以下是完整的C代码实现方案,结合IIS动态配置与全自动跳转功能:
一、核心功能实现代码
using Microsoft.Web.Administration;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Web;
using System.Web.Mvc;
public class IPFilterAttribute : ActionFilterAttribute
{
private static List<string> _allowedIPs = new List<string>
{
"192.168.1.1",
"10.0.0.0-10.0.0.255"
};
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
string clientIP = GetClientIP();
if (!IsAllowedIP(clientIP))
{
filterContext.Result = new RedirectResult("https://external-block-page.com");
LogBlockedIP(clientIP);
}
}
private string GetClientIP()
{
string ip = HttpContext.Current.Request.Headers["X-Forwarded-For"]?.Split(',')[0];
return string.IsNullOrEmpty(ip) ? HttpContext.Current.Request.UserHostAddress : ip;
}
private bool IsAllowedIP(string ip)
{
return _allowedIPs.Contains(ip) || IPRangeContains(ip, _allowedIPs);
}
private bool IPRangeContains(string ip, List<string> ipRanges)
{
foreach (var range in ipRanges.Where(r => r.Contains('-')))
{
var start = IPAddress.Parse(range.Split('-')[0]);
var end = IPAddress.Parse(range.Split('-')[1]);
var client = IPAddress.Parse(ip);
if (client.AddressFamily == AddressFamily.InterNetworkV6)
throw new NotSupportedException("IPv6 range check not implemented");
var bytes = client.GetAddressBytes();
var startBytes = start.GetAddressBytes();
var endBytes = end.GetAddressBytes();
if (bytes.CompareTo(startBytes) >= 0 && bytes.CompareTo(endBytes) <= 0)
return true;
}
return false;
}
private void LogBlockedIP(string ip)
{
File.AppendAllText("blocked_ips.log", $"{DateTime.Now}: Blocked IP - {ip}\n");
}
public static void SyncIISWhitelist()
{
try
{
using (ServerManager serverManager = new ServerManager())
{
var siteName = "OA_SITE";
var site = serverManager.Sites.FirstOrDefault(s => s.Name == siteName);
if (site == null) throw new Exception($"网站 '{siteName}' 未找到");
var config = serverManager.GetApplicationHostConfiguration();
var ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", siteName);
if (ipSecuritySection == null)
{
ipSecuritySection = config.CreateSection("system.webServer/security/ipSecurity", siteName);
ipSecuritySection["allowUnlisted"] = false;
}
var ipCollection = ipSecuritySection.GetCollection();
ipCollection.Clear();
foreach (var ip in _allowedIPs)
{
var addElement = ipCollection.CreateElement("add");
addElement["ipAddress"] = ip;
addElement["action"] = "Allow";
addElement["allowed"] = true;
ipCollection.Add(addElement);
}
serverManager.CommitChanges();
}
}
catch (Exception ex)
{
File.AppendAllText("sync_error.log", $"{DateTime.Now}: {ex.Message}\n");
}
}
}
二、关键配置说明
IIS配置文件修改
在 web.config 中添加以下配置,启用IP安全规则:
<system.webServer>
<security>
<ipSecurity allowUnlisted="false" />
</security>
</system.webServer>
引用说明:此配置确保未在白名单中的IP自动被拒绝。
管理员权限要求
程序需以管理员身份运行,否则无法修改IIS配置。
在Windows中可通过:
右键exe -> 属性 -> 兼容性 -> 以管理员身份运行此程序
IP范围支持
代码支持IP段格式(如 10.0.0.0-10.0.0.255 ),通过 IPRangeContains 方法实现范围检查。
三、部署与调用步骤
初始化白名单同步
在网站启动时调用 SyncIISWhitelist() 方法,确保IIS规则与代码一致:
protected void Application_Start()
{
AreaRegistration.RegisterAllAreas();
FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
RouteConfig.RegisterRoutes(RouteTable.Routes);
SyncIISWhitelist();
}
应用层拦截配置
在 Global.asax 中注册全局过滤器:
public class FilterConfig
{
public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
filters.Add(new IPFilterAttribute());
}
}
日志与监控
封禁日志记录到 blocked_ips.log ,便于审计。
建议集成ELK或Prometheus监控日志文件,异常IP封禁时触发告警。
四、功能验证
白名单生效验证
通过IIS管理器检查网站配置,确认 ipSecurity 节点已正确添加白名单IP。
使用非白名单IP访问网站,应自动跳转至外部页面。
IP范围测试
添加IP段 192.168.2.0-192.168.2.100 到白名单,验证该网段内所有IP均可访问。
五、安全增强建议
双重验证机制
在跳转前增加验证码验证,防止自动化工具绕过IP限制。
动态白名单更新
通过管理后台提供界面,支持手动添加/删除白名单IP。
定期从AD域控同步内部员工IP。
备份与回滚
定期备份IIS配置文件( %windir%\System32\inetsrv\config\applicationHost.config )。
实现配置变更回滚功能,防止误操作导致服务中断。
通过以上方案,可实现全自动化的IP白名单控制与访问跳转,有效抵御外部攻击。建议配合WAF(Web应用防火墙)和DDoS防护服务,构建纵深防御体系。
该文章在 2025/3/15 17:40:26 编辑过
400 186 1886
