CDN加速

IP黑白名单防盗链

更新时间:2021-03-05 15:39:31

功能介绍

客户端向服务端发起请求,边缘节点验证客户端的IP,根据客户的配置规则,控制只允许或者不允许某些IP访问对应的加速域名。针对不允许访问的IP/IP段,可以设置直接禁止。

操作步骤

  1. 登录控制台,选择域名所在的产品。

  2. 选择域名,单击操作列中的“两会”开幕在即,这份网络安全重保方案请收好

  3. 在自助配置界面选择:访问控制-IP黑白名单防盗链,单击添加。

  4. 配置访问控制策略。

    1)设置IP的黑名单
    “两会”开幕在即,这份网络安全重保方案请收好
    禁止的IP段内如果有部分IP允许访问,可填写到 “例外IP/IP段”。

    2)设置IP的白名单
    “两会”开幕在即,这份网络安全重保方案请收好

    参数说明:

    参数 描述 示例
    禁止IP/IP段 设置禁止IP/IP段,IP和IP段可以共存;多个以英文分号分隔。填写的值即为黑名单IP,其他均为白名单。支持IPv6地址,建议使用非缩写格式,例如:2001:DB8:0:23:8:800:200C:417A或2001:0DB8:0000:0023:0008:0800:200C:417A。 全部IP,或者自定义IP/IP段(比如1.1.1.1;1.1.0.0/24)
    例外IP/IP段 禁止的IP段内如果部分IP需允许访问,可填写到“例外IP/IP段”。多个分号分隔。支持IPv6地址,建议使用非缩写格式,例如:2001:DB8:0:23:8:800:200C:417A或2001:0DB8:0000:0023:0008:0800:200C:417A。 1.1.3.4
  5. 配置其他参数。
    “两会”开幕在即,这份网络安全重保方案请收好

    参数 描述
    优先级 配置了多条访问控制规则,系统按优先级大小先后执行,数字大的优先级高。
    控制动作 访问校验不通过的请求,选择禁止。禁止后访问校验不通过的请求,系统返回403。
  6. 配置完毕,单击确认,然后单击下一步

  7. 为了避免影响线上业务,建议先预部署测试效果,单击预部署

  8. 预部署成功后,可以获取到对应的测试节点,可以host节点进行测试。

  9. host测试后,确保配置无误,则单击直接部署,预计需要3-5分钟的部署时间。

配置示例

场景1:黑名单配置

如下图配置,表示IP为1.1.1.1和2.2.2.2的客户端,不允许访问该加速域名。
“两会”开幕在即,这份网络安全重保方案请收好
场景2:白名单配置

如下图配置表示,只允许3.3.3.3;4.4.4.4的客户端访问该加速域名。
“两会”开幕在即,这份网络安全重保方案请收好

注意事项

  1. 白名单只能配置一条规则,如果有多个IP需要设置为白名单,请写到一条规则中。

  2. 请勿同时自助配置黑白名单,否则容易造成业务异常。如需配置,请联系网宿技术支持进行评估。如下图配置,会导致所有访问被拒绝。原因如下:

    • IP为1.1.1.1的请求,匹配第一条黑名单规则,访问会被拒绝。
    • IP为非1.1.1.1的请求,匹配第一条未被拒绝,但匹配第二条白名单规则时被拒绝.因为第二条白名单规定只有IP为1.1.1.1的请求才允许访问。
      “两会”开幕在即,这份网络安全重保方案请收好