IP 限源访问
巴克励步
IP 限源访问在 单域名 维度配置 IP 白名单 / 黑名单,仅允许(或拒绝)指定来源 IP 访问该域名下的前台站点。入口位于 应用设置 → 域名管理 → 域名配置 的 SEO/安全相关区域(与 robots、LLM 访问等并列,见操作手册 域名管理)。v1.22 引入站点级 IP 黑白名单;v1.37 起可在域名设置中 独立配置,且 站点聚合 路径访问时 继承主站入口域名 的策略。
是什么
开启限源后,未列入白名单(或命中黑名单)的客户端访问该域名将被拒绝,整站对外呈现「不可访问」。这与 访问控制与授权 的「登录/密码/部门授权」不同:IP 限源在 网络层 先过滤,不区分是否已登录。
| 维度 | IP 限源 | 授权访问 |
|---|---|---|
| 粒度 | 来源 IP | 用户身份 / 密码 / 组织关系 |
| 配置位置 | 域名配置 | 应用设置 · 访问控制 |
| 典型目的 | 内网出口 IP、运维门禁、过期站点仅留维护 IP | 会员制帮助中心、内网知识库 |
平台还支持 套餐或试用到期后自动开启 IP 白名单,仅允许有限 IP 继续访问(便于客户续费前取数或迁移,v1.22 发版说明)。反向代理模式下须确保 Nginx 正确传递
X-Forwarded-For 等头,否则限源可能误判(v1.25 曾修复代理模式真实 IP 获取)。边界与限制
- 误配置风险极高:开启白名单且列表为空或遗漏办公网 IP 会导致全员无法访问;操作前务必确认出口 IP 清单。
- 限源作用于 该域名;同一应用若仍有试用子域或其他自定义域,须分别配置。
- 动态 IP、家庭宽带、移动网络用户不适合白名单门禁;更适合固定出口的企业内网或 VPN。
- CDN 模式下访客 IP 为边缘节点 IP,限源逻辑须与 CDN「回源 IP」或「获取真实 IP」能力一致,否则应改用 CDN 侧 IP 访问控制。
- IP 限源 不保护 后台管理地址(成员账号仍靠组织权限);且不能替代 WAF、DDoS 防护。
- 与 域名地址验证 冲突:第三方验证爬虫若不在白名单内会失败。
典型场景
- Staging 环境:仅公司办公网 IP 可访问预发布域名。
- 合同到期过渡:自动白名单保留客户指定运维 IP,便于导出内容。
- 聚合主站统一门禁:主域
doc.company.com限源后,/help、/blog等聚合子路径一并继承(v1.37)。