IPアドレスブラックリストまたはホワイトリストは、ユーザーの要求をフィルタリングし、特定のIPアドレスからの要求をブロックまたは許可します。 IPリスト機能は、アクセスソースを制限し、存在点 (POP) をIP盗難や攻撃から保護することができます。
使用上の注意
デフォルトでは、IPリスト機能は無効になっています。 IPアドレスブラックリストとホワイトリストは相互に排他的です。 リストの1つのみを設定できます。
IPアドレスがブラックリストに追加された場合、IPアドレスからのリクエストはPOPに到達できますが、POPによって拒否され、HTTP 403ステータスコードが返され、IPアドレスからのリクエストは DCDNのログに記録されます。
IPアドレスブラックリストとホワイトリストは、レイヤ7 HTTP IP認識技術に基づいてIPアドレスを識別します。 POPが悪意のあるリクエストをブロックしたときに生成されるネットワークトラフィックに対して課金されます。 クライアントがHTTPS経由でPOPにアクセスする場合、HTTPSリクエストに対しても課金されます。
いくつかのインターネットサービスプロバイダ (ISP) は、特定の領域内のクライアントにプライベートIPアドレスを割り当てることができる。 したがって、POPはプライベートIPアドレスから要求を受信することができる。
説明プライベートIPアドレスの種類は次のとおりです。
Type-プライベートIPアドレス: 10.0.0.0〜10.255.255.255。 サブネットマスク: 10.0.0.0/8。
Type-BプライベートIPアドレス: 172.16.0.0〜172.31.255.255 サブネットマスク: 172.16.0.0/12。
Type-CプライベートIPアドレス: 192.168.0.0〜192.168.255.255。 サブネットマスク: 192.168.0.0/16。
IPアドレス検証モード
クライアントがPOPに接続するとき、クライアントIPアドレスと、POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシが使用されるかどうかに基づいて決定される。 たとえば、クライアントIPアドレスは10.10.10.10、プロキシIPアドレスは192.168.0.1です。
クライアントがPOPに接続するときにプロキシを使用しない場合、次のルールが適用されます。
ユーザーリクエストのX-Forwarded-For (XFF) ヘッダーの値は
10.10.10.10です。クライアントIPアドレス
10.10.10.10は、POPに接続するためにクライアントによって使用されるIPアドレスです。
クライアントがPOPに接続するときにプロキシを使用する場合、次のルールが適用されます。
ユーザーリクエストのXFFヘッダーの値は
10.10.10.10,192.168.0.1です。クライアントIPアドレス
10.10.10.10は、XFFヘッダ内の最初のIPアドレスである。POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシのIPアドレスであり、これは
192.168.0.1である。クライアントIPアドレスは、クライアントがPOPに接続するために使用するIPアドレスではありません。
DCDNのIPリスト機能は、3つのIPアドレス検証モードをサポートしています。 次の表に、検証モードを示します。
IPアドレス検証モード | 説明 |
XFFヘッダーに基づいて決定する | デフォルトモードです。 このモードは、クライアントIPアドレスのみを検証します。 クライアントIPアドレスは、クライアント要求のXFFヘッダーの最初のIPアドレスです。 クライアントがPOPに接続するときにプロキシが使用される場合、クライアントはプロキシのIPアドレスを使用してPOPに接続します。 この場合、この検証モードでのアクセス制御は正確ではない可能性があります。 |
POPへの接続に使用されるIPアドレスに基づいて決定する | このモードは、クライアントがPOPに接続するために使用するIPアドレスのみを検証します。 |
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します | このモードは、次のIPアドレスを検証します。
|
手順
左側のナビゲーションウィンドウで、ドメイン名.
On theドメイン名ページで、管理するドメイン名を見つけて、設定.
ドメイン名の左側のナビゲーションツリーで、アクセス制御.
をクリックし、IP ブラックリスト/ホワイトリストタブをクリックします。
クリックIP ブラックリスト/ホワイトリストを設定し、ブラックリストまたはホワイトリストプロンプトとして。
パラメーター
説明
タイプ
次のタイプのIPアドレスリストがサポートされています。
ブラックリスト
ブラックリストのIPアドレスからのリクエストはブロックされます。
ホワイトリスト
ホワイトリスト内のIPアドレスからのリクエストのみがPOP上のリソースにアクセスできます。
ルール
192.168.0.0/24などのCIDRブロック、または192.168.0.1などのIPアドレスを入力します。 CIDRブロックが重複しないようにしてください。 IPv4アドレスとIPv6アドレスの両方がサポートされています。 IPアドレスはキャリッジリターン文字で区切ります。
説明ルールの値のサイズは最大30 KBです。 このフィールドには、約700個のIPv6アドレスまたは2,000個のIPv4アドレスを入力できます。 geoブロッキングの詳細については、「リージョンブラックリストの設定」をご参照ください。
IPv6: 約700個のIPv6アドレスをリストに追加できます。 ブラックリストとホワイトリストはIPv6アドレスをサポートしています。 IPv6アドレスの文字は大文字と小文字を区別しません。 例:
FC00:AA3:0:23:3:300:300A:1234、fc00:0aa3:0000:0023:0003:0300:300a:1234。 IPv6アドレスの表記を短くしないでください。 たとえば、FC00:0AA3::0023:0003:0300:300A:1234は無効です。 のCIDRブロックがサポートされています。 例:FC00:0AA3: 0000:0000:0000:0000:0000:0000:0000 /48IPv4: 最大で約2,000個のIPv4アドレスをリストに追加できます。
IPアドレスを指定する文字列の合計の長さは、30 KBを超えることはできません。
説明0.0.0.0/0を使用してすべてのIPアドレスを指定することはできません。すべてのIPv4アドレスを指定するには、次のサブネットを使用します。
0.0.0.0/1128.0.0.0/1
すべてのIPv6アドレスを指定するには、次のサブネットを使用します。
0000:0000:0000:0000:0000:0000:0000:0000/18000:0000:0000:0000:0000:0000:0000:0000/1
IPルール
次のいずれかのルールを選択できます。
XFFヘッダーに基づいて決定する
POPへの接続に使用されるIPアドレスに基づいて決定する
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します。
XFFヘッダーにIPアドレスが含まれていない場合は、POPへの接続に使用されるIPアドレスに基づいて決定します。
クリックOK.
サンプル設定
ホワイトリスト
ルール:
192.168.2.0/24期待される結果:
192.168.2.1〜192.168.2.254の範囲のIPアドレスのみが、指定されたドメイン名のリソースにアクセスできます。ブラックリスト
ルール:
192.168.0.1期待される結果: IPアドレス
192.168.0.1は、指定されたドメイン名のリソースにアクセスできません。
よくある質問
関連する API 操作
BatchSetDcdnDomainConfigs: 一度に複数のドメイン名のIPアドレスブラックリストまたはホワイトリストを設定します。 ip_black_list_setパラメーターはIPアドレスブラックリストを指定し、ip_allow_list_setパラメーターはIPアドレスホワイトリストを指定します。