Skip to main content

Restricting network traffic to your enterprise

You can use an IP allow list to restrict access to your enterprise to connections from specified IP addresses.

About IP allow lists

By default, authorized users can access your enterprise from any IP address. Enterprise owners can restrict access to assets owned by organizations in an enterprise account by configuring an allow list for specific IP addresses. 例如,您可以只允许从您办公室网络的 IP 地址访问。 IP 地址的允许列表将阻止不在允许列表中的任何 IP 地址通过 Web、API、Git 访问专用资源。

您可以使用 CIDR 表示法批准访问单个 IP 地址或地址范围。 有关详细信息,请参阅维基百科上的”CIDR 表示法”。

To enforce the IP allow list, you must first add IP addresses to the list, then enable the IP allow list.

You must add your current IP address, or a matching range, before you enable the IP allow list. 启用允许列表时,您配置的 IP 地址将立即添加到企业中的组织允许列表中。 如果禁用允许列表,则地址将从组织允许列表中删除。

您可以选择将为组织中安装的 GitHub Apps 配置的任何 IP 地址自动添加到允许列表中。 GitHub App 的创建者可以为其应用程序配置允许列表,指定应用程序运行的 IP 地址。 通过将允许列表继承到您的列表中,您可以避免申请中的连接请求被拒绝。 有关详细信息,请参阅“允许 GitHub 应用进行访问”。

You can also configure allowed IP addresses for an individual organization. For more information, see "Managing allowed IP addresses for your organization."

By default, Azure network security group (NSG) rules leave all inbound traffic open on ports 22, 80, 443, and 25. Enterprise owners can contact GitHub 支持 to configure access restrictions for your instance.

For instance-level restrictions using Azure NSGs, contact GitHub 支持 with the IP addresses that should be allowed to access your enterprise instance. Specify address ranges using the standard CIDR (Classless Inter-Domain Routing) format. GitHub 支持 will configure the appropriate firewall rules for your enterprise to restrict network access over HTTP, SSH, HTTPS, and SMTP. For more information, see "Receiving help from GitHub 支持."

Adding an allowed IP address

You can create an IP allow list by adding entries that each contain an IP address or address range.

Before the list restricts access to your enterprise, you must also enable allowed IP addresses.

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。 GitHub AE 上个人资料照片下拉菜单中的“企业设置”

  2. 在企业帐户侧边栏中,单击 “设置”。 企业帐户侧边栏中的“设置”选项卡

  3. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  4. 在“IP 允许列表”部分的底部,输入 IP 地址或 CIDR 表示法中的地址范围。 用于添加 IP 地址的关键字段

  5. (可选)输入允许的 IP 地址或范围的说明。 用于添加 IP 地址名称的关键字段

  6. 单击 “添加”。 “添加允许的 IP 地址”按钮

Allowing access by GitHub Apps

如果您使用允许列表,还可以选择将为企业中安装的 GitHub Apps 配置的任何 IP 地址自动添加到允许列表中。

如果你在允许列表设置中选择“为已安装的 GitHub 应用程序启用 IP 允许列表配置”,则来自已安装 GitHub Apps 的 IP 地址将添加到你的允许列表中。 不管您的允许列表目前是否启用,都会发生这种情况。 如果您安装 GitHub App,然后该应用程序的创建者更改其允许列表中的地址,则允许列表会自动更新这些更改。

您可以通过查看描述字段来识别从 GitHub Apps 自动添加的 IP 地址。 这些 IP 地址的描述是:“由 NAME GitHub App管理”。 与手动添加的地址不同,您无法编辑、删除或禁用从 GitHub Apps 自动添加的 IP 地址。

注意: GitHub App IP 允许列表中的地址仅影响 GitHub App 安装提出的请求。 将 GitHub App 的 IP 地址自动添加到组织的允许列表中不允许访问从该 IP 地址连接的 GitHub AE 用户。

有关如何为已创建的 GitHub App 创建允许列表的详细信息,请参阅“管理 GitHub 应用的允许 IP 地址”。

为 GitHub Apps 启用自动添加 IP 地址:

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。 GitHub AE 上个人资料照片下拉菜单中的“企业设置” 1. 在企业帐户侧边栏中,单击 “设置”。 企业帐户侧边栏中的“设置”选项卡
  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar
  3. 在“IP 允许列表”下,选择“为已安装的 GitHub 应用启用 IP 允许列表配置”。 允许 GitHub 应用 IP 地址的复选框
  4. 单击“保存” 。

Enabling allowed IP addresses

After you create an IP allow list, you can enable allowed IP addresses. When you enable allowed IP addresses, GitHub immediately enforces any enabled entries in your IP allow list.

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。 GitHub AE 上个人资料照片下拉菜单中的“企业设置”

  2. 在企业帐户侧边栏中,单击 “设置”。 企业帐户侧边栏中的“设置”选项卡

  3. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  4. Under "IP allow list", select Enable IP allow list. Checkbox to allow IP addresses

  5. Click Save.

Editing an allowed IP address

You can edit an entry in your IP allow list. If you edit an enabled entry, changes are enforced immediately.

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。 GitHub AE 上个人资料照片下拉菜单中的“企业设置”

  2. 在企业帐户侧边栏中,单击 “设置”。 企业帐户侧边栏中的“设置”选项卡

  3. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  4. 在“IP 允许列表”下,在你要编辑的条目右侧,单击“编辑”。 编辑允许的 IP 地址按钮

  5. 以 CIDR 表示法输入 IP 地址或地址范围。 用于添加 IP 地址的关键字段

  6. 输入允许的 IP 地址或范围的说明。 添加 IP 地址名称的关键字段

  7. Click Update.

Deleting an allowed IP address

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。 GitHub AE 上个人资料照片下拉菜单中的“企业设置”

  2. 在企业帐户侧边栏中,单击 “设置”。 企业帐户侧边栏中的“设置”选项卡

  3. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  4. 在“IP 允许列表”下,单击要删除的条目右侧的“删除”。 “删除允许的 IP 地址”按钮

  5. 要永久删除该条目,请单击“是,删除此 IP 允许列表条目”。 永久删除 IP 允许列表条目按钮

Using GitHub Actions with an IP allow list

To allow your self-hosted runners to communicate with GitHub, add the IP address or IP address range of your self-hosted runners to the IP allow list. For more information, see "Adding an allowed IP address."