IP Restriction (with Deny - Test)
Tổng Quan
Chính sách Giới Hạn IP cho phép các quản trị viên kiểm soát quyền truy cập vào một API dựa trên địa chỉ IP của khách hàng thực hiện yêu cầu. Nó hỗ trợ cả danh sách Allow và Deny và chấp nhận IP ở định dạng cá nhân hoặc ký hiệu CIDR.
Chính sách này hữu ích khi bảo mật các API phía sau tường lửa, giới hạn sự tiếp xúc chỉ với các IP đáng tin cậy, hoặc chặn rõ ràng các IP độc hại đã biết.
Chi Tiết Cấu Hình
Giao diện cấu hình bao gồm hai công tắc chính - Allow và Deny - và các trường nhập tương ứng để chỉ định IP hoặc khối CIDR.
| Field | Description |
|---|---|
| Allow (Bật/Tắt) | Khi được bật, chỉ các địa chỉ IP hoặc dải CIDR được chỉ định ở đây sẽ được cấp quyền truy cập vào API. Nếu tắt, không có danh sách cho phép cấp độ IP nào được áp dụng. |
| Allow Giá Trị | Nhập một hoặc nhiều IP (ví dụ: 192.168.0.10) hoặc khối CIDR (ví dụ: 192.168.0.0/24). Mỗi mục phải được xác nhận bằng cách nhấn Enter. |
| Deny (Bật/Tắt) | Khi được bật, các địa chỉ IP hoặc dải CIDR được chỉ định ở đây sẽ bị từ chối quyền truy cập vào API. Nếu tắt, không có quy tắc từ chối nào được thực thi. |
| Deny Giá Trị | Nhập một hoặc nhiều IP hoặc khối CIDR cần bị chặn. Mỗi mục phải được xác nhận bằng cách nhấn Enter. |
Nếu cả Allow và Deny đều được bật:
- Hệ thống áp dụng các quy tắc Allow trước: chỉ các IP được liệt kê trong trường Allow được đánh giá.
- Sau đó, các quy tắc Deny ghi đè: nếu một IP khớp với cả hai, nó sẽ bị chặn.
Giới Hạn
- Địa chỉ IP phải tuân theo định dạng IPv4 hoặc là các dải CIDR hợp lệ.
- Các mục trùng lặp hoặc không hợp lệ sẽ dẫn đến lỗi xác thực.
- Cả danh sách Cho phép và Không cho phép có thể được sử dụng kết hợp, nhưng cần phải cẩn thận để tránh các cấu hình mâu thuẫn.
Ví dụ về đầu vào và kết quả hạn chế IP
Các ví dụ sau đây minh họa cách mà các quy tắc Cho phép và Không cho phép tương tác và kết quả của một yêu cầu từ một IP nhất định sẽ như thế nào:
| Allow | Deny | Request IP | Result | Explanation |
|---|---|---|---|---|
| - | 192.168.0.5 | 192.168.0.5 | Bị chặn | IP bị từ chối một cách rõ ràng. Không có quy tắc Cho phép nào được định nghĩa, vì vậy tất cả các IP đều được xem xét. |
| 192.168.0.0/24 | - | 192.168.0.10 | Được phép | IP khớp với phạm vi CIDR được cho phép. Không có quy tắc Không cho phép nào được định nghĩa. |
| 10.0.0.0/8 | 10.0.0.100 | 10.0.0.100 | Bị chặn | IP khớp với cả Cho phép và Không cho phép; Không cho phép có ưu tiên hơn. |
| 10.0.0.0/8 | 192.168.0.0/16 | 192.168.1.1 | Bị chặn | IP không nằm trong phạm vi được cho phép và cũng nằm trong CIDR bị từ chối. |
| - | - | 192.168.0.1 | Được phép | Không có hạn chế nào được định nghĩa. Tất cả các IP đều được phép theo mặc định. |
Luôn kiểm tra cấu hình Hạn chế IP của bạn trong thử nghiệm API trước khi triển khai API, đặc biệt là khi kích hoạt cả hai quy tắc Cho phép và Không cho phép cùng nhau.