IPアドレスブラックリストまたはホワイトリストは、ユーザーの要求をフィルタリングし、特定のIPアドレスからの要求をブロックまたは許可します。 IPリスト機能は、アクセスソースを制限し、存在点 (POP) をIP盗難や攻撃から保護することができます。
使用上の注意
デフォルトでは、IPリスト機能は無効になっています。 IPブラックリストとホワイトリストは相互に排他的です。 リストの1つのみを設定できます。
最大700個のIPv6アドレスと最大2,000個のIPv4アドレスをリストに追加できます。 さらにIPアドレスをブロックする場合は、Dynamic Content Delivery Network (DCDN) セキュリティ機能を有効にします。 セキュリティ機能は、多数のIPアドレスをブロックするように設計されています。 詳細については、「DCDNの有効化」をご参照ください。
IPアドレスがブラックリストに追加された場合、IPアドレスからのリクエストはPOPに到達できますが、POPによって拒否され、HTTP 403ステータスコードが返され、IPアドレスからのリクエストはAlibaba Cloud CDN のログに記録されます。
IPアドレスブラックリストとホワイトリストは、レイヤ7 HTTP IP認識技術に基づいてIPアドレスを識別します。 POPが悪意のあるリクエストをブロックしたときに生成されるネットワークトラフィックに対して課金されます。 クライアントがHTTPS経由でPOPにアクセスする場合、HTTPSリクエストに対しても課金されます。
IPアドレス検証モード
クライアントがPOPに接続するとき、クライアントIPアドレスと、POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシが使用されるかどうかに基づいて決定される。 たとえば、クライアントIPアドレスは10.10.10.10、プロキシIPアドレスは192.168.0.1です。
クライアントがPOPに接続するときにプロキシを使用しない場合、次のルールが適用されます。
ユーザーリクエストのX-Forwarded-For (XFF) ヘッダーの値は
10.10.10.10です。クライアントIPアドレス
10.10.10.10は、POPに接続するためにクライアントによって使用されるIPアドレスです。
クライアントがPOPに接続するときにプロキシを使用する場合、次のルールが適用されます。
ユーザーリクエストのXFFヘッダーの値は
10.10.10.10,192.168.0.1です。クライアントIPアドレス
10.10.10.10は、XFFヘッダ内の最初のIPアドレスである。POPに接続するためにクライアントによって使用されるIPアドレスは、プロキシのIPアドレスであり、これは
192.168.0.1である。クライアントIPアドレスは、クライアントがPOPに接続するために使用するIPアドレスではありません。
Alibaba Cloud CDN のIPリスト機能は、3つのIPアドレス検証モードをサポートしています。 次の表に、検証モードを示します。
IPアドレス検証モード | 説明 |
XFFヘッダーに基づいて決定する | デフォルトモードです。 このモードは、クライアントIPアドレスのみを検証します。 クライアントIPアドレスは、クライアント要求のXFFヘッダーの最初のIPアドレスです。 クライアントがPOPに接続するときにプロキシが使用される場合、クライアントはプロキシのIPアドレスを使用してPOPに接続します。 この場合、この検証モードでのアクセス制御は正確ではない可能性があります。 |
POPへの接続に使用されるIPアドレスに基づいて決定する | このモードは、クライアントがPOPに接続するために使用するIPアドレスのみを検証します。 |
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します | このモードは、次のIPアドレスを検証します。
|
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、リソースアクセス制御 をクリックします。
IP アドレスのブラックリスト/ホワイトリスト タブをクリックします。
IP アドレスのブラックリスト/ホワイトリスト セクションで、変更 をクリックします。
ビジネス要件に基づいて ブラックリスト または ホワイトリスト を選択します。
パラメーター
説明
リストタイプ
次のタイプのIPリストがサポートされています。
ブラックリスト
ブラックリストのIPアドレスからのリクエストはブロックされます。
ホワイトリスト
ホワイトリスト上のIPアドレスからのリクエストのみがPOP上のリソースにアクセスできます。
ルール
192.168.0.0/24などのCIDRブロック、または192.168.0.1などのIPアドレスを入力します。 重複するCIDRブロックが存在しないことを確認します。 IPv4およびIPv6アドレスがサポートされています。 複数のIPアドレスをキャリッジリターン文字で区切ります。IPv6: 約700個のIPv6アドレスをリストに追加できます。 ブラックリストとホワイトリストはIPv6アドレスをサポートしています。 IPv6アドレスの文字は大文字と小文字を区別しません。 例:
FC00:AA3:0:23:3:300:300A:1234、fc00:0aa3:0000:0023:0003:0300:300a:1234。 IPv6アドレスの表記を短くしないでください。 たとえば、FC00:0AA3::0023:0003:0300:300A:1234は無効です。 CIDRブロックがサポートされています。 例:FC00:0AA3: 0000:0000:0000:0000:0000:0000:0000 /48IPv4: 最大で約2,000個のIPv4アドレスをリストに追加できます。
IPアドレスを指定する文字列の合計の長さは、30 KBを超えることはできません。
説明0.0.0.0/0を使用してすべてのIPアドレスを指定することはできません。すべてのIPv4アドレスを指定するには、次のサブネットを使用します。
0.0.0.0/1128.0.0.0/1
すべてのIPv6アドレスを指定するには、次のサブネットを使用します。
0000:0000:0000:0000:0000:0000:0000:0000/18000:0000:0000:0000:0000:0000:0000:0000/1
IPルール
次のいずれかのルールを選択できます。
XFFヘッダーに基づいて決定する
POPへの接続に使用されるIPアドレスに基づいて決定する
XFFヘッダーとPOPへの接続に使用されるIPアドレスに基づいて決定します。
XFFヘッダーにIPアドレスが含まれていない場合は、POPへの接続に使用されるIPアドレスに基づいて決定します。
ルール条件
ルール条件は、構成が要求に適用されるかどうかを決定するために要求内のパラメータを識別できる。
条件を使用しない
ルールエンジンで設定されたルール条件を選択します。 詳細については、「ルールエンジン」をご参照ください。
OK をクリックします。
サンプル設定
ホワイトリスト
ルール:
192.168.2.0/24期待される結果:
192.168.2.1〜192.168.2.254の範囲のIPアドレスのみが、指定されたドメイン名のリソースにアクセスできます。ブラックリスト
ルール:
192.168.0.1期待される結果: IPアドレス
192.168.0.1は、指定されたドメイン名のリソースにアクセスできません。
FAQ
関連する API 操作
BatchSetCdnDomainConfig: 複数のドメイン名のIPアドレスブラックリストまたはホワイトリストを同時に構成します。 ip_black_list_setパラメーターはIPアドレスブラックリストを指定し、ip_allow_list_setパラメーターはIPホワイトリストを指定します。