IP アドレスのブラックリストまたはホワイトリストは、ユーザーリクエストをフィルタリングし、特定の IP アドレスからのリクエストをブロックまたは許可します。IP リスト機能は、アクセス元を制限し、プレゼンスポイント(POP)を IP の盗難や攻撃から保護できます。
使用方法に関する注意事項
デフォルトでは、IP リスト機能は無効になっています。IP アドレスのブラックリストとホワイトリストは相互に排他的です。構成できるのは、いずれか一方のリストのみです。
ブラックリストに IP アドレスが追加されている場合、その IP アドレスからのリクエストは POP に到達できますが、POP によって拒否され、HTTP 403 状態コードが返されます。また、その IP アドレスからのリクエストは Alibaba Cloud CDN のログに記録されます。
IP アドレスのブラックリストとホワイトリストは、レイヤー 7 HTTP IP 認識技術に基づいて IP アドレスを識別します。悪意のあるリクエストを POP がブロックする際に発生するネットワークトラフィックに対して課金されます。クライアントが HTTPS 経由で POP にアクセスする場合、HTTPS リクエストに対しても課金されます。
一部のインターネットサービスプロバイダー(ISP)は、特定の地域のクライアントにプライベート IP アドレスを割り当てる場合があります。そのため、POP はプライベート IP アドレスからのリクエストを受信する可能性があります。
説明プライベート IP アドレスには、次の種類があります。
タイプ A プライベート IP アドレス: 10.0.0.0 ~ 10.255.255.255 サブネットマスク: 10.0.0.0/8
タイプ B プライベート IP アドレス: 172.16.0.0 ~ 172.31.255.255 サブネットマスク: 172.16.0.0/12
タイプ C プライベート IP アドレス: 192.168.0.0 ~ 192.168.255.255 サブネットマスク: 192.168.0.0/16
IP アドレス検証モード
クライアントが POP に接続すると、クライアントの IP アドレスと、クライアントが POP への接続に使用する IP アドレスは、プロキシが使用されているかどうかによって決定されます。 たとえば、クライアントの IP アドレスは 10.10.10.10 で、プロキシの IP アドレスは 192.168.0.1 です。
クライアントが POP に接続するときにプロキシを使用しない場合、次のルールが適用されます。
ユーザーリクエストの X-Forwarded-For(XFF)ヘッダーの値は
10.10.10.10です。クライアント IP アドレス
10.10.10.10は、クライアントが POP への接続に使用する IP アドレスです。
クライアントが POP に接続するときにプロキシを使用する場合、次のルールが適用されます。
ユーザーリクエストの XFF ヘッダーの値は
10.10.10.10,192.168.0.1です。クライアント IP アドレス
10.10.10.10は、XFF ヘッダーの最初の IP アドレスです。クライアントが POP への接続に使用する IP アドレスは、プロキシの IP アドレスである
192.168.0.1です。クライアントの IP アドレスは、クライアントが POP への接続に使用する IP アドレスではありません。
Alibaba Cloud CDN の IP リスト機能は、3 つの IP アドレス検証モードをサポートしています。次の表に、検証モードを示します。
IP アドレス検証モード | 説明 |
XFF ヘッダーに基づいて決定する | これはデフォルトモードです。このモードでは、クライアントの IP アドレスのみが検証されます。クライアントの IP アドレスは、クライアントリクエストの XFF ヘッダーの最初の IP アドレスです。 クライアントが POP に接続するときにプロキシを使用する場合、クライアントはプロキシの IP アドレスを使用して POP に接続します。この場合、この検証モードでのアクセス制御は正確でない可能性があります。 |
POP への接続に使用する IP アドレスに基づいて決定する | このモードでは、クライアントが POP への接続に使用する IP アドレスのみが検証されます。 |
XFF ヘッダーと POP への接続に使用する IP アドレスに基づいて決定する | このモードでは、次の IP アドレスが検証されます。
|
手順
Alibaba Cloud CDN コンソールにログインします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
ドメイン名 ページで、管理するドメイン名を探し、管理 列の アクション をクリックします。
ドメイン名の左側のナビゲーションツリーで、リソースアクセス制御 をクリックします。
IP アドレスのブラックリスト/ホワイトリスト タブをクリックします。
IP アドレスのブラックリスト/ホワイトリスト セクションで、変更 をクリックします。
ビジネス要件に基づいて、ブラックリスト または ホワイトリスト を選択します。
パラメーター
説明
タイプ
次の種類の IP リストがサポートされています。
ブラックリスト
ブラックリストに登録されている IP アドレスからのリクエストはブロックされます。
ホワイトリスト
ホワイトリストに登録されている IP アドレスからのリクエストのみが POP のリソースにアクセスできます。
ルール
ルール形式の要件
IP アドレスまたは CIDR ブロックを入力できます。
複数の IP アドレスまたは CIDR ブロックは改行で区切ります。
IPv4 アドレスまたは CIDR ブロックを入力できます。
IPv4 アドレスの例:
192.168.0.1。IPv4 CIDR ブロックの例:
192.168.0.0/24。0.0.0.0/0を使用してすべての IPv4 アドレスを指定することはできません。すべての IPv4 アドレスを指定するには、次のサブネットを使用します。0.0.0.0/1128.0.0.0/1
IPv6 アドレスまたは CIDR ブロックを入力できます。
IPv6 アドレスの例:
FC00:AA3:0:23:3:300:300A:1234。IPv6 CIDR ブロックの例:
FC00:0AA3:0000:0000:0000:0000:0000:0000/48。IPv6 アドレスの大文字と小文字は区別されません。例:
FC00:AA3:0:23:3:300:300A:1234およびfc00:0aa3:0000:0023:0003:0300:300a:1234。: :はサポートされていません。たとえば、FC00:0AA3::0023:0003:0300:300A:1234は無効です。0000:0000:0000:0000:0000:0000:0000:0000/0を使用してすべての IPv6 アドレスを指定することはできません。すべての IPv6 アドレスを指定するには、次のサブネットを使用します。0000:0000:0000:0000:0000:0000:0000:0000/18000:0000:0000:0000:0000:0000:0000:0000/1
ルールの長さ制限
ルールの値のサイズは最大 30 KB です。IP アドレスと CIDR ブロックの平均サイズに基づいて、このフィールドには最大約 700 の IPv6 アドレス/CIDR ブロックまたは 2,000 の IPv4 アドレス/CIDR ブロックを入力できます。より多くの IP アドレスをブロックする場合は、CDN から ESA にスペックアップし、IP アクセス ルールを設定します。
IP ルール
次のルールのいずれかを選択できます。
XFF ヘッダーに基づいて決定
POP への接続に使用される IP アドレスに基づいて決定
XFF ヘッダーと POP への接続に使用される IP アドレスに基づいて決定。
XFF ヘッダーに IP アドレスが含まれていない場合は、POP への接続に使用される IP アドレスに基づいて判断します。
ルール条件
ルールの条件では、リクエスト内のパラメーターを識別して、構成がリクエストに適用されるかどうかを判断できます。
条件を使用しない
ルールエンジンで構成済みのルールの条件を選択します。詳細については、「ルールエンジン」をご参照ください。
OK をクリックします。
構成例
ホワイトリスト
ルール:
192.168.2.0/24期待される結果:
192.168.2.1から192.168.2.254までの範囲の IP アドレスのみが、指定されたドメイン名のリソースにアクセスできます。ブラックリスト
ルール:
192.168.0.1期待される結果: IP アドレス
192.168.0.1は、指定されたドメイン名のリソースにアクセスできません。
FAQ
関連 API 操作
BatchSetCdnDomainConfig: 一度に複数のドメイン名に対して IP アドレスのブラックリストまたはホワイトリストを構成します。ip_black_list_set パラメーターは IP アドレスのブラックリストを指定し、ip_allow_list_set パラメーターは IP アドレスのホワイトリストを指定します。