ApsaraVideo VODでは、リファラー、IPアドレス、およびUser-Agentのブラックリストまたはホワイトリストを設定できます。 ApsaraVideo VODは、URLアクセスと一意のIPアドレスの数も制限します。 このトピックでは、アクセス制御について詳しく説明します。
概要
アクセス制御サービスを使用すると、クラウドでアクセスポリシーを設定して、ビデオリソースの基本的な保護を提供できます。 アクセス制御サービスのしきい値は低く、短時間で有効になります。 クラウド設定のみ追加の開発は必要ありません。 一般的なアクセス制御ポリシーは次のとおりです。
Referer: Refererブラックリストまたはホワイトリスト
User-Agent: User-Agentブラックリストまたはホワイトリスト
IPアドレス: IPアドレスブラックリストまたはホワイトリスト
アクセス回数の制限: 特定の期間にビデオURLにアクセスできる最大回数と、重複排除後にビデオURLへのアクセスを許可される一意のIPアドレスの最大数。
User-Agentとアクセス回数の制限は複雑で、誤操作しやすいです。 ApsaraVideo VODコンソールでこれらのアクセス制御ポリシーを設定することはできません。 これらのポリシーを設定する場合は、チケットを起票するか、Alibaba Cloudテクニカルサポートにお問い合わせください。
リファラーブラックリストまたはホワイトリスト
概要
Refererは、HTTP Refererメカニズムに基づいてリクエストの送信元を追跡および識別するために使用されます。 リファラーブラックリストまたはホワイトリストを設定して、ユーザーを識別およびフィルタリングできます。 このメカニズムにより、CDNリソースへのアクセスが制限され、CDNセキュリティが向上します。
リファラーホワイトリストまたはリファラーブラックリストがサポートされています。 ユーザーがCDNノードにリクエストを送信すると、ノードは事前設定されたリファラーホワイトリストまたはブラックリストに基づいてユーザーIDを認証します。 リクエストがルールを満たしている場合、ビデオデータが返されます。 リクエストがルールを満たさない場合、リクエストは拒否され、HTTPステータスコード403が返されます。
リファラーブラックリストまたはホワイトリストを設定すると、ワイルドカードドメイン名が自動的にサポートされます。 たとえば、r example.comを表示すると、実際の設定 * .example.comが有効になります。 つまり、すべてのサブドメインが有効になります。
通常、移動端末はRefererヘッダを取得できない。 デフォルトでは、Refererヘッダーを除外するアクセス要求が許可されます。 Refererヘッダーを除外するリクエストからのアクセスを無効にすることを選択できます。
詳細については、「ホットリンク保護」をご参照ください。
例
ApsaraVideo VOD t o aliyun.comのexample-bucket-**** .cn-shanghai.aliyuncs.comドメイン名のリファラーホワイトリストを設定します。 Refererヘッダーを除外するリクエストからのアクセスを無効にします。 次のリクエストを作成します。
curl -i 'http:// example-bucket-**** .cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9ab241/5101d1f8-1643f9a****.mp4'
レスポンス
ホワイトリストに一致するリファラーをリクエストに追加すると、Rtheアクセスが許可されます。
curl -i 'http:// example-bucket-**** .cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4' \ -H 'リファラー: http://www.aliyun.com'
User-Agentブラックリストまたはホワイトリスト
概要
User-Agentは特殊な文字列ヘッダーです。 サーバーは、ユーザーが使用するオペレーティングシステムのタイプとバージョン、CPUタイプ、ブラウザーのタイプとバージョン、ブラウザーのレンダリングエンジン、言語、およびプラグインを識別するのに役立ちます。 User-Agentブラックリストまたはホワイトリストを設定して、特定のブラウザまたは端末からのアクセスを制御できます。
例
Windows PC上のInternet Explorer 9.0のユーザーエージェントヘッダー:
ユーザーエージェント: Mozilla/5.0 (互换性; MSIE9.0;WindowsNT6.1; トライデント /5.0;
検証のために次のHTTPリクエストをシミュレートします。
curl -i 'http:// example-bucket-**** .cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4' \ -H 'ユーザーエージェント: iPhone OS;MI 5'
IP アドレスのブラックリストまたはホワイトリスト
ApsaraVideo VODを使用すると、IPアドレスブラックリストまたはホワイトリストを設定して、特定のIPアドレスからのアクセスのみを拒否または許可できます。
IPアドレスのリストまたはCIDRブロックを追加できます
IPアドレスブラックリストまたはホワイトリストへの
127.0.0.1/24
など 図24は、最初の24ビットが、アドレスのネットワーク部分の一部を表すマスクであることを示す。 残りの8ビットはホストビットである。 サブネットは254のホストに対応できます。 したがって、IPアドレスは127.0.0.1から127.0.0.255です。remote_addrまたはX-Forwarded-Forを優先的に使用するかどうかを選択して、リクエストの発信元のIPアドレスを決定できます。 remote_addrとX-Forwarded-For (XFF) の両方を使用することもできます。
詳細については、「IPアドレスブラックリストまたはホワイトリスト」をご参照ください。
アクセス回数および固有IPアドレス数の制限
ApsaraVideo VODでは、1日などの特定の期間にメディアリソースにアクセスできる最大回数や、メディアリソースへのアクセスを許可される一意のIPアドレスの最大数を設定できます。 核となる原理は、すべての要求が検証のために集中アクセスカウントサービスに送信されることである。 アクセスカウントサービスは、指定されたしきい値を超えているかどうかを確認します。 指定されたしきい値を超えると、アクセスカウントサービスはリクエストを拒否し、HTTPステータスコード403を返します。
制限は、ファイルURLおよび署名情報を含むURLへのアクセスに課される。 ファイルへのアクセスには制限が課されません。 ただし、URLの一部のパラメーターを無視するようにシステムを設定できます。 しきい値の制限は、ドメイン名ごとに個別に指定できます。
アクセスカウントサービスは、複数のリージョンに展開された集中型サービスです。 URLへのアクセス要求は、集中的なカウントを確保するために、1つのリージョンにのみ送出されます。
CDNエッジノードがリクエストを受信すると、CDNエッジノードは集中アクセスカウントサービスにアクセスしてカウントと検証を行います。
要約
アクセス制御サービスは、シンプルな設定のみを必要とするため、使いやすくなります。 アクセス制御サービスは、特にウェブブラウザからのアクセスに対して、基本的な保護を提供することができる。
リファラーとUser-Agentは一般的なHTTPヘッダーであり、偽造されやすく、セキュリティが低いです。
IPアドレスアクセス制御およびアクセス回数の制限は、多数の消費者へのコンテンツの配信を妨げる。 そのため、IPアドレスのアクセス制御やアクセス回数の制限は、コンテンツの普及には不向きである。 さらに、閾値の制限を超えない場合であっても、不正アクセスが依然として発生する可能性がある。