IP黑名单和白名单是云原生网关提供的安全防护能力之一。您可以通过配置黑、白名单来拒绝或允许特定IP的访问请求。云原生网关支持在网关全局、域名和路由级别配置IP黑名单和白名单,满足精细化的访问控制诉求。本文介绍如何为云原生网关设置黑名单和白名单。
设置IP黑/白名单
登录MSE网关管理控制台。
在左侧导航栏,选择云原生网关 > 网关列表,并在顶部菜单栏选择地域。
在网关列表页面,单击目标网关名称。
在左侧导航栏,选择安全管理 > 黑/白名单。
在页面左上角,单击创建,在创建页面,配置相关参数,然后单击保存。
配置项
说明
名称
自定义IP访问控制的名称。
备注
对IP访问控制做备注。
类型
按需选择IP访问控制的类型。
白名单(允许特定IP访问):在网关场景只开放受信任来源IP访问。
黑名单(禁止特定IP访问):在网关场景针对不友好访问执行来源IP封禁。
生效粒度
IP访问控制的作用域。
网关全局:作用于网关实例。
域名:作用于指定域名。
路由:作用于指定路由。
说明作用域的优先级从高到低依次为路由 > 域名 > 网关全局。
IP地址/地址段
输入IP访问控制的来源IP地址或地址段。
配置示例
步骤一:创建一条Mock路由
登录MSE网关管理控制台。
在左侧导航栏,选择云原生网关 > 网关列表,并在顶部菜单栏选择地域。
在网关列表页面,单击目标网关名称。
在左侧导航栏,单击路由管理,然后选择路由页签。
单击创建路由,配置相关参数,然后单击保存并上线。具体操作,请参见创建路由。
步骤二:测试Mock路由
执行以下命令,访问Mock路由。
curl 47.100.xx.xx/mock
测试结果如下,HTTP状态码成功响应。
{
"code": 200,
"data": {
"message": "ok"
},
"HttpStatusCode": 200,
"successResponse": 200
}
步骤三:设置IP地址黑名单
获取本机IP地址。
登录MSE网关管理控制台。添加本机IP地址,并开启状态,即可允许或限制本机访问MSE云原生网关。本文以设置IP地址黑名单为例。
具体操作,请参见本文的设置IP黑/白名单。
执行以下命令测试。
curl -v 47.100.xx.xx/mock
响应结果如下。
* Trying 47.100.xx.xx... * TCP_NODELAY set * Connected to 47.100.xx.128 (47.100.xx.xx) port 80 (#0) > GET /mock HTTP/1.1 > Host: 47.100.xx.xx > User-Agent: curl/7.64.1 > Accept: */* > < HTTP/1.1 403 Forbidden < content-length: 19 < content-type: text/plain < date: Thu, 25 Aug 2022 09:43:43 GMT < server: istio-envoy < * Connection #0 to host 47.100.xx.xx left intact RBAC: access denied* Closing connection 0
文档内容是否对您有帮助?