【场景介绍】

• 业务场景

       本文档是介绍配置避免用户IP被伪造的方法，文档会介绍配置过程中所用到的参数，以及参数开启后客户端网关IP的取数逻辑。

【操作指引】

一. 参数介绍

1. 记录获取网关IP的日志参数，默认关闭设置false：

   <add key="IsStartWriteDebugLog" value="false" />

2. 按照IP白名单列表过滤参数，默认关闭设置false：

   <add key=" IsFilterClientIP " value="false" />

3. 设置IP信任字段的参数，默认不设置，可以自定义任意字段：

   <add key=" ClientIPFilterKey" value=" X-Forwarded-For" />

二. 关闭参数【按照IP白名单列表过滤】的网关IP取数逻辑

       在应用服务器\WebSite\App_Data目录下common.config配置文件，关闭参数【按照IP白名单列表过滤】，意味着网关IP取数逻辑不会按照IP白名单过滤，仍然会按照原来的逻辑从左往右取IP，如下图所示，最终网关IP取值是：219.XXX.XXX.172

用户的登录历史显示如下：

3、开启参数【按照IP白名单列表过滤】的网关IP取数逻辑

在应用服务器\WebSite\App_Data目录下common.config配置文件，关闭参数【按照IP白名单列表过滤】，意味着网关IP取数逻辑会按照IP白名单过滤，IP取数逻辑从右往左取IP地址。

A、如果X-Forwarded-For的IP值存在IP白名单里，则过滤掉，继续往左取数，如下图所示，最终网关IP取值是：10.230.10.145

B、如果所有IP地址都在IP白名单里面，则取X-Forwarded-For的最后一个IP；

C、如果X-Forwarded-For取数为空，则最后取值以Remote_Addr或者UserHostAddress为准

用户的登录历史显示如下：

网关IP不在IP白名单里：10.230.10.145：

4、在管理中心库添加IP白名单的SQL（SQLServer数据库）

单个IP地址加入IP白名单：

insert into T_BAS_CLIENTIPADDRSETTING

(FID,FIPADDERESS,FADDRESSTYPE,FCREATEDATE,FCREATORID,FMODIFYDATE,FMODIFIERID,FFORBIDTIME,FFORBIDDERID,FFORBIDSTATUS)

values('6196f9ff228c3g','52.80.131.113',1,'2022-04-20 00:00:00.000',16394,'2022-04-20 00:00:00.000',16394,null,0,'A') ;

IP网段加入IP白名单：

insert into T_BAS_CLIENTIPADDRSETTING

(FID,FIPADDERESS,FADDRESSTYPE,FCREATEDATE,FCREATORID,FMODIFYDATE,FMODIFIERID,FFORBIDTIME,FFORBIDDERID,FFORBIDSTATUS)

values('6196f9ff228c3f','172.19.0.0~172.19.255.255

',2,'2022-04-20 00:00:00.000',16394,'2022-04-20 00:00:00.000',16394,null,0,'A') ;