快捷導(dǎo)航

基于Go語(yǔ)言實(shí)現(xiàn)應(yīng)用IP防火墻

更新時(shí)間：2023年11月21日 13:54:09 作者：shura1014

在公司里面經(jīng)常會(huì)聽(tīng)到某應(yīng)用有安全漏洞問(wèn)題,沒(méi)有做安全加固,IP防火墻就是一個(gè)典型的安全加固解決方案,下面我們就來(lái)學(xué)習(xí)一下如何使用go語(yǔ)言實(shí)現(xiàn)IP防火墻吧

簡(jiǎn)介

在公司里面經(jīng)常會(huì)聽(tīng)到某應(yīng)用有安全漏洞問(wèn)題，沒(méi)有做安全加固，IP防火墻就是一個(gè)典型的安全加固解決方案，只允許指定的ip段訪問(wèn)應(yīng)用，一般是內(nèi)網(wǎng)ip

本文主要講解go語(yǔ)言如何實(shí)現(xiàn)ip防火墻

標(biāo)準(zhǔn)庫(kù)實(shí)現(xiàn)

其實(shí)go的net包以及有相應(yīng)的實(shí)現(xiàn)，我們只需要簡(jiǎn)單應(yīng)用即可

源碼如下

// ParseCIDR parses s as a CIDR notation IP address and prefix length,
// like "192.0.2.0/24" or "2001:db8::/32", as defined in
// RFC 4632 and RFC 4291.
//
// It returns the IP address and the network implied by the IP and
// prefix length.
// For example, ParseCIDR("192.0.2.1/24") returns the IP address
// 192.0.2.1 and the network 192.0.2.0/24.
func ParseCIDR(s string) (IP, *IPNet, error)

意思就是我們可以設(shè)置一個(gè)IP段例如 192.0.2.1/24 那么192.0.2.1就會(huì)在這個(gè)范圍內(nèi)，而 192.0.3.1 不在這個(gè)范圍內(nèi)應(yīng)該做相應(yīng)的處理

代碼實(shí)現(xiàn)

package main

import (
	"fmt"
	"net"
	"strings"
)

func main() {
	ipWall := NewFireWall()
	// 設(shè)置可以訪問(wèn)應(yīng)用的ip段
	ipWall.ParseNode("127.0.0.1")
	ipWall.ParseNode("192.0.2.1/24")
	ipWall.ParseNode("2001:db8::/32") // 可以支持ipv6

	// 測(cè)試
	fmt.Println("127.0.0.1", ipWall.Check("127.0.0.1"))
	fmt.Println("192.0.2.10", ipWall.Check("192.0.2.10"))
	fmt.Println("192.0.3.10", ipWall.Check("192.0.3.10"))
	fmt.Println("2001:db8::1", ipWall.Check("2001:db8::1"))
	fmt.Println("2001:db9::1", ipWall.Check("2001:db9::1"))

}

// 定義防火墻，保存規(guī)則nodes

type FireWall struct {
	nodes []net.IPNet
}

func NewFireWall() *FireWall {
	return &FireWall{
		nodes: make([]net.IPNet, 0),
	}
}

// 添加規(guī)則

func (b *FireWall) ParseNode(line string) {
	if !strings.Contains(line, "/") {
		parsedIP := net.ParseIP(line)

		if ipv4 := parsedIP.To4(); ipv4 != nil {
			// return ip in a 4-byte representation
			parsedIP = ipv4
		}
		if parsedIP != nil {
			switch len(parsedIP) {
			case net.IPv4len:
				line += "/32"
			case net.IPv6len:
				line += "/128"
			}
		}
	}
	_, cidrNet, err := net.ParseCIDR(line)
	if err == nil {
		b.nodes = append(b.nodes, *cidrNet)
	}
}

// 檢查某個(gè)ip在不在設(shè)置的規(guī)則里

func (b *FireWall) Check(ip string) bool {
	for _, cidr := range b.nodes {
		remoteIP := net.ParseIP(ip)
		if cidr.Contains(remoteIP) {
			return true
		}
	}
	return false
}

執(zhí)行以上代碼，輸出