<!doctype html public "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<title>www.newok.com::FreeBSD使用大全</title>
<link rel=stylesheet href="newok.css" tppabs="http://www.newok.com/include/newok.css">
</head>

<body>

<div align=center>
<p>&nbsp;</p>
<table width=720>
<tr><td>
<strong>當前所在位置:</strong><a href="javascript:if(confirm('http://www.at.china.com/bsd/index.html  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.at.china.com/bsd/index.html'" tppabs="http://www.at.china.com/bsd/index.html" class=t1>FreeBSD使用大全>></a>
</td></tr>
</table>
<table width=700>
<tr><th><font color=white>FreeBSD連載(86)：對IP地址和域名的控制</font></th></tr>
<tr><td>&nbsp;</td></tr>
<tr><td align=left><i>作者:</i>王波</td></tr>
<tr><td>&nbsp;</td></tr>
<tr><td><font color=white>服務器的安全控制<br>　　Apache提供的各種特性非常豐富，主要是由于其采用的是模塊化的結構，這樣就很容易進行分布式開發。&nbsp;Internet上的眾多開發者為Apache提供了各種各樣的能力，使其能具備其他的Web服務器不能與之相比的能力。在服務器所具備的眾多特性中，安全控制的特性最為有用。<br><br><br>對IP地址和域名的控制<br><br>　　Apache服務器可以基于IP地址和基于用戶對訪問服務器進行控制。在設置文件httpd.conf（或&nbsp;access.conf）中，這些訪問控制的設置是放置在Directory、File和Location語句中的，分別針對主機上的目錄、文件以及URI進行存取控制。然而，由于不是每個使用者都可以隨便更改系統Web服務器的設置文件，并能重新啟動服務器的，因此在設置文件中的控制語句只是提供了基本的訪問控制策略，而更靈活的方式是通過各個文檔目錄中的訪問控制文件來實現的。<br><br>　　為了在需要訪問控制的每個目錄下都設置訪問控制文件，首先要在系統配置文件中設置這個訪問控制文件及其訪問作用。需要使用AccessFileName定義訪問控制文件的名字，缺省它被設置為.htaccess。缺省設置文件將在針對根目錄及/usr/local/www/data這個文檔根目錄的訪問控制語句中設置AllowOverride&nbsp;None&nbsp;，這就意味著不允許這個目錄及其子目錄中的訪問控制文件起作用，為了使得訪問控制文件發揮作用，必須針對需要設置訪問控制的目錄設置AllowOverride&nbsp;All或其他有部分訪問控制功能的選項，此時該目錄及其子目錄下的訪問控制文件也會發揮作用。<br><br>　　AllowOverride&nbsp;All將允許.htaccess文件能改變所有的訪問控制功能，如果僅僅希望目錄的所有者只控制部分訪問控制功能，可以使用AllowOverride的其他設置選項，那樣.htaccess只能使用允許的設置選項。<br><br>　　要在.htaccess文件中針對IP地址和域名進行控制，就需要使用訪問控制語句的Limit語句。因此就要求httpd.conf中必須允許控制文件使用Limit功能，對應的設置為AllowOverride&nbsp;Limit選項（或All選項）。<br><br>　　Limit語句可以使用不同的參數，這些參數為HTTP協議的請求方法，如使用<limit&nbsp;GET>&nbsp;限制HTTP協議中的GET方法，<limit&nbsp;POST>限制http協議中的POST方法，使用</limit>標識這個控制段的結束。對于一般的情況，可以對大部分客戶打開GET、POST和HEAD&nbsp;請求，而關閉PUT、DELETE等其他更復雜且不常用的請求。<br><br>　　如果在.htaccess中沒有使用Limit語句指定具體的訪問方法，那么就表示訪問控制命令將對所有的請求方法都進行控制。<br><br>　　Order定義服務器查詢訪問控制的順序，當設置為Order&nbsp;Allow,&nbsp;Deny的時候將先處理Allow&nbsp;語句，再處理Deny語句。Order&nbsp;Deny,&nbsp;Allow的處理順序相反。由于這兩種不同的方式代表不同的訪問控制策略，Order&nbsp;deny,&nbsp;allow和deny&nbsp;from&nbsp;all合作，是用于只允許設置過的客戶機訪問服務器，而Order&nbsp;allow,&nbsp;deny和allow&nbsp;from&nbsp;all合作，是允許所有的客戶機訪問，而僅僅屏蔽部分具有惡意的網絡地址。<br><br>　　在每個Allow或Deny命令中，可以使用域名（從后向前匹配）、IP（從前向后匹配），all（代表所有主機）來標識Internet上的計算機。這里是一個例子：<br><br>order&nbsp;deny,&nbsp;allow<br>deny&nbsp;from&nbsp;all<br>allow&nbsp;from&nbsp;192.168.1.<br>allow&nbsp;from&nbsp;example.org.cn<br>allow&nbsp;from&nbsp;127.<br>&nbsp;<br>&nbsp;<br><br>　　這個例子是一個專有網絡的例子，它采用的封閉式策略，以保證服務器的安全性。對于對整個&nbsp;Internet開放的公共Web服務器，那么采取的策略應該與之相反。<br><br>未完，待續。。。</font></td></tr>
<tr><td>&nbsp;</td></tr>
<tr><td align=right><i>來源:</i><a href="javascript:if(confirm('http://freebsd.online.ha.cn/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://freebsd.online.ha.cn/'" tppabs="http://freebsd.online.ha.cn/">http://freebsd.online.ha.cn/</a></td></tr>
</table>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
聲明：本站的文章和軟件是本人從網上收集整理的（除本人的作品之外），所有版權屬于作者，<br>
如有侵犯您的權益，請指出，本站將立即改正，謝謝.
<hr  width=500>
<br>
<font color=#ffffff>Copyright 2000 <a href="javascript:if(confirm('http://www.newok.com/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.newok.com/'" tppabs="http://www.newok.com/" class=t1>www.newok.com</a></font>
</div>
</body>
</html>