通过配置IP黑白名单过滤用户请求,拦截或允许特定IP的访问,可以有效限制访问来源,解决恶意IP盗刷、攻击等问题。
注意事项
该功能默认关闭,IP黑名单与IP白名单二选一,不可同时配置。
最多可配置约700个IPv6地址或者2000个IPv4地址。
配置IP黑名单后,黑名单中的IP请求仍可访问到CDN节点,但会被CDN节点拒绝并返回403状态码,加速域名的日志中仍会记录黑名单中这些IP的请求记录。
由于IP黑白名单功能采用的是七层HTTP协议的IP识别技术,因此在恶意请求被CDN节点拦截的同时,会产生少量的流量费用,如果客户端使用HTTPS协议访问,还会产生HTTPS请求数费用(因为拦截恶意IP的时候,也同时消耗了CDN节点的处理资源)。
少数互联网服务提供商(ISP)在特定区域可能会分配私有IP地址给用户端,导致CDN节点接收到的是用户的私有IP地址。
说明私有IP地址范围有以下三个:
A类私有IP地址:10.0.0.0~10.255.255.255,子网掩码:10.0.0.0/8
B类私有IP地址:172.16.0.0~172.31.255.255,子网掩码:172.16.0.0/12
C类私有IP地址:192.168.0.0~192.168.255.255,子网掩码:192.168.0.0/16
操作步骤
登录视频点播控制台。
在左侧导航栏选择配置管理 > 分发加速配置 > 域名管理,进入到域名管理页面。
在域名管理页面,找到目标域名,单击操作列的配置。
在指定域名的左侧导航栏,单击访问控制。
在IP黑/白名单页签,单击修改配置。
根据界面提示,配置IP黑名单或IP白名单。
参数
说明
名单类型
选择黑名单或白名单。
黑名单:列表中的IP地址将被拒绝访问,返回403状态码。
白名单:仅允许列表中的IP地址访问,其他所有IP都将被拒绝。
规则
规则格式要求
支持输入IP地址或者IP地址段。
输入多个IP地址或者IP地址段时,使用换行符分隔。
支持IPv4类型的地址或者地址段:
IPv4地址示例:
192.168.0.1。IPv4地址段示例:
192.168.0.0/24。不支持输入通配网络地址
0.0.0.0/0,如果需要表示全量IPv4地址,可以用以下两个子网来表示:0.0.0.0/1128.0.0.0/1
支持IPv6类型的地址或者地址段:
IPv6地址示例:
FC00:AA3:0:23:3:300:300A:1234。IPv6地址段示例:FC00:0AA3:0000:0000:0000:0000:0000:0000/48。
地址中的英文字母不区分大小写,即支持全大写、全小写或者大小写混合,例如:
FC00:AA3:0:23:3:300:300A:1234或fc00:0aa3:0000:0023:0003:0300:300a:1234。不支持
: :缩写格式,例如:不支持FC00:0AA3::0023:0003:0300:300A:1234。不支持输入通配网络地址
0000:0000:0000:0000:0000:0000:0000:0000/0,如果需要表示全量IPv6地址,可以用以下两个子网来表示:0000:0000:0000:0000:0000:0000:0000:0000/18000:0000:0000:0000:0000:0000:0000:0000/1
规则长度限制
规则输入框最大支持输入30 KB长度的字符,考虑到IP地址或者IP地址段的字符串长度有长有短,如果按平均长度来算,最多可配置大约700个IPv6地址/地址段或者2000个IPv4地址/地址段。如果您有更多的IP地址封禁需求,请开通ESA安全防护功能(支持海量IP封禁和按区域封禁服务),具体操作方法,请参见CDN、DCDN和ESA的功能对照和IP访问规则配置。
IP规则
支持选择以下三种规则:
使用用户的x-forwarded-for请求头作为判断依据(默认规则)
当客户端均通过可信代理访问,且代理会正确设置
x-forwarded-for头时,推荐使用该规则。使用真实建连IP作为判断依据
当客户端直接连接CDN,无中间代理服务器;或希望基于代理服务器IP进行访问控制时,推荐使用该规则。
同时使用x-forwarded-for和真实建连IP作为判断依据
当客户端为混合网络环境,部分用户直连,部分用户通过代理访问时,推荐使用该规则。
规则条件
规则条件能够对用户请求中携带的各种参数信息进行识别,以此来决定某个配置是否对该请求生效。
不使用:不使用规则条件。
若需新增或编辑规则条件,请在规则引擎中进行管理。
单击确定,完成配置。
常见问题
相关API
批量配置域名:调用BatchSetVodDomainConfigs进行批量域名配置,通过设置ip_black_list_set和ip_allow_list_set分别指定IP黑名单和IP白名单。