IPアクセスルール
IPアクセスルールを使用して、訪問者のIPアドレス、国、または自律システム番号(ASN)に基づいて、許可リスト、ブロック、またはチャレンジを行います。
IPアクセスルールは、疑わしい悪意のあるトラフィックをブロックまたはチャレンジするために一般的に使用されます。IPアクセスルールのもう一つの一般的な使用法は、API、クローラー、支払いプロバイダーなど、定期的にサイトにアクセスするサービスを許可することです。
Cloudflareは、IPベースまたは地理ベースのブロッキング(ジオブロッキング)を行うために、IPアクセスルールの代わりにWAFカスタムルールを作成することを推奨します:
- IPベースのブロッキングには、カスタムルール式でIPリストを使用します。
- ジオブロッキングには、カスタムルール式で_AS Num_、Country、および_Continent_などのフィールドを使用します。
IPアクセスルールはすべての顧客が利用できます。
各Cloudflareアカウントは最大50,000のルールを持つことができます。エンタープライズ顧客で、より多くのルールが必要な場合は、アカウントチームに連絡してください。
国によるブロックはエンタープライズプランでのみ利用可能です。他の顧客は、WAFカスタムルールを使用して国のブロッキングを行うことができます。
-
設計上、_Allow_トラフィックに設定されたIPアクセスルールは、セキュリティイベントに表示されません。
-
User-Agentフィールドに特定の攻撃パターンを含むリクエストは、一般的なファイアウォールパイプラインによって処理される前にチェックされます。したがって、そのようなリクエストは、許可リストのロジックが適用される前にブロックされます。この場合、APIからダウンロードされたセキュリティイベントは、rule_idをsecurity_levelとして、アクションをdropとして表示します。 -
Cloudflareは、サーバー上のIPをブロックするために
fail2banの使用をサポートしています。ただし、fail2banがCloudflareのIPを誤ってブロックし、一部の訪問者にエラーを引き起こさないように、オリジンサーバーログで元の訪問者IPを復元することを確認してください。詳細については、元の訪問者IPの復元を参照してください。
悪意のあるトラフィックや悪質な行為者からウェブサイトを保護するためにCloudflareが提供する保護オプションについて詳しくは、ウェブサイトを保護するを参照してください。