在.htaccess中阻止IP地址有多安全？

我认为Sébastien Renauld的答案表明IP黑/白名单并不能完全保护您的网站。您的应用程序应该已经足够安全，以便进行公共访问部署。无论如何，IP限制确实有助于限制对您的应用程序的攻击向量。
请记住，IP欺骗在技术上是可能的，但很难执行。
从网络外部，黑客必须至少绕过以下障碍：
- 任何删除故障IP数据包的ISP逻辑（即具有与发送者IP不同的IP地址）。 - 您这边的任何防火墙/网关/路由器都会丢弃这些数据包。通常内部和外部网络是分开的，数据包不易在这些网络之间路由。 - HTTP使用TCP协议，其中包括三次握手作为连接设置的一部分。这意味着发送方也需要确认连接。简而言之：此连接设置使用任意数字来同步服务器和客户端的通信。黑客需要猜测这个数字，并在正确的时刻发送它。

除了我刚总结的障碍，攻击者需要绕过更多的障碍，例如防止本地合法客户端干扰攻击。（想想服务器欺骗IP地址的响应将去向何处以及模拟的客户端会做什么。）

欺骗IP地址的更简单方法是从网络内部进行。嗯，如果已经可能了，你可能需要先研究一些其他事情 :)

我希望你能看到，现在一个黑客实施这种攻击实际上是不可行的。安全是攻击者所获得的满足感与所需努力之间的平衡。

因此，我认为IP白名单制度，以及Sébastien Renauld建议的本地网络绑定，是足够好的安全实践。您仍然需要假设攻击者可以访问您的内部网络，并且因此还应该关注您的网站和服务器本身的安全性。

你问题的底线是：永远不要依赖于IP地址的值。
为了证明和阐述这一点，这里的文件解释了IP地址实际上是如何附加到数据包上的。它实际上只是源和目标的字节列表。任何人都可以有效地修改它们（顺便说一下，这就是NAT做的事情之一，否则NAT穿透将无法工作）。这意味着，如果它们可以被修改，它们就可以被欺骗。
有一些方法可以部分地防范这种情况，但所有方法都依赖于启发式算法。例如，最简单的规则是，如果一个数据包来自你的WAN接口，但声称来自192.168.0.1，那么你知道有什么问题。市场上的一些安全设备正是这样做的：它们过滤掉它们认为可疑的内容。
在你的情况下，有一种方法可以完全抵御这一切。我假设你正在使用Apache。如果是这样，不要将你的VirtualHost绑定到所有接口（这是Apache的默认设置：*：80），而是将其绑定到特定的本地接口（10.0.0.0:80或等效）。这将强制Apache仅在该接口上侦听ping，如果运行unix/linux，则与其他接口隔离并保证是独立的。这使你可以拥有一个仅限于局域网的网站。

是的，有的。IP欺骗是可能的。请记住，每个人都可以更改他发送的数据包的元数据。

除了完全不同的身份验证方法外，几乎没有预防性方法可以帮助您。您无法仅通过.htaccess黑名单（在您的情况下应该是白名单）实现有效的安全性。 入口过滤是必须的。