防止惡意解析——禁止通過IP直接訪問網站

一、什么是惡意解析

    一般情況下，要使域名能訪問到網站需要兩步，第一步，將域名解析到網站所在的主機，第二步，在web服務器中將域名與相應的網站綁定。但是，如果通過主機IP能直接訪問某網站，那么把域名解析到這個IP也將能訪問到該網站，而無需在主機上綁定，也就是說任何人將任何域名解析到這個IP就能訪問到這個網站。可能您并不介意通過別人的域名訪問到您的網站，但是如果這個域名是未備案域名呢？一旦被查出，封IP、拔線甚至罰款的后果都是需要您來承擔的。某些別有用心的人，通過將未備案域名解析到別人的主機上，使其遭受損失，這是一種新興的***手段。

二、Apache服務

    在用apache搭建的WEB服務器的時候，如何想只能通過設定的域名訪問，而不能直接通過服務器的IP地址訪問呢，有以下兩種方法可以實現（當然肯定還會有其他方法可以實現），都是修改httpd.conf文件來實現的，下面舉例說明。 

    在httpd.conf文件最后面，加入以下代碼 

NameVirtualHost *:80
<VirtualHost *:80>
    ServerName 221.*.*.*
    <Location />
        Order Allow,Deny
        Deny from all
    </Location>
</VirtualHost>
　　　　 
<VirtualHost *:80>
    DocumentRoot "/www/web"
    ServerName www.wzlinux.com
</VirtualHost>

    說明：上部分是實現拒絕直接通過221.*.*.*這個IP的任何訪問請求，這時如果你用221.*.*.*訪問，會提示拒絕訪問。下部分就是允許通過www.wzlinux.com這個域名訪問，主目錄指向/www/web(這里假設你的網站的根目錄是/www/web)。

三、Tomcat服務

    修改server.xml這個配置文件。

    比如服務器IP地址是 192.168.1.2 ，相應域名是 www.wzlinux.com。

    打開 %TOMCAT_HOME%/conf/server.xml文件，找到 Engine節點作如下Xml代碼。

<Engine name="Catalina" defaultHost="www.piis.cn"> 
　　<Host name="www.piis.cn" appBase="webapps" 
　　      unpackWARs="true" autoDeploy="true" 
　　      xmlValidation="false" xmlNamespaceAware="false"/> 
　　<Host name="192.168.1.2" appBase="ipapps" 
　　      unpackWARs="true" autoDeploy="true" 
　　      xmlValidation="false" xmlNamespaceAware="false"/> 
</Engine>

注意事項：

　　1. Engine 節點配置的 defaultHost 表明缺省訪問的Host。defaultHost對應的名稱必須存在于Engine節點下配置的host節點中。

　　2. 當一臺機器有多個IP，而按照規定只允許通過一個指定的域名訪問時很有用。此時，把defaultHost指定為非域名對應的host，這樣不通過域名訪問時就都定位到指定的非域名HOST了

　　3. Host 節點 name 對應IP地址，以及域名。一個Host只有指定一個IP或域名。

　　4. Host 節點的 appBase ，對應的是存放web應用的目錄。這里輸入的目錄相對于 %TOMCAT_HOME%，如上面的www.wzlinux.com對應的目錄是 %TOMCAT_HOME%/webapps，而192.168.1.2 對應的目錄是 %TOMCAT_HOME%/ipapps。

四、Nginx服務

    定義一個默認的空主機名，禁止其訪問，需要通過的域名一定要在其他server配置。

server {
    listen       80 default;
    server_name  "";
    return  444;
}

或者

server {
    listen       80 default;
    server_name  _;
    return  444;
}