功能介绍

客户端向服务端发起请求，边缘节点验证客户端的IP，根据客户的配置规则，控制只允许或者不允许某些IP访问对应的加速域名。针对不允许访问的IP/IP段，可以设置直接禁止。

操作步骤

1. 登录控制台，选择域名所在的产品。

2. 选择域名，单击操作列中的。

3. 在自助配置界面选择：访问控制-IP黑白名单防盗链，单击添加。

4. 配置访问控制策略。

   1）设置IP的黑名单
   
   禁止的IP段内如果有部分IP允许访问，可填写到 “例外IP/IP段”。

   2）设置IP的白名单
   

   参数说明：

   参数	描述	示例
   禁止IP/IP段	设置禁止IP/IP段，IP和IP段可以共存；多个以英文分号分隔。填写的值即为黑名单IP，其他均为白名单。支持IPv6地址，建议使用非缩写格式，例如：2001:DB8:0:23:8:800:200C:417A或2001:0DB8:0000:0023:0008:0800:200C:417A。	全部IP，或者自定义IP/IP段（比如1.1.1.1;1.1.0.0/24）
   例外IP/IP段	禁止的IP段内如果部分IP需允许访问，可填写到“例外IP/IP段”。多个分号分隔。支持IPv6地址，建议使用非缩写格式，例如：2001:DB8:0:23:8:800:200C:417A或2001:0DB8:0000:0023:0008:0800:200C:417A。	1.1.3.4

5. 配置其他参数。
   

   参数	描述
   优先级	配置了多条访问控制规则，系统按优先级大小先后执行，数字大的优先级高。
   控制动作	访问校验不通过的请求，选择禁止。禁止后访问校验不通过的请求，系统返回403。

6. 配置完毕，单击确认，然后单击下一步。

7. 为了避免影响线上业务，建议先预部署测试效果，单击预部署。

8. 预部署成功后，可以获取到对应的测试节点，可以host节点进行测试。

9. host测试后，确保配置无误，则单击直接部署，预计需要3-5分钟的部署时间。

配置示例

场景1：黑名单配置

如下图配置，表示IP为1.1.1.1和2.2.2.2的客户端，不允许访问该加速域名。

场景2：白名单配置

如下图配置表示，只允许3.3.3.3;4.4.4.4的客户端访问该加速域名。

注意事项

1. 白名单只能配置一条规则，如果有多个IP需要设置为白名单，请写到一条规则中。

2. 请勿同时自助配置黑白名单，否则容易造成业务异常。如需配置，请联系网宿技术支持进行评估。如下图配置，会导致所有访问被拒绝。原因如下：

   • IP为1.1.1.1的请求，匹配第一条黑名单规则，访问会被拒绝。
   • IP为非1.1.1.1的请求，匹配第一条未被拒绝，但匹配第二条白名单规则时被拒绝.因为第二条白名单规定只有IP为1.1.1.1的请求才允许访问。