一.需求背景
最近公司观察到某些国外IP或者非中国大陆IP有扫描访问记录,出于业务安全考虑,公司的业务只对中国大陆进行开展,所以需要禁止国外IP访问,增加系统安全性.同时也避免某些黑产通过国外代理IP的方式来攻击到公司的业务.
查询一些网上的资料,大部分人使用nginx_geoip2_module这个nginx的模块.再通过下载免费的geoiplite2这个IP库,配置只允许zh_cn中国的IP才能访问否则返回403禁止访问资源. 其他的一些解决方案也是一样的思路, 下载离线IP库,拿到客户端IP查询拿到IP的归属地,例如国家、城市、省份等等.最后决定是否允许这个IP能否访问资源.
刚开始也想用这个方案,但是现状有点尴尬. 我们之前业务部署的系统是Centos6.3, 都老掉牙的系统,重新编译nginx加入这个geoip2模块具有风险,别为了加这个IP访问把正常业务搞挂了,得不偿失. 并且考虑到一个问题就是, 这个geoiplite2免费库针对国内IP的准确率也不是特别高,怕上线IP误伤率过高,最后放弃了这个方案.
二.自定义Kong插件
幸运的是我们的所有流量都是先经过一个Nginx作为总的流量入口, 后面负载均衡进入Kong集群, 前端的这个Nginx其实没干具体事情. 既然前端Nginx不能做, 那么我们想到在Kong这边通过插件的形式来实现也是完美的.
与前面思路一样, 考虑到geoiplite2这个IP库准确率不是那么高,找了几个IP库,最后锁定
ip2region这个项目的IP库.Github地址: https://github.com/lionsoul2014/ip2region
为什么选择ip2region?
1.ip库相对精准
2.查询速度快,支持很多语言的SDK.重点是支持Lua(哈哈,要不然写插件就不开心了).测试了一下,通过把库load到内存的模式,再进行查询. 测试结果一个IP的查询在10微秒左右. 性能是可以接受的,如果性能损耗太大,Kong作为网关入口会造成大量的性能损耗,拖垮业务也是有可能的.
那么现在就很简单了. 思路就是通过Lua编写Kong插件, 拿到客户端的IP地址, 通过ip2region查询到IP的归属地信息,拿到country限定为”中国”、province例如可以排除港澳台, 或者内网IP如192.168.x.x\10.x.x.x等相关IP则允许通过,否则响应403禁止访问即可.
不知道怎么编写Kong插件的,可以参考我之前的博客: 2022最新Kong插件开发教程
过程中还是遇到了一些问题, 例如ip2region提供的lua客户端SDK只支持至少Lua5.3版本开始,因为我看到源码有使用到 << 、>>、&、|等相关位运算符, 但是我们的Kong用的Lua是5.1的,不支持位运算符….,后来通过安装bit2的lua库, 把用到位运算符的地方使用bit32的函数换掉,大功告成!为了验证这样有没有问题, 我使用官方的bench_test测试了几百万的IP输出所有IP的归属地,两者一样,这样确保了是OK的.
三.效果展示
网站全球访问状态测试: http://www.webkaka.com/UrlCheck.aspx
非中国大陆IP访问全部403禁止.
Kong加载到的新插件页面:
Kong配置插件页面:
四.开源地址
找了很多Kong插件,没找到合适的Kong插件来实现这个功能.我把实现的源码进行了开源,有需要的朋友可以参考一下.
项目地址: https://github.com/dream-mo/kong-plugin-ip-region-restriction