IPアドレスブラックリストまたはホワイトリストは、ユーザーの要求をフィルタリングし、特定のIPアドレスからの要求をブロックまたは許可します。 IPリスト機能は、アクセスソースを制限し、存在点 (POP) をIP盗難や攻撃から保護することができます。
使用上の注意
デフォルトでは、IPリスト機能は無効になっています。 IPアドレスブラックリストとホワイトリストは相互に排他的です。 リストの1つのみを設定できます。
最大で約700個のIPv6アドレスまたは2,000個のIPv4アドレスを指定できます。
IPアドレスがブラックリストに追加された場合でも、IPアドレスからの要求をPOPに送信できます。 ただし、POPは要求を拒否し、403エラーを返します。 ブラックリストにあるIPアドレスから送信されたリクエストは、対応するドメイン名のログに記録されます。
IPアドレスブラックリストとホワイトリストは、レイヤ7 HTTP IP認識技術に基づいてIPアドレスを識別します。 POPが悪意のあるリクエストをブロックしたときに生成されるネットワークトラフィックに対して課金されます。 クライアントがHTTPS経由でPOPにアクセスする場合、HTTPSリクエストに対しても課金されます。
いくつかのインターネットサービスプロバイダ (ISP) は、特定の領域内のクライアントにプライベートIPアドレスを割り当てることができます。 したがって、POPはプライベートIPアドレスから要求を受信することができます。
説明プライベートIPアドレスの種類は次のとおりです。
Type-プライベートIPアドレス: 10.0.0.0〜10.255.255.255。 サブネットマスク: 10.0.0.0/8。
Type-BプライベートIPアドレス: 172.16.0.0〜172.31.255.255 サブネットマスク: 172.16.0.0/12。
Type-CプライベートIPアドレス: 192.168.0.0〜192.168.255.255。 サブネットマスク: 192.168.0.0/16。
IPアドレス検証モード
クライアントがPOPに接続するとき、クライアントIPアドレスと、POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシが使用されるかどうかに基づいて決定されます。 たとえば、クライアントIPアドレスは10.10.10.10、プロキシIPアドレスは192.168.0.1です。
クライアントがPOPに接続するときにプロキシを使用しない場合、次のルールが適用されます。
ユーザーリクエストのX-Forwarded-For (XFF) ヘッダーの値は
10.10.10.10です。クライアントIPアドレス
10.10.10.10は、POPに接続するためにクライアントによって使用されるIPアドレスです。
クライアントがPOPに接続するときにプロキシを使用する場合、次のルールが適用されます。
ユーザーリクエストのXFFヘッダーの値は
10.10.10.10,192.168.0.1です。クライアントIPアドレス
10.10.10.10は、XFFヘッダ内の最初のIPアドレスです。POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシのIPアドレスであり、これは
192.168.0.1です。クライアントIPアドレスは、クライアントがPOPに接続するために使用するIPアドレスではありません。
ApsaraVideo VODのIPリスト機能では、3種類のIPアドレスを確認できます。
IPアドレス検証モード | 説明 |
XFFヘッダーに基づいて決定する | デフォルトモードです。 このモードは、クライアントIPアドレスのみを検証します。 クライアントIPアドレスは、クライアント要求のXFFヘッダーの最初のIPアドレスです。 クライアントがPOPに接続するときにプロキシが使用される場合、クライアントはプロキシのIPアドレスを使用してPOPに接続します。 この場合、この検証モードでのアクセス制御は正確ではない可能性があります。 |
POPへの接続に使用されるIPアドレスに基づいて決定する | このモードは、クライアントがPOPに接続するために使用するIPアドレスのみを検証します。 |
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します | このモードは、次のIPアドレスを検証します。
|
手順
ApsaraVideo VODコンソールにログインします。
左側のナビゲーションウィンドウで、[設定管理]> [CDN設定]> [ドメイン名] を選択します。
[ドメイン名] ページで、管理するドメイン名を見つけ、アクション 列の [設定] をクリックします。
左側のナビゲーションツリーで、[リソースアクセス制御] を選択します。
[IPアドレスブラックリスト /ホワイトリスト] タブで、[IPアドレスブラックリスト /ホワイトリスト] セクションの [変更] をクリックします。
表示されるダイアログボックスで、IPブラックリストまたはIPホワイトリストを設定します。
パラメーター
説明
タイプ
ブラックリスト
ブラックリストのIPアドレスからのリクエストはブロックされます。
ホワイトリスト
ホワイトリスト内のIPアドレスからのリクエストのみがPOP上のリソースにアクセスできます。
ルール
192.168.0.0/24などのCIDRブロック、または192.168.0.1などのIPアドレスを入力します。 重複するCIDRブロックが存在しないことを確認します。 IPv4およびIPv6アドレスがサポートされています。 IPアドレスはキャリッジリターン文字で区切ります。説明Rulesの値のサイズは最大30 KBです。 このフィールドには、約700個のIPv6アドレスまたは2,000個のIPv4アドレスを入力できます。
IPv6: 約700個のIPv6アドレスをリストに追加できます。 ブラックリストとホワイトリストはIPv6アドレスをサポートしています。 IPv6アドレスの文字は大文字と小文字を区別しません。 例:
FC00:AA3:0:23:3:300:300A:1234、fc00:0aa3:0000:0023:0003:0300:300a:1234。 IPv6アドレスの表記を短くしないでください。 たとえば、FC00:0AA3::0023:0003:0300:300A:1234は無効です。 のCIDRブロックがサポートされています。 例:FC00:0AA3: 0000:0000:0000:0000:0000:0000:0000 /48IPv4: 最大で約2,000個のIPv4アドレスをリストに追加できます。
IPアドレスを指定する文字列の合計の長さは、30 KBを超えることはできません。
説明0.0.0.0/0を使用してすべてのIPアドレスを指定することはできません。すべてのIPv4アドレスを指定するには、次のサブネットを使用します。
0.0.0.0/1128.0.0.0/1
すべてのIPv6アドレスを指定するには、次のサブネットを使用します。
0000:0000:0000:0000:0000:0000:0000:0000/18000:0000:0000:0000:0000:0000:0000:0000/1
IPルール
次のいずれかのルールを選択できます。
XFFヘッダーに基づいて決定する
POPへの接続に使用されるIPアドレスに基づいて決定する
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します。
XFFヘッダーにIPアドレスが含まれていない場合は、POPへの接続に使用されるIPアドレスに基づいて決定します。
[OK] をクリックします。
設定例
ホワイトリスト
ルール:
192.168.2.0/24期待される結果:
192.168.2.1〜192.168.2.254の範囲のIPアドレスのみが、指定されたドメイン名のリソースにアクセスできます。ブラックリスト
ルール:
192.168.0.1期待される結果: IPアドレス
192.168.0.1は、指定されたドメイン名のリソースにアクセスできません。
よくある質問
関連する API 操作
BatchSetVodDomainConfigs: このAPIを呼び出して、CDNの1つ以上のドメイン名を設定できます。 IPアドレスブラックリストまたはホワイトリストを指定するには、ip_black_list_setまたはip_allow_list_setパラメーターを設定します。