Flex Gateway新着情報
Governance新着情報
Monitoring API Managerポリシー名 |
IP ブロックリスト |
概要 |
単一の IP アドレスまたは IP アドレスの範囲からの API エンドポイントへのアクセスをブロックする |
カテゴリ |
セキュリティ |
使用可能な最小 Mule バージョン |
v4.1.0 |
返される状況コード |
403 - IP は拒否されました |
IP ブロックリストポリシーは、単一の IP アドレスまたは IP アドレスの範囲からの設定済み API エンドポイントへのアクセスを制御します。
IP ブロックリストポリシーは、ソース IP (ポリシーの設定時に指定します) が個別 IP のリストまたは IP 範囲と一致した場合に、保護対象のリソースへのアクセスを禁止します。
ビジネスのニーズに応じて、Mule 4 では DataWeave 2.0 式、Mule 3 では MEL 式を指定できます。IP がポリシーで定義されている制約 IP リストに含まれているかどうかを確認するときに使用するソース IP を式で定義します。
UI から IP ブロックリスト登録済みリストポリシーを API に適用する場合は、以下のパラメーターを設定します。
パラメーター | 説明 |
---|---|
IP 式 |
この API 要求から IP アドレスを抽出するために使用する DataWeave 2.0 または MEL 式。 |
ブロックリスト |
API からブロックする IP アドレスのリスト。IP または IP 範囲は一度に 1 つずつ、必要なだけ何度も定義できます。詳細は、「ポリシーでブロックリスト登録する IP アドレスの指定」を参照してください。 |
Method & Resource conditions (メソッドとリソースの条件) |
API の一部またはすべてのメソッドおよびリソースに設定を追加するオプション。 |
次の情報に基づいてポリシーでブロックする IP アドレスを指定します。
要求の IP アドレス。
特定の DataWeave 式または MEL 式を解決することで決定される発生元 IP アドレス ( x-Forwarded-For ヘッダーなど)。
その他のすべての発生元。
次のいずれかの方法で、要求の IP アドレスに基づいてブロックリストにアクセスします。
特定の IP アドレスを定義するには、そのアドレスのみを指定します (例: 192.168.1.1
)。
アドレスのサブセットを定義するには、サブセットマスクを指定します。たとえば、192.168.3.1/30
など (これには、統合範囲 192.168.3.0
~ 192.168.3.3
が含まれます)。
IP アドレスの範囲全体を定義するには、許可する IP アドレスの関連オクテットを指定します。たとえば、「192.168
>」と設定すると、192.168.0.0
~ 192.168.255.255
の IP アドレスが含まれます。
クライアントが HTTP プロキシまたはロードバランサーを介して API に接続している場合、要求に含まれるアドレスではなく、クライアントの特定の IP アドレス (要求の発生元 IP アドレス) をブロックリスト登録できます。
たとえば、192.168.2.3
をブロックリスト登録して、HTTP プロキシを介して接続しているクライアントのアドレスが 92.40.1.255
である場合、クライアントの要求は、プロキシを使用した公開アドレスで表示されます。
通常、アプリケーションは X-Forwarded-For
ヘッダーを使用して、エンドポイントにリダイレクトされた要求の発生元 IP アドレスを識別します。
ポリシーで DataWeave 2.0 または MEL 式を使用して (Mule 3 のみ)、サービスに x-Forwarded-For
ヘッダー内の IP アドレスを探すように指示できます。
ポリシーパラメーターの [IP expression (IP 式)] 項目で IP アドレスを指定すると、Anypoint Platform は要求の x-Forwarded-For
ヘッダーの連結値に含まれる最初の IP アドレスを参照するように指示されます。