ゾーンロックダウン
ゾーンロックダウンは、ドメイン、サブドメイン、またはURLにアクセスを許可される唯一のIPアドレス、CIDR範囲、またはネットワークのリストを指定します。1つのゾーンロックダウンルールで、IPv4/IPv6アドレスを含む複数の宛先を設定できます。
ゾーンロックダウンルールで指定されていないすべてのIPアドレスは、指定されたリソースにアクセスできません。それらのIPアドレスからのリクエストは、Access Deniedの応答を受け取ります。
Cloudflareゾーンロックダウンは、有料プランで利用可能です。利用可能なゾーンロックダウンルールの数は、Cloudflareプランによって異なります。
| Free | Pro | Business | Enterprise | |
|---|---|---|---|---|
Availability | No | Yes | Yes | Yes |
Number of rules | 0 | 3 | 10 | 200 |
-
Cloudflareダッシュボード ↗にログインし、アカウントとドメインを選択します。
-
セキュリティ > WAFに移動し、ツールタブを選択します。
-
ゾーンロックダウンの下で、ロックダウンルールを作成を選択します。
-
名前にルールの説明的な名前を入力します。
-
URLに、未承認のIPから保護したいドメイン、サブドメイン、またはURLを入力します。ワイルドカード(
*)を使用できます。1行に1つの項目を入力します。 -
IP範囲に、許可されたIPv4/IPv6アドレスまたはCIDR範囲を1行に1つ入力します。これらのIPアドレスと範囲のみが、URLに入力したリソースにアクセスできます。
-
(オプション)既存のルールと重複するゾーンロックダウンルールを作成する場合は、詳細オプションを展開し、優先度にルールの優先度を入力します。数値が低いほど優先度が高くなります。優先度の高いルールが優先されます。
-
ロックダウンルールを保存して展開を選択します。
ゾーンロックダウンルールを作成操作に対してPOSTリクエストを発行します。
たとえば:
curl "https://api.cloudflare.com/client/v4/zones/{zone_id}/firewall/lockdowns" \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "description": "HQまたは支社からのものでない限り、ステージングとウィキへのすべてのトラフィックをブロック", "urls": [ "staging.example.com/*", "example.com/wiki/*" ], "configurations": [ { "target": "ip_range", "value": "192.0.2.0/24" }, { "target": "ip_range", "value": "2001:DB8::/64" }, { "target": "ip", "value": "203.0.133.1" } ]}'以下の例ルールは、会社の本社または支社から接続している訪問者のみがステージング環境とウィキにアクセスできるようにします:
-
名前:
HQまたは支社からのものでない限り、ステージングとウィキへのすべてのトラフィックをブロック -
URL:
staging.example.com/*example.com/wiki/* -
IP範囲:
192.0.2.0/242001:DB8::/64203.0.133.1
この例は、example.com/internal/wikiのような異なるディレクトリパスにある内部ウィキを保護しません。
未承認のIPからの訪問者は、ゾーンロックダウンルールに一致する場合、次のエラーを受け取ります:
