悪意のある IP スクレイピングや攻撃からビジネスを保護するために、IP ブラックリスト/ホワイトリストを設定して、CDN の POP (Point of Presence) で送信元 IP アドレスによってリクエストをフィルターします。ブラックリストは既知の悪意のある IP アドレスをブロックし、ホワイトリストは信頼できるトラフィックのみを許可します。これにより、オリジンサーバーが攻撃から保護されます。
ユースケース
構成 | ユースケース |
IP ホワイトリスト |
|
IP ブラックリスト |
|
課金
IP アドレスのブラックリスト/ホワイトリスト機能は無料です。ただし、ブロックされたリクエストには依然としてわずかな料金が発生します。ブロックはリクエストが CDN POP (レイヤー 7) で処理された後に発生するため、関連するトラフィックとリクエストは引き続き課金対象となります:
データ転送: ブロックされたリクエストは、1 つのリクエスト (HTTP ヘッダーを含む) と 1 つのレスポンス (403 ページ) のトラフィックを生成します。このトラフィックは、標準の CDN データ転送として課金されます。
HTTPS リクエスト: ドメインが HTTPS プロトコルを使用している場合、IP がブロックされる前に TLS ハンドシェイクが完了します。したがって、ブロックされた各 HTTPS リクエストは、引き続き 1 つの HTTPS リクエストとしてカウントされ、課金されます。
開始する前に
ドメイン名は、IP ブラックリストまたは IP ホワイトリストのルールを 1 つしか持つことができません。この 2 つは相互排他です。
IP ブラックリストを設定すると、ブロックされた IP からのリクエストは CDN POP で 403 ステータスコードで拒否されますが、CDN ログには引き続き記録されます。これは予期される動作であり、ブラックリストが正しく機能していることを確認するものです。
一部のインターネットサービスプロバイダー (ISP) は、特定のリージョンのエンドユーザーにプライベート IP アドレスを割り当てることがあります。その結果、POP はユーザーのプライベート IP アドレスを受信します。
説明プライベート IP アドレスは次のとおりです:
クラス A: 10.0.0.0 から 10.255.255.255。サブネットマスク: 10.0.0.0/8。
クラス B: 172.16.0.0 から 172.31.255.255。サブネットマスク: 172.16.0.0/12。
クラス C: 192.168.0.0 から 192.168.255.255。サブネットマスク: 192.168.0.0/16。
手順
Alibaba Cloud CDN コンソールにログインします。
ドメイン名 ページで、管理するドメイン名を見つけ、操作 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、リソースアクセス制御 をクリックします。
IP アドレスのブラックリスト/ホワイトリスト セクションで、変更 をクリックします。
以下の例を使用して、迅速に設定できます。また、パラメーターの説明を参照して設定を追加することもできます。
例 1: 管理コンソールを保護する (ホワイトリスト + ルールエンジン)
目標: オフィスの出口 IP アドレス
203.x.x.10および203.x.x.11のみが/admin/パスにアクセスできるようにします。構成:
タイプ: ホワイトリスト を選択します。
ルール:
203.x.x.10と203.x.x.11を入力します (改行で区切ります)。[高度な設定] - [IP ルール]: [POP への接続に使用される IP アドレスに基づいて判断する] を選択します。
[高度な設定] - ルール条件: ルールエンジン ページで、URI に
/admin/*(大文字と小文字を区別しない) が含まれるルールを設定します。次に、[ルール条件] セクションでこのルールを選択します。
結果: これら 2 つの IP アドレスからのリクエストのみが
/admin/ディレクトリにアクセスできます。このディレクトリへの他のすべてのリクエストは、403 ステータスコードで拒否されます。
例 2: パートナーの IPv6 CIDR ブロックからのアクセスを許可する (ホワイトリスト)
目標: パートナーの IPv6 CIDR ブロック
FC00:0AA3:0000:0000:0000:0000:0000:0000/48からのアクセスのみを許可します。構成:
タイプ: ホワイトリスト を選択します。
ルール:
FC00:0AA3:0000:0000:0000:0000:0000:0000/48を入力します。[高度な設定] - [IP ルール]: [POP への接続に使用される IP アドレスに基づいて判断する] を選択します。
結果: この IPv6 CIDR ブロックからのリクエストのみがドメイン名リソースにアクセスできます。
例 3: 攻撃元をブロックする (ブラックリスト)
目標:
198.x.x.0/24ネットワークセグメントから CC 攻撃が検出され、直ちにブロックする必要があります。構成:
タイプ: ブラックリスト を選択します。
ルール:
198.x.x.0/24を入力します。[高度な設定] - [IP ルール]: [POP への接続に使用される IP アドレスに基づいて判断する] を選択します。
結果:
198.x.x.0/24CIDR ブロックからのすべての IP リクエストは CDN POP によって拒否されます。
パラメーターの説明
パラメーター | 説明 |
タイプ | ブラックリストまたはホワイトリストを選択します。
|
ルール | ルール形式の要件
ルールの長さの制限 ルールリストは 30 KB に制限されています。IP アドレスまたは範囲の平均的な長さに応じて、約 700 の IPv6 アドレス/範囲または 2,000 の IPv4 アドレス/範囲を設定できます。この制限を超える IP をブロックするには、大規模な IP ブロックとリージョンブロックをサポートする Edge Security Acceleration (ESA) を有効にします。詳細については、「CDN または DCDN から ESA へのアップグレード」および「IP アクセスルールを設定する」をご参照ください。 |
IP ルール | 次の 3 つのルールのいずれかを選択します:
|
ルール条件 | ルール条件は、リクエスト内のパラメーターを識別して、設定がリクエストに適用されるかどうかを判断できます。
|
リファレンス: Alibaba Cloud CDN がクライアント IP アドレスを識別する方法
CDN POP は、2 つの方法でクライアント IP アドレスを識別できます。各方法には長所と短所があります:
実際の接続 IP アドレス (TCP 接続 IP)
定義: クライアントが CDN POP との TCP 接続を確立するために使用する IP アドレス。
利点: なりすましが不可能で、最高レベルのセキュリティを提供します。
欠点: ユーザーがプロキシ (企業のネットワークゲートウェイや NAT デバイスなど) を介してアクセスする場合、この IP アドレスはクライアントのものではなく、プロキシサーバーのものになります。
X-Forwarded-For(XFF) リクエストヘッダー定義: リクエストが通過する各プロキシサーバーの IP アドレスを記録するために使用される HTTP ヘッダーフィールド。CDN は通常、このヘッダーの左端の IP をクライアント IP として使用します。
利点: プロキシをバイパスしてクライアントの実際の IP アドレスを取得できます。
欠点: クライアントはこのヘッダーを簡単に偽造できるため、重大なセキュリティリスクをもたらします。悪意のあるユーザーは、XFF ヘッダーをなりすますことで IP ベースのアクセス制御をバイパスできます。
クライアントが CDN に直接アクセスする場合、これら 2 つの IP アドレスは同じです。ただし、クライアントがプロキシサーバーを介して CDN にアクセスする場合、IP アドレスは異なります。たとえば、クライアントの送信元 IP アドレスが 10.10.10.10 で、プロキシサーバーの IP アドレスが 192.168.0.1 の場合:
X-Forwarded-Forヘッダーの値は10.10.10.10, 192.168.0.1になる可能性があります。クライアントの送信元 IP アドレスは
10.10.10.10です。TCP 接続の IP アドレスは
192.168.0.1です。
セキュリティとビジネスの柔軟性のバランスをとるために、CDN はこれらの IP 識別方法に基づいて 3 つの検証モードを提供します。
IP アドレス検証モード | ユースケース | 仕組み | セキュリティ |
XFF ヘッダーに基づいて判断する (デフォルト) | クライアントは、XFF ヘッダーを正しく設定する信頼できるプロキシを介してアクセスします。 |
| 低。クライアントは |
POP への接続に使用される IP アドレスに基づいて判断する | クライアントはプロキシなしで CDN に直接接続するか、プロキシサーバーの IP に基づいてアクセスを制御します。 | クライアントと CDN POP 間の TCP 接続を確立するために使用される IP アドレスのみを照合します。 | 高。TCP 接続 IP はなりすましができないため、最も信頼性の高い保護を提供します。 |
XFF ヘッダーと POP への接続に使用される IP アドレスの両方に基づいて判断する | 一部のユーザーが直接接続し、他のユーザーがプロキシを使用する混合ネットワーク環境。 | ブラックリスト: | 中から高。このモードは、柔軟性とセキュリティのバランスを取り、ほとんどのシナリオで堅牢な選択肢となります。 |
よくある質問
関連 API 操作
IP アドレスのブラックリスト/ホワイトリスト設定の追加
<a baseurl="t5153_v3_16_0.xdita" data-node="3761881" data-root="15599" data-tag="xref" href="t2235627.xdita#" id="a4e97ad7a1ba5">BatchSetCdnDomainConfig</a> 操作を呼び出して、IP ブラックリスト/ホワイトリストを設定します。パラメーターの詳細については、「IP ホワイトリストの設定」と「IP ブラックリストの設定」をご参照ください。
IP アドレスのブラックリスト/ホワイトリスト設定の更新
<a baseurl="t5153_v3_16_0.xdita" data-node="3761881" data-root="15599" data-tag="xref" href="t2235627.xdita#" id="9664181965a40">BatchSetCdnDomainConfig</a> 操作を呼び出して、IP アドレスのブラックリスト/ホワイトリスト を更新します。関連するパラメーターの詳細については、「IP ホワイトリストの設定」および「IP ブラックリストの設定」をご参照ください。
この操作は、リクエストに含まれるパラメーターのみを更新します。たとえば、ip_list パラメーターを渡しても ip_acl_xfwd パラメーターを渡さない場合、ip_acl_xfwd は更新されません。
この操作は、IP リスト、IP ルール、およびルール条件の更新のみをサポートします。設定タイプは変更できません。たとえば、この操作を使用してブラックリストをホワイトリストに変更することはできません。
設定タイプを変更する (たとえば、IP ブラックリストから IP ホワイトリストへ) には、次の手順を実行する必要があります:
削除操作を呼び出して、既存の IP ブラックリスト設定を削除します。
追加操作を呼び出して、新しい IP ホワイトリスト設定を追加します。
IP アドレスのブラックリスト/ホワイトリスト設定の削除
ステップ 1: ConfigId のクエリ
DescribeDomainConfigs 操作を呼び出して、設定の ConfigId をクエリします。すでに ConfigId がわかっている場合は、このステップをスキップしてください。
ステップ 2: 設定の削除
<a baseurl="t5153_v3_16_0.xdita" data-node="3761881" data-root="15599" data-tag="xref" href="t2235627.xdita#" id="f3b563c73bqb3">BatchSetCdnDomainConfig</a> 操作を呼び出し、ConfigId を使用して構成を削除します。