宝塔面板设置安全组白名单访问教程

一、什么是安全组白名单？

安全组白名单是一种网络安全机制，通过预先配置允许访问的IP地址或IP段，阻止其他未授权的访问请求。在宝塔面板环境中，通常需要结合云服务商的安全组和宝塔自带的防火墙实现双重防护。

二、云服务器安全组设置

1. 阿里云安全组配置

1. 登录阿里云控制台 → 云服务器ECS → 安全组
2. 选择对应实例的安全组 → 点击"配置规则"
3. 添加"入方向"规则：
   - 授权策略：允许
   - 协议类型：ALL（或按需选择HTTP/HTTPS）
   - 端口范围：根据实际需求填写（如80,443,8888）
   - 授权对象：输入允许访问的IP地址（如192.168.1.100/32）
4. 保存规则（生效通常需要1-2分钟）

2. 腾讯云安全组配置

1. 登录腾讯云控制台 → 云服务器 → 安全组
2. 选择关联实例的安全组 → 点击"入站规则"
3. 添加规则：
   - 类型：自定义
   - 来源：填写IP地址（如1.2.3.4/32表示单个IP）
   - 协议端口：ALL或指定端口（如TCP:80,443）
   - 策略：允许
4. 完成添加（即时生效）

三、宝塔面板防火墙设置

通过SSH登录服务器或直接在宝塔面板操作：

 查看现有防火墙规则
sudo ufw status

 添加白名单IP（示例）
sudo ufw allow from 123.45.67.89 to any port 8888

 拒绝所有其他访问（谨慎操作）
sudo ufw default deny incoming

四、宝塔Nginx/Apache白名单配置

Nginx配置示例：

location / {
    allow 192.168.1.100;
    allow 10.0.0.0/24;
    deny all;
     其他配置...
}

Apache配置示例：

<Directory "/www/wwwroot">
    Order deny,allow
    Deny from all
    Allow from 203.0.113.5
    Allow from 198.51.100.0/24
</Directory>

五、常见问题解决方案

• Q：添加白名单后无法访问？
  A：检查IP是否输入正确，确认未开启CDN（否则需添加CDNIP段）
• Q：需要开放多个端口怎么办？
  A：在安全组中批量添加端口规则，或使用端口范围（如8000-9000）
• Q：动态IP如何设置？
  A：可通过DDNS服务绑定域名，或使用VPN固定访问出口IP

六、安全增强建议

1. 定期审查白名单IP列表，移除不再需要的访问权限
2. 重要服务建议修改默认端口（如将宝塔8888端口改为其他端口）
3. 启用宝塔面板的二次验证功能
4. 结合fail2ban防止暴力破解