使用 IP 允许列表限制到企业的网络流量

关于网络流量限制

默认情况下，授权用户可以从任何 IP 地址访问你企业的资源。 可以配置允许或拒绝通过特定 IP 地址访问的列表来限制对企业专用资源的访问。 例如，你可以只允许从你的办公网络的 IP 地址访问专用资源。

如果列表允许 IP 地址，则从该地址连接到 你的企业 的经过身份验证的用户可以访问专用资源。 如果用户的 IP 地址是不允许的，那么在从允许的地址进行连接之前，该用户无法访问专用资源。

配置 IP 允许列表后，该列表将确定用户是否可以使用以下任一身份验证方法通过 Web UI、API 或 Git 访问受保护的资源。

• 使用 GitHub 身份验证或 SAML SSO 的用户名和密码
• Personal access token
• SSH 密钥

IP 允许列表适用于具有任何角色或访问权限的用户，包括企业和组织所有者、存储库管理员和外部协作者。

默认情况下，Azure 网络安全组 (NSG) 规则允许所有入站流量在端口 22、80、443 和 25 打开。 可以联系 GitHub 支持 为 GitHub AE 配置访问限制。

对于使用 Azure NSG 的限制，请联系 GitHub 支持 以获取应允许访问 GitHub AE 的 IP 地址。 使用标准 CIDR（无类域间路由）格式指定地址范围。 GitHub 支持 将配置合适的防火墙规则，以限制通过 HTTP、SSH、HTTPS 和 SMTP 的网络访问。 有关详细信息，请参阅“联系 GitHub 支持”。

启用允许的 IP 地址

创建 IP 允许列表后，可以启用允许的 IP 地址。 启用允许的 IP 地址时，GitHub 会立即强制实施 IP 允许列表中的任何已启用条目。

在启用你的 IP 允许列表之前，可以检查你的允许列表是否允许来自特定 IP 地址的连接。 有关详细信息，请参阅“检查是否允许使用 IP 地址”。

1. 在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”****。

   

2. 在企业帐户边栏中，单击“设置”。

3. 在“ 设置”下，单击“身份验证安全性” 。

4. 在“IP 允许列表”下，选择“启用 IP 允许列表”。

5. 单击“ 保存”。

添加允许的 IP 地址

可以通过添加每个包含 IP 地址或地址范围的条目来创建 IP 允许列表。 在添加完条目后，可以检查列表中任何已启用条目是否允许使用特定 IP 地址。

在列表限制对你的企业的访问之前，还必须启用允许的 IP 地址。

1. 在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”****。

   

2. 在企业帐户边栏中，单击“设置”。

3. 在“ 设置”下，单击“身份验证安全性” 。

4. 在“IP 允许列表”部分的底部，在“采用 CIDR 表示法的 IP 地址或范围”字段中，键入以 CIDR 表示法表示的 IP 地址或地址范围。

   

5. （可选）在“IP 地址或范围的简短说明”字段中，输入允许的 IP 地址或范围的说明。

6. 单击“添加”。

7. （可选）检查列表中是否有任何已启用条目允许使用特定 IP 地址。 有关详细信息，请参阅“检查是否允许使用 IP 地址”。

允许 GitHub Apps

访问

如果您使用允许列表，还可以选择将为企业中安装的 GitHub Apps 配置的任何 IP 地址自动添加到允许列表中。

如果你在允许列表设置中选择“为已安装的 GitHub 应用程序启用 IP 允许列表配置”，则来自已安装 GitHub Apps 的 IP 地址将添加到你的允许列表中。 不管您的允许列表目前是否启用，都会发生这种情况。 如果您安装 GitHub App，然后该应用程序的创建者更改其允许列表中的地址，则允许列表会自动更新这些更改。

您可以通过查看描述字段来识别从 GitHub Apps 自动添加的 IP 地址。 这些 IP 地址的描述是：“由 NAME GitHub App管理”。 与手动添加的地址不同，您无法编辑、删除或禁用从 GitHub Apps 自动添加的 IP 地址。

若要详细了解如何为已创建的 GitHub App 创建允许列表，请参阅“管理 GitHub 应用程序允许的 IP 地址”。

为 GitHub Apps 启用自动添加 IP 地址：

1. 在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”****。

   

2. 在企业帐户边栏中，单击“设置”。

3. 在“ 设置”下，单击“身份验证安全性” 。

4. 在“IP 允许列表”下，选择“为已安装的 GitHub 应用启用 IP 允许列表配置”。

   注意：如果将 Enterprise Managed Users 与 OIDC 配合使用，则只有将 GitHub 用于 IP 允许列表配置时，才允许 GitHub 应用进行访问。

5. 单击“保存” 。

编辑允许的 IP 地址

可以在 IP 允许列表中编辑条目。 如果编辑已启用的条目，则更改会立即实施。

在编辑完条目后，可以检查在启用你的允许列表后，你的允许列表是否允许来自特定 IP 地址的连接。

1. 在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”****。

   

2. 在企业帐户边栏中，单击“设置”。

3. 在“ 设置”下，单击“身份验证安全性” 。

4. 在“IP 允许列表”下，在你要编辑的条目旁边，单击“编辑”。

5. 在“IP 地址”字段中，以 CIDR 表示法键入 IP 地址或地址范围。

6. 在“说明”字段中，输入允许的 IP 地址或范围的说明。

7. 单击“更新”。

8. （可选）检查列表中是否有任何已启用条目允许使用特定 IP 地址。 有关详细信息，请参阅“检查是否允许使用 IP 地址”。

检查是否允许使用 IP 地址

可以检查 IP 允许列表中是否有任何已启用条目允许使用特定 IP 地址（即使列表当前未启用）。

1. 在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”****。

   

2. 在企业帐户边栏中，单击“设置”。

3. 在“ 设置”下，单击“身份验证安全性” 。

4. 在“IP 允许列表”部分的末尾，在“检查 IP 地址”下输入 IP 地址。

删除允许的 IP 地址

1. 在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”****。

   

2. 在企业帐户边栏中，单击“设置”。

3. 在“ 设置”下，单击“身份验证安全性” 。

4. 在“IP 允许列表”下，单击要删除的条目旁边的“删除”。

5. 要永久删除该条目，请单击“是，删除此 IP 允许列表条目”。

对 GitHub Actions 使用 IP 允许列表

要允许自托管运行器与 GitHub 通信，请将自托管运行器的 IP 地址或 IP 地址范围添加到 IP 允许列表。 有关详细信息，请参阅“添加允许的 IP 地址”。