企业为了加强服务器的安全管理，通常服务器会设定一些网络访问策略，使得一般用户不能随意远程登录服务器，只有管理人员能登录、例如系统默认的远程桌面RDP 3389，SSH 22，telnet 23。

然而实现该访问控制的做法，通常有3种。

（1）第一、通过网络防火墙的安全策略控制源、目的IP和端口实现，该要求需要用户网段和服务器网段是分开的。例如企业内部网络规划办公网，机房网络，DMZ网段。防火墙处于网络的中间位置。即可使用策略控制。

（2）第二、Linux主机自带的防火墙功能（写firewall策略或iptables策略）

（3）第三、然而这是今天重点要说的，可以使用Linux7系统的hosts.allow白名单功能。

来实现控制源地址的登录SSH。

举个例子：一台Linux服务器的地址是10.2.1.99。

普通用户网段为：10.2.2.0/24、管理人员的地址是 10.2.2.99

配置方法：1、登录Linux系统，使用：cd /etc 进入etc目录 找到hosts.allow文件，进行编辑，使用vi hosts.allow

2、在hosts.allow中添加：

sshd:10.2.2.99:allow  //允许添加到这行的主机登录，当添加网段是使用“*”表示网络，例如允许172.16.2.0的网段访问，写成172.16.2.*sshd:all:deny          //除上面的地址，拒绝所有地址登录

这样设置只能10.2.2.99管理人员能SSH登录Linux.别的都不能登录。

温馨提示：当企业使用堡垒机的时候。同样可以使用此方法，把10.2.2.99换成堡垒机的IP地址即可。