IPアドレスブラックリストまたはホワイトリストは、ユーザーの要求をフィルタリングし、特定のIPアドレスからの要求をブロックまたは許可します。 IPリスト機能は、アクセスソースを制限し、存在点 (POP) をIP盗難や攻撃から保護することができます。
使用上の注意
デフォルトでは、IPリスト機能は無効になっています。 IPアドレスブラックリストとホワイトリストは相互に排他的です。 リストの1つのみを設定できます。
IPアドレスがブラックリストに追加された場合、IPアドレスからのリクエストはPOPに到達できますが、POPによって拒否され、HTTP 403ステータスコードが返され、IPアドレスからのリクエストはAlibaba Cloud CDN のログに記録されます。
IPアドレスブラックリストとホワイトリストは、レイヤ7 HTTP IP認識技術に基づいてIPアドレスを識別します。 POPが悪意のあるリクエストをブロックしたときに生成されるネットワークトラフィックに対して課金されます。 クライアントがHTTPS経由でPOPにアクセスする場合、HTTPSリクエストに対しても課金されます。
いくつかのインターネットサービスプロバイダ (ISP) は、特定の領域内のクライアントにプライベートIPアドレスを割り当てることができる。 したがって、POPはプライベートIPアドレスから要求を受信することができる。
説明プライベートIPアドレスの種類は次のとおりです。
Type-プライベートIPアドレス: 10.0.0.0〜10.255.255.255。 サブネットマスク: 10.0.0.0/8。
Type-BプライベートIPアドレス: 172.16.0.0〜172.31.255.255 サブネットマスク: 172.16.0.0/12。
Type-CプライベートIPアドレス: 192.168.0.0〜192.168.255.255。 サブネットマスク: 192.168.0.0/16。
IPアドレス検証モード
クライアントがPOPに接続するとき、クライアントIPアドレスと、POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシが使用されるかどうかに基づいて決定される。 たとえば、クライアントIPアドレスは10.10.10.10、プロキシIPアドレスは192.168.0.1です。
クライアントがPOPに接続するときにプロキシを使用しない場合、次のルールが適用されます。
ユーザーリクエストのX-Forwarded-For (XFF) ヘッダーの値は
10.10.10.10です。クライアントIPアドレス
10.10.10.10は、POPに接続するためにクライアントによって使用されるIPアドレスです。
クライアントがPOPに接続するときにプロキシを使用する場合、次のルールが適用されます。
ユーザーリクエストのXFFヘッダーの値は
10.10.10.10,192.168.0.1です。クライアントIPアドレス
10.10.10.10は、XFFヘッダ内の最初のIPアドレスである。POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシのIPアドレスであり、これは
192.168.0.1である。クライアントIPアドレスは、クライアントがPOPに接続するために使用するIPアドレスではありません。
Alibaba Cloud CDN のIPリスト機能は、3つのIPアドレス検証モードをサポートしています。 次の表に、検証モードを示します。
IPアドレス検証モード | 説明 |
XFFヘッダーに基づいて決定する | デフォルトモードです。 このモードは、クライアントIPアドレスのみを検証します。 クライアントIPアドレスは、クライアント要求のXFFヘッダーの最初のIPアドレスです。 クライアントがPOPに接続するときにプロキシが使用される場合、クライアントはプロキシのIPアドレスを使用してPOPに接続します。 この場合、この検証モードでのアクセス制御は正確ではない可能性があります。 |
POPへの接続に使用されるIPアドレスに基づいて決定する | このモードは、クライアントがPOPに接続するために使用するIPアドレスのみを検証します。 |
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します | このモードは、次のIPアドレスを検証します。
|
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名.
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、リソースアクセス制御.
IP アドレスのブラックリスト/ホワイトリストタブをクリックします。
IP アドレスのブラックリスト/ホワイトリストセクション、をクリック変更.
選択ブラックリストまたはホワイトリストビジネス要件に基づいて。
パラメーター
説明
リストタイプ
次のタイプのIPリストがサポートされています。
ブラックリスト
ブラックリストのIPアドレスからのリクエストはブロックされます。
ホワイトリスト
ホワイトリスト内のIPアドレスからのリクエストのみがPOP上のリソースにアクセスできます。
ルール
ルール形式の要件
IPアドレスまたはCIDRブロックを入力できます。
複数のIPアドレスまたはCIDRブロックを改行で区切ります。
IPv4アドレスまたはCIDRブロックを入力できます。
IPv4アドレスの例:
192.168.0.1IPv4 CIDRブロックの例:
192.168.0.0/240.0.0.0/0を使用してすべてのIPv4アドレスを指定することはできません。 すべてのIPv4アドレスを指定するには、次のサブネットを使用します。0.0.0.0/1128.0.0.0/1
IPv6アドレスまたはCIDRブロックを入力できます。
IPv6アドレスの例:
FC00:AA3:0:23:3:300:300A:1234IPv6 CIDRブロックの例:
FC00:0AA3:0000:0000:0000:0000:0000:0000/48IPv6アドレスの文字は大文字と小文字を区別しません。 例:
FC00:AA3:0:23:3:300:300A:1234、fc00:0aa3:0000:0023:0003:0300:300a:1234。: :はサポートされていません。 たとえば、FC00:0AA3::0023:0003:0300:300A:1234は無効です。0000:0000:0000:0000:0000:0000:0000:0000/0を使用してすべてのIPv6アドレスを指定することはできません。 すべてのIPv6アドレスを指定するには、次のサブネットを使用します。0000:0000:0000:0000:0000:0000:0000:0000/18000:0000:0000:0000:0000:0000:0000:0000/1
ルールの長さの制限
Rulesの値のサイズは最大30 KBです。 このフィールドには、IPアドレスとCIDRブロックの平均サイズに基づいて、最大で約700個のIPv6アドレス /CIDRブロックまたは2,000個のIPv4アドレス /CIDRブロックを入力できます。 さらにIPアドレスをブロックする場合は、Dynamic Content Delivery Network (DCDN) を有効化し、リージョンブラックリストを設定します。
IPルール
次のいずれかのルールを選択できます。
XFFヘッダーに基づいて決定する
POPへの接続に使用されるIPアドレスに基づいて決定する
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します。
XFFヘッダーにIPアドレスが含まれていない場合は、POPへの接続に使用されるIPアドレスに基づいて決定します。
ルール条件
ルール条件は、構成が要求に適用されるかどうかを決定するために要求内のパラメータを識別できる。
条件を使用しない
ルールエンジンで設定されたルール条件を選択します。 詳細については、「ルールエンジン」をご参照ください。
OK.
サンプル設定
ホワイトリスト
ルール:
192.168.2.0/24期待される結果:
192.168.2.1〜192.168.2.254の範囲のIPアドレスのみが、指定されたドメイン名のリソースにアクセスできます。ブラックリスト
ルール:
192.168.0.1期待される結果: IPアドレス
192.168.0.1は、指定されたドメイン名のリソースにアクセスできません。
よくある質問
関連する API 操作
BatchSetCdnDomainConfig: 一度に複数のドメイン名のIPアドレスブラックリストまたはホワイトリストを設定します。 ip_black_list_setパラメーターはIPアドレスブラックリストを指定し、ip_allow_list_setパラメーターはIPアドレスホワイトリストを指定します。