Запретить доступ в методе Symfony, если вы не находитесь в localhost

Посмотрите в access_control документация. Вы можете использовать ключ allow_if и сделать что-то вроде этого:

access_control:
    - path: ^/usermanagement
      allow_if: "request.getHost() == 'localhost'"

Во-первых, решение fxbt отличное.

Но вы также можете сделать это, используя конфигурацию брандмауэра в файле security.yaml: https://symfony.com/doc/3.2/security/firewall_restriction.html

# app/config/security.yml

# ...
security:
    firewalls:
        # This is a custom firewall area and may conflict with your existing firewall
        other_secured_area:
            host: ^localhost$
            pattern: ^/usermanagement

Другое решение - сделать это прямо в контроллере:

public function userManagement(Request $request)
{
    if ($request->getHost() !== 'localhost') {
        throw new $this->createAccessDeniedException();
    }
}

В любом случае осторожно, потому что безопасность хоста может быть не лучшей защитой (в большинстве случаев можно управлять хостом с клиента).