d1 ~$ J 找到Apache 的 httpd.conf 配置文件将：


  E2 `/ U) `$ |6 P: i! pXML/HTML代码
Options Indexes FollowSymLinks 改为:Options FollowSymLinks 也就是把 Indexes 去掉。   
6 G' h' W# P9 W
; Z5 ?! \# J& W. v* b额外信息：在apache中设置虚拟主机
" n2 b8 u: i& r" I: I0 G/ I
: @) s( V- x( Z8 K) F2 R5 w% K/ p 在IIS中我们可以方便的通过不同的IP或者端口再或者主机头来设置虚拟主机，在apache中也一样可以。
/ a# v& j) o8 k5 |. S" i 假设有www.123.com和www321.com两个域名，要同时指向一个服务器地址，通过这两个域名访问时，要呈现不同的内容，那就需要设置虚拟主机了。域名设置虚拟主机还需要DNS服务器的支持。
. Q+ D3 H( Z* K
配置常识：
: j8 _0 d( n7 K4 c9 Y
/ F: H( |/ G. W. Z#Vi /etc/apache/httpd.conf  #按你实际情况选择

namevirtualhost *   #设定虚拟主机ip默认任意
0 \6 i$ @1 U! R( q+ q
#一个简单的例子
< VirtualHost *>  #设置一个虚拟主机 设置其ip默认任意
ServerName www.123.com  #设置用那个域名访问  
6 G  a6 l6 P- O6 }. h5 UDocumentRoot /var/www/nckz.org  #设置这个虚拟主机web存放的目录
</VirtualHost>
) J6 ^" y4 x( z8 f2 w
' [: ^  v+ J3 Y& y2 q% ~! H7 q4 `* z#配置参数说明
1 D9 @( T1 T' X5 r; O<VirtualHost *> #设置一个虚拟主机 设置其ip默认任意
    ServerAdmin webmaster@site1.com   #设置管理员邮箱
6 C( z$ \% O' J# K4 p) C9 L$ c     DocumentRoot "f:/kuaipan"   #设置虚拟主机网站目录
( H1 N6 U7 O* L5 t. |( o; T! n     ServerName qqcm.net   #设置主域名
     ServerAlias fcc.net  #设置别名
     ErrorLog "logs/site1-error.log" #设置错误日志路径
     CustomLog "logs/site1-access.log" combined  #设置错误日志路径和方式

+ z' |2 k8 V( g) ]: l. }1 V8 E" }% R! b<Directory f:/kuaipan>  #网站目录权限相关针对本虚拟主机，请注意执行规则，不要的选项去掉
* s6 \. q0 R# G. L         Options Indexes FollowSymLinks
         DirectoryIndex index.html index.php #设置默认索引文件（主页）
         AllowOverride all  #确定允许存在于.htaccess文件中的指令类型，默认全部
5 w  i/ S0 `+ a. W5 r, H% @& D1 q         Order allow,deny #先检查允许设定，没有允许的全部禁止，allow,deny可对换
- K  Z; r) p, L         Deny from 10.0.0.1 #禁止10.0.0.1这个ip访问
         Allow from all #允许所有ip和域名访问
</Directory>

- [4 j; Y+ k* R. n* o/ e+ A1 I5 X; c </VirtualHost>

apache禁止使用IP访问的实现方法
" ?) H8 k% ]0 _$ Q+ X7 t用apache搭建的WEB服务器，如何让网友只能通过设定的域名访问，而不能直接通过服务器的IP地址访问呢，有两个方法可以实现（仅限于我知道的，当然肯定还会有其他方法可以实现），都是修改httpd.conf文件来实现的，下面举例说明。 　　方法一：在httpd.conf文件最后面，加入以下代码
　　　　　NameVirtualHost 221.*.*.*
　　　　　<VirtualHost 221.*.*.*>
6 |$ Z* ^! {" _( V4 G2 x　　　　　ServerName 221.*.*.*
　　　　　<Location />
   　　　　 Order Allow,Deny
2 s) K- s! d5 A: }4 L  F: q1 A    　　　　Deny from all
　　　　　</Location>
　　　　　</VirtualHost>　　　　
* b. q$ T8 r) n7 U. E: _' q　　　　　<VirtualHost 221.*.*.*>
8 Q& f2 b: M% S) y" B　　　　　DocumentRoot "c:/web"
　　　　　ServerName www.webjx.com
) a4 i* D) F2 K9 Y* w2 Y　　　　　</VirtualHost>
　　　说明：蓝色部分是实现拒绝直接通过221.*.*.*这个IP的任何访问请求，这时如果你用221.*.*.*访问，会提示拒绝访问。红色部分就是允许通过www.webjx.com这个域名访问，主目录指向c:/web（这里假设你的网站的根目录是c:/web）
9 X* }( n+ n# V4 J: s　　　方法二：在httpd.conf文件最后面，加入以下代码
; u7 M( @# i: B; z  X# z　　　　　NameVirtualHost 221.*.*.*
- \3 h" e' `1 b* H　　　　　<VirtualHost 221.*.*.*>
　　　　　DocumentRoot "c:/test"
. C/ h/ b; N5 @, z% ^: ~　　　　　ServerName 221.*.*.*
* U  g1 h% ?( i0 ^　　　　　</VirtualHost>　　　　　
　　　　　<VirtualHost 221.*.*.*>
　　　　　DocumentRoot "c:/web"
　　　　　ServerName www.webjx.com
% @4 k9 u3 z% P0 R: g; |; h　　　　　</VirtualHost>　　　　
　　　　
6 t( i. ~3 H3 l" L4 w" d) @　　　说明：蓝色部分是把通过221.*.*.*这个IP直接访问的请求指向c:/test目录下，这可以是个空目录，也可以在里面建一个首页文件，如index.hmtl，首面文件内容可以是一个声明，说明不能通过IP直接访问。红色部分的意思跟方法一是一样的。
* b0 K0 i' @0 A$ C8 h/ P' r

1 C' D" {2 g  ^$ J. ~/ {" c  E2. 禁止某些IP访问/只允许某些IP访问  
如果要控制禁止某些非法IP访问，在Directory选项控制：

9 W$ n# _$ h% s( ]% UOrder allow,deny
  Allow from all
! k9 h+ ?9 Q. K8 V7 l' ], f6 l  f4 S  Deny from 10.0.0.1 #阻止一个IP
8 c- B% h4 R/ w- y  {  Deny from 192.168.0.0/24 #阻止一个IP段

$ F2 |; h0 K/ V' n5 h" j4 E  P
只允许某些IP访问，适合比如就允许内部或者合作公司访问：

Order deny,allow
& @0 z! m  G% T* c  Deny from all
  All from example.com #允许某个域名
7 i9 _* l; O3 V" r- rAll from 10.0.0.1 #允许一个iP
3 O( ?5 U* ]! d  All from 10.0.0.1 10.0.0.2 #允许多个iP
, ^4 y+ X) v7 H4 x  U  Allow from 10.1.0.0/255.255.0.0 #允许一个IP段，掩码对
All from 10.0.1 192.168 #允许一个IP段，后面不填写
All from 192.168.0.0/24 #允许一个IP段，网络号
         注：修改后要重启apache
* w, d/ i' s, q) X