大部分應(yīng)用系統(tǒng)都采用WebServer模式，也就是本質(zhì)上是一個(gè)網(wǎng)站。采用WebServer模式的好處有很多，比如開發(fā)和維護(hù)都更方便、用戶使用也更簡單；因此越來越的應(yīng)用軟件加入到這一模式。因?yàn)闃I(yè)務(wù)特性的原因，訪問應(yīng)用系統(tǒng)的客戶端基本都在固定的地區(qū)（國內(nèi)或某些省市），例如公司、分公司所在城市。

據(jù)護(hù)衛(wèi)神統(tǒng)計(jì)，黑客一般使用國外IP發(fā)動入侵，以防止被溯源。如果我們限制應(yīng)用系統(tǒng)只允許國內(nèi)IP訪問（或者進(jìn)一步精確到省市），那系統(tǒng)的安全性不言而喻，將提升許多許多。

那么，如何讓應(yīng)用系統(tǒng)限制訪問區(qū)域呢？

要限制訪問區(qū)域，一共有四種辦法實(shí)現(xiàn)：

1、 在應(yīng)用系統(tǒng)限制

2、 在WebServer限制

3、 在防火墻或第三方軟件限制

在應(yīng)用系統(tǒng)限制，需要開發(fā)商內(nèi)嵌IP區(qū)域限制功能到軟件，很遺憾大部分軟件都沒有此功能。而且此模式無法對靜態(tài)文件進(jìn)行限制（例如：HTML、圖片、文檔、視頻、壓縮包等）。也就是即使軟件內(nèi)置IP區(qū)域限制功能，限制范圍也不夠全面，存在遺漏。護(hù)衛(wèi)神不推薦這種模式。

在WebServer限制，這個(gè)限制比較全面，所有的文件都會限制，但缺點(diǎn)也有。第一個(gè)缺點(diǎn)是需要有非常詳細(xì)的IP庫，為了系統(tǒng)性能，還得盡可能優(yōu)化為IP段。第二個(gè)缺點(diǎn)是需要到WebServer配置，運(yùn)維人員不一定會。如果你有一定技術(shù)能力，也能搜集到詳細(xì)的IP庫，并懂得優(yōu)化方法，那這個(gè)方法非常適合你。

如果上述方法都不適合你，那就推薦使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》。其“防火墻”模塊支持IP區(qū)域限制（如下圖一）。

（圖一：限制8088端口授權(quán)訪問區(qū)域）

如上圖所示，限制8088端口，只允許“四川、上海、廣州”三個(gè)地區(qū)訪問，不在這三個(gè)地區(qū)的用戶將無法連接到8088端口，讓黑客探測不到端口是否開放，也就無從發(fā)動入侵了。

溫馨提示：護(hù)衛(wèi)神的IP庫國外精確到洲和國家、國內(nèi)精確到省市，以及提供中國大陸、港澳臺、國外、局域網(wǎng)等快捷選擇。

可以只對某些路徑限制區(qū)域嗎？

答案是可以的。

有的用戶希望網(wǎng)站對全球開放，后臺只對所在城市開放。這種情況也是可以實(shí)現(xiàn)的。

在《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“網(wǎng)站防護(hù)-訪問保護(hù)-網(wǎng)站后臺保護(hù)”模塊就可以實(shí)現(xiàn)（如下圖二）。

（圖二：限制網(wǎng)站路徑授權(quán)訪問區(qū)域）

如上圖所示，設(shè)置 /admin/ 路徑只允許上海和四川地區(qū)訪問。非上海和四川地區(qū)的用戶，可以訪問網(wǎng)站除后臺外的所有內(nèi)容，這樣既提升了安全，又不影響網(wǎng)站使用。

另外這些區(qū)域IP還會隨著系統(tǒng)升級而自動更新優(yōu)化，完全省去了自己收集整理IP庫的繁瑣，設(shè)置防護(hù)規(guī)則也非常簡單，是不是很值得推薦呢！