IP黑名單和白名單是雲原生網關提供的安全防護能力之一。您可以通過配置黑、白名單來拒絕或允許特定IP的訪問請求。雲原生網關支援在網關全域、網域名稱和路由層級配置IP黑名單和白名單,滿足精細化的存取控制訴求。本文介紹如何為雲原生網關設定黑名單和白名單。
設定IP黑/白名單
登入MSE網關管理主控台。
在左側導覽列,選擇云原生网关 > 网关列表,並在頂部功能表列選擇地區。
在网关列表頁面,單擊目標網關名稱。
在左側導覽列,選擇安全管理 > 黑/白名单。
在頁面左上方,單擊创建,在创建頁面,配置相關參數,然後單擊保存。
配置項
說明
名称
自訂IP存取控制的名稱。
备注
對IP存取控制做備忘。
类型
按需選擇IP存取控制的類型。
白名单(允许特定IP访问):在網關情境只開放受信任來源IP訪問。
黑名单(禁止特定IP访问):在網關情境針對不友好訪問執行來源IP封鎖。
生效粒度
IP存取控制的範圍。
网关全局:作用於網關執行個體。
域名:作用於指定網域名稱。
路由:作用於指定路由。
說明範圍的優先順序從高到低依次為路由 > 域名 > 网关全局。
IP地址/地址段
輸入IP存取控制的來源IP地址或位址區段。
配置樣本
步驟一:建立一條Mock路由
登入MSE網關管理主控台。
在左側導覽列,選擇云原生网关 > 网关列表,並在頂部功能表列選擇地區。
在网关列表頁面,單擊目標網關名稱。
在左側導覽列,單擊路由管理,然後選擇路由頁簽。
單擊创建路由,配置相關參數,然後單擊儲存並發布。具體操作,請參見建立路由。
步驟二:測試Mock路由
執行以下命令,訪問Mock路由。
curl 47.100.xx.xx/mock測試結果如下,HTTP狀態代碼成功響應。
{
"code": 200,
"data": {
"message": "ok"
},
"HttpStatusCode": 200,
"successResponse": 200
}步驟三:設定IP地址黑名單
擷取本機IP地址。
登入MSE網關管理主控台。添加本機IP地址,並開啟狀態,即可允許或限制本機訪問MSE雲原生網關。本文以設定IP地址黑名單為例。
具體操作,請參見本文的設定IP黑/白名單。
執行以下命令測試。
curl -v 47.100.xx.xx/mock響應結果如下。
* Trying 47.100.xx.xx... * TCP_NODELAY set * Connected to 47.100.xx.128 (47.100.xx.xx) port 80 (#0) > GET /mock HTTP/1.1 > Host: 47.100.xx.xx > User-Agent: curl/7.64.1 > Accept: */* > < HTTP/1.1 403 Forbidden < content-length: 19 < content-type: text/plain < date: Thu, 25 Aug 2022 09:43:43 GMT < server: istio-envoy < * Connection #0 to host 47.100.xx.xx left intact RBAC: access denied* Closing connection 0