全部产品
Search

搜索本产品

    CDN:Konfigurasi Daftar Hitam/Putih IP

    文档中心

    CDN:Konfigurasi Daftar Hitam/Putih IP

    更新时间:Sep 18, 2025

    Untuk melindungi bisnis Anda dari pengikisan IP jahat atau serangan, konfigurasikan daftar hitam/putih IP untuk menyaring permintaan berdasarkan alamat IP asal di Titik Kehadiran (POPs) CDN. Daftar hitam memblokir alamat IP jahat yang dikenal, sementara daftar putih hanya mengizinkan lalu lintas terpercaya. Ini melindungi server asal Anda dari serangan.

    Kasus penggunaan

    Konfigurasi

    Kasus Penggunaan

    Daftar Putih IP

    • Melindungi data internal sensitif: Izinkan akses hanya dari alamat IP tertentu ke data sensitif, memastikan keamanannya.

    • Berintegrasi dengan layanan pihak ketiga: Pastikan bahwa hanya alamat IP layanan pihak ketiga terpercaya yang dapat mengakses sumber daya CDN Anda.

    Daftar Hitam IP

    • Mencegah serangan jahat: Jika Anda mendeteksi alamat IP sering mengirimkan permintaan abnormal, tambahkan ke daftar hitam untuk memblokir aksesnya.

    • Membatasi akses berdasarkan wilayah: Blokir rentang alamat IP dari wilayah atau negara berisiko tinggi untuk mematuhi kebijakan tertentu.

    Penagihan

    Fitur IP Blacklist or Whitelist tidak dikenakan biaya. Namun, permintaan yang diblokir tetap menimbulkan biaya kecil karena pemblokiran terjadi setelah permintaan diproses oleh CDN POP (Lapisan 7). Lalu lintas dan permintaan terkait tetap dikenakan biaya:

    • Transfer Data: Permintaan yang diblokir menghasilkan lalu lintas untuk satu permintaan (termasuk header HTTP) dan satu tanggapan (halaman 403). Lalu lintas ini ditagih sebagai transfer data CDN standar.

    • Permintaan HTTPS: Jika domain menggunakan protokol HTTPS, jabat tangan TLS selesai sebelum IP diblokir. Oleh karena itu, setiap permintaan HTTPS yang diblokir tetap dihitung dan ditagih sebagai satu permintaan HTTPS.

    Sebelum Anda Memulai

    • Nama domain hanya dapat memiliki satu aturan daftar hitam IP atau satu aturan daftar putih IP. Keduanya bersifat saling eksklusif.

    • Setelah Anda mengonfigurasi daftar hitam IP, permintaan dari IP yang diblokir akan ditolak dengan kode status 403 di CDN POPs, tetapi mereka masih dicatat dalam log CDN Anda. Ini adalah perilaku yang diharapkan dan menegaskan bahwa daftar hitam bekerja dengan benar.

    • Beberapa Penyedia Layanan Internet (ISP) mungkin memberikan alamat IP pribadi kepada pengguna akhir di wilayah tertentu. Akibatnya, POP menerima alamat IP pribadi pengguna.

      Catatan

      Alamat IP pribadi mencakup:

      • Kelas A: 10.0.0.0 hingga 10.255.255.255. Subnet mask: 10.0.0.0/8.

      • Kelas B: 172.16.0.0 hingga 172.31.255.255. Subnet mask: 172.16.0.0/12.

      • Kelas C: 192.168.0.0 hingga 192.168.255.255. Subnet mask: 192.168.0.0/16.

    Prosedur

    1. Masuk ke Alibaba Cloud CDN.

    2. Pada halaman Domain Names, temukan nama domain yang ingin Anda kelola dan klik Manage di kolom Actions.

    3. Di pohon navigasi kiri nama domain, klik Access Control.

    4. Di bagian IP Blacklist or Whitelist, klik Modify.

    5. Gunakan contoh di bawah ini untuk pengaturan cepat. Anda juga dapat merujuk ke Deskripsi Parameter untuk menambahkan konfigurasi.

      • Contoh 1: Lindungi Konsol Manajemen (Whitelist + Rules Engine)

        • Tujuan: Izinkan hanya alamat IP keluar kantor 203.x.x.10 dan 203.x.x.11 untuk mengakses jalur /admin/.

        • Konfigurasi:

          • Type: Pilih Whitelist.

          • Rules: Masukkan 203.x.x.10 dan 203.x.x.11 (pisahkan dengan baris baru).

          • Advanced Configuration - IP Rules: Pilih opsi Determine based on the IP address that is used to connect to the POP.

          • Advanced Configuration - Rule Condition: Di halaman Mesin Aturan, konfigurasikan aturan di mana URI berisi /admin/* (tidak peka huruf besar/kecil). Kemudian, pilih aturan ini di bagian Kondisi Aturan.

            image

        • Hasil: Hanya permintaan dari dua alamat IP ini yang dapat mengakses direktori /admin/. Semua permintaan lain ke direktori ini akan ditolak dengan kode status 403.

      • Contoh 2: Izinkan Akses dari Blok CIDR IPv6 Mitra (Whitelist)

        • Tujuan: Izinkan akses hanya dari blok CIDR IPv6 mitra FC00:0AA3:0000:0000:0000:0000:0000:0000/48.

        • Konfigurasi:

          1. Type: Pilih Whitelist.

          2. Rules: Masukkan FC00:0AA3:0000:0000:0000:0000:0000:0000/48.

          3. Advanced Configuration - IP Rules: Pilih Determine based on the IP address that is used to connect to the POP.

        • Hasil: Hanya permintaan dari blok CIDR IPv6 ini yang dapat mengakses sumber daya nama domain Anda.

      • Contoh 3: Blokir Sumber Serangan (Blacklist)

        • Tujuan: Serangan CC terdeteksi dari segmen jaringan 198.x.x.0/24 dan harus segera diblokir.

        • Konfigurasi:

          1. Type: Pilih Blacklist.

          2. Rules: Masukkan 198.x.x.0/24.

          3. Advanced Configuration - IP Rules: Pilih Determine based on the IP address that is used to connect to the POP.

        • Hasil: Semua permintaan IP dari blok CIDR 198.x.x.0/24 ditolak oleh CDN POPs.

    Deskripsi Parameter

    Parameter

    Deskripsi

    Type

    Pilih Blacklist atau Whitelist.

    • Blacklist: Alamat IP dalam daftar ditolak aksesnya, dan menerima kode status 403.

    • Whitelist: Hanya alamat IP dalam daftar yang diizinkan akses. Semua alamat IP lainnya ditolak.

    Rules

    Format aturan yang diperlukan

    • Saat memasukkan beberapa alamat IP atau rentang, pisahkan dengan baris baru.

    • Mendukung alamat IP atau blok CIDR. Contoh IPv4:

      • Contoh alamat IPv4: 192.168.0.1.

      • Contoh blok CIDR IPv4: 192.168.0.0/24.

      • Anda tidak dapat menggunakan 0.0.0.0/0 untuk menentukan semua alamat IPv4. Untuk menentukan semua alamat IPv4, gunakan subnet berikut:

        • 0.0.0.0/1

        • 128.0.0.0/1

    • Contoh IPv6:

      • Contoh alamat IPv6: FC00:AA3:0:23:3:300:300A:1234.

      • Contoh blok CIDR IPv6: FC00:0AA3:0000:0000:0000:0000:0000:0000/48.

      • Huruf dalam alamat IPv6 tidak peka huruf besar/kecil. Contoh: FC00:AA3:0:23:3:300:300A:1234 dan fc00:0aa3:0000:0023:0003:0300:300a:1234.

      • Format singkat : : tidak didukung. Contohnya, FC00:0AA3::0023:0003:0300:300A:1234 tidak didukung.

      • Anda tidak dapat menggunakan 0000:0000:0000:0000:0000:0000:0000:0000/0 untuk menentukan semua alamat IPv6. Untuk menentukan semua alamat IPv6, gunakan subnet berikut:

        • 0000:0000:0000:0000:0000:0000:0000:0000/1

        • 8000:0000:0000:0000:0000:0000:0000:0000/1

    Batas panjang aturan

    Daftar aturan dibatasi hingga 30 KB. Tergantung pada panjang rata-rata alamat IP atau rentang, Anda dapat mengonfigurasi sekitar 700 alamat/range IPv6 atau 2.000 alamat/range IPv4. Untuk memblokir lebih banyak IP daripada batas ini, aktifkan Edge Security Acceleration (ESA), yang mendukung pemblokiran IP masif dan pemblokiran regional. Untuk informasi lebih lanjut, lihat Tingkatkan dari CDN atau DCDN ke ESA dan Konfigurasikan aturan akses IP.

    IP Rules

    Pilih salah satu dari tiga aturan berikut:

    • Determine based on the XFF header (default)

      Aturan ini direkomendasikan ketika klien mengakses melalui proxy tepercaya yang benar menetapkan header X-Forwarded-For.

    • Determine based on the IP address that is used to connect to the POP

      Aturan ini direkomendasikan ketika klien terhubung langsung ke CDN tanpa proxy perantara, atau ketika Anda ingin mengontrol akses berdasarkan alamat IP server proxy.

    • Determine based on the XFF header and the IP address that is used to connect to the POP

      Aturan ini direkomendasikan untuk lingkungan jaringan campuran di mana beberapa pengguna terhubung langsung dan lainnya terhubung melalui proxy.

    Rule Condition

    Kondisi aturan dapat mengidentifikasi parameter dalam permintaan untuk menentukan apakah konfigurasi berlaku untuk permintaan tersebut.

    • Jangan gunakan kondisi

    • Jika Anda ingin menambah atau mengedit kondisi aturan, lihat Mesin Aturan.

    Referensi: Bagaimana Alibaba Cloud CDN mengidentifikasi alamat IP klien

    CDN POPs dapat mengidentifikasi alamat IP klien dengan dua cara. Setiap metode memiliki kelebihan dan kekurangannya:

    • Alamat IP Koneksi Nyata (IP Koneksi TCP)

      • Definisi: Alamat IP yang digunakan klien untuk membentuk koneksi TCP dengan CDN POP.

      • Keuntungan: Tidak dapat dipalsukan, memberikan tingkat keamanan tertinggi.

      • Kerugian: Ketika pengguna mengakses melalui proxy (seperti gateway jaringan perusahaan atau perangkat NAT), alamat IP ini adalah milik server proxy, bukan klien.

    • X-Forwarded-For (Header XFF) Permintaan

      • Definisi: Bidang header HTTP yang digunakan untuk mencatat alamat IP setiap server proxy yang dilewati permintaan. CDN biasanya menggunakan IP paling kiri di header ini sebagai alamat IP klien.

      • Keuntungan: Dapat melewati proxy untuk mendapatkan alamat IP asli klien.

      • Kerugian: Klien dapat dengan mudah memalsukan header ini, menimbulkan risiko keamanan yang signifikan. Pengguna jahat dapat menghindari kontrol akses berbasis IP dengan memalsukan header XFF.

    Ketika klien mengakses CDN secara langsung, kedua alamat IP ini sama. Namun, jika klien mengakses CDN melalui server proxy, alamat IP tersebut berbeda. Misalnya, jika alamat IP asal klien adalah 10.10.10.10 dan alamat IP server proxy adalah 192.168.0.1, maka:

    • Nilai header X-Forwarded-For mungkin 10.10.10.10, 192.168.0.1.

    • Alamat IP asal klien adalah 10.10.10.10.

    • Alamat IP Koneksi TCP adalah 192.168.0.1.

    Untuk menyeimbangkan keamanan dan fleksibilitas bisnis, CDN menyediakan tiga mode verifikasi berdasarkan metode identifikasi IP ini.

    Mode Validasi Alamat IP

    Casus Penggunaan

    Cara Kerjanya

    Keamanan

    Determine based on the XFF header (Default)

    Klien mengakses melalui proxy tepercaya yang benar menetapkan header XFF.

    Ekstrak dan cocokkan hanya alamat IP paling kiri di header permintaan X-Forwarded-For.

    Rendah. Klien dapat memalsukan header permintaan X-Forwarded-For. Pengguna jahat dapat dengan mudah menghindari pembatasan daftar hitam.

    Determine based on the IP address that is used to connect to the POP

    Klien terhubung langsung ke CDN tanpa proxy, atau Anda ingin mengontrol akses berdasarkan alamat IP server proxy.

    Cocokkan hanya alamat IP yang digunakan untuk membentuk koneksi TCP antara klien dan CDN POP.

    Tinggi. IP Koneksi TCP tidak dapat dipalsukan, memberikan perlindungan paling andal.

    Determine based on the XFF header and the IP address that is used to connect to the POP

    Lingkungan jaringan campuran di mana beberapa pengguna terhubung langsung dan lainnya menggunakan proxy.

    Daftar Hitam: Permintaan diblokir jika salah satu IP di header X-Forwarded-For atau IP Koneksi TCP sesuai dengan aturan. Daftar Putih: Permintaan diizinkan jika salah satu IP di header X-Forwarded-For atau IP Koneksi TCP sesuai dengan aturan.

    Sedang hingga tinggi. Mode ini menyeimbangkan fleksibilitas dengan keamanan, menjadikannya pilihan kuat untuk sebagian besar skenario.

    FAQ

    Operasi API Terkait

    Tambahkan IP Blacklist or Whitelist

    Panggil operasi <a baseurl="t5153_v3_16_0.xdita" data-node="3761881" data-root="15599" data-tag="xref" href="t2235627.xdita#" id="a4e97ad7a1ba5">BatchSetCdnDomainConfig</a> untuk mengonfigurasi Daftar Hitam/Putih IP. Untuk detail parameter, lihat Konfigurasi Daftar Putih IP dan Konfigurasi Daftar Hitam IP.

    Perbarui IP Blacklist or Whitelist

    Gunakan operasi <a baseurl="t5153_v3_16_0.xdita" data-node="3761881" data-root="15599" data-tag="xref" href="t2235627.xdita#" id="9664181965a40">BatchSetCdnDomainConfig</a> untuk memperbarui IP Blacklist or Whitelist. Untuk detail lebih lanjut mengenai parameter terkait, lihat Konfigurasikan Daftar Putih IP dan Konfigurasikan Daftar Hitam IP.

    Penting

    Logika pembaruan untuk operasi ini adalah hanya memperbarui parameter yang disertakan dalam permintaan. Sebagai contoh, jika Anda menyertakan parameter ip_list tetapi tidak menyertakan parameter ip_acl_xfwd, maka ip_acl_xfwd tidak akan diperbarui.

    Operasi ini hanya mendukung pembaruan daftar IP, aturan IP, dan kondisi aturan. Anda tidak dapat mengubah tipe konfigurasi. Sebagai contoh, Anda tidak dapat menggunakan operasi ini untuk mengubah daftar hitam menjadi daftar putih.

    Untuk mengubah tipe konfigurasi, misalnya dari daftar hitam IP ke daftar putih IP, Anda harus melakukan langkah-langkah berikut:

    • Panggil operasi penghapusan untuk menghapus konfigurasi daftar hitam IP yang ada.

    • Panggil operasi penambahan untuk menambahkan konfigurasi daftar putih IP baru.

    Hapus IP Blacklist or Whitelist

    Langkah 1: Kueri ConfigId

    Panggil operasi DescribeDomainConfigs untuk menanyakan ConfigId dari konfigurasi. Jika Anda sudah mengetahui ConfigId, lewati langkah ini.

    Langkah 2: Hapus konfigurasi

    Panggil operasi <a baseurl="t5153_v3_16_0.xdita" data-node="3761881" data-root="15599" data-tag="xref" href="t2235627.xdita#" id="f3b563c73bqb3">BatchSetCdnDomainConfig</a> dan gunakan ConfigId untuk menghapus konfigurasi tersebut.