Blockliste & Allowlist
Jede Zone hat eine eigene Blockliste und Allowlist - einfache, zonenbezogene Listen von IP-Adressen und CIDR-Bereichen, mit denen sich bestimmte Quellen blockieren, per Challenge prüfen oder dauerhaft zulassen lassen. Sie sind der direkteste Weg, um die Behandlung einzelner IPs für eine Zone zu steuern.


Überblick
Die beiden Listen sind Gegensätze und arbeiten beide pro Zone:
| Liste | Beschreibung | Wirkung auf übereinstimmenden Traffic |
|---|---|---|
| Blockliste | IP-Adressen und CIDR-Bereiche, die für diese Zone blockiert sind | Gelistete IPs werden blockiert oder per Challenge geprüft |
| Allowlist | IP-Adressen und CIDR-Bereiche, die für diese Zone erlaubt sind | Gelistete IPs umgehen Sicherheitsprüfungen |
Beide Listen akzeptieren einzelne IP-Adressen und CIDR-Bereiche, sodass sich ein einzelner Client oder ein ganzer Netzblock adressieren lässt.
Blockliste
Die Blockliste enthält IP-Adressen und CIDR-Bereiche, die für diese Zone blockiert sind. Traffic von einer gelisteten Quelle wird blockiert oder per Challenge geprüft, bevor er den Origin erreicht.
Einträge lassen sich auf zwei Wegen hinzufügen:
- Direkt auf dieser Seite - eine IP oder einen CIDR-Bereich zur Liste hinzufügen.
- Aus einer Suche heraus - auf der Seite Threat Lookup erstellt oder aktualisiert Block erzwingen oder Challenge einen Blocklisteneintrag für die untersuchte IP.
Damit ist die Blockliste der Ort, an dem manuelle Blockierungen und aus einer Untersuchung eskalierte Blockierungen gemeinsam geprüft werden.


Allowlist
Die Allowlist enthält IP-Adressen und CIDR-Bereiche, die für diese Zone erlaubt sind. Traffic von einer gelisteten Quelle umgeht Sicherheitsprüfungen - er wird für diese Zone nicht von der WAF, den verwalteten Szenarien oder reputationsbasierten Entscheidungen ausgewertet.
Allowlist-Traffic umgeht die Szenario-Engine vollständig. Allow-Treffer werden intern als s-allowlist markiert und von den verwalteten Szenarien weder erfasst noch bewertet - eine gelistete IP baut keinen Bedrohungs-Score auf und kann von einem Szenario weder blockiert noch per Challenge geprüft werden. Damit ist die Allowlist das richtige Werkzeug für Monitoring-Dienste, Health-Checks und interne Crawler, deren Anfragemuster sonst verdächtig wirken würden.
Zwei präzise Hinweise zum Umfang: Access Rules und Basic Auth gelten auch für Allowlist-Traffic, und da die Zonenlisten Customer-first ausgewertet werden, überschreibt ein Zonen-Allowlist-Eintrag für diese Zone sogar die globale Blockliste von smoxy (siehe Lebenszyklus einer Anfrage).
Zum Zulassen eine IP oder einen CIDR-Bereich direkt auf der Seite hinzufügen.


INFO
Hinweis: Das Setzen einer IP auf die Allowlist umgeht die Sicherheitsprüfungen für diese Adresse und entfernt damit eine Schutzebene für jeglichen von ihr ausgehenden Traffic. Die Allowlist nur für vollständig vertrauenswürdige Quellen verwenden - etwa das eigene Büronetzwerk, Monitoring-Dienste oder den bekannten IP-Bereich eines Partners.
IPs und CIDR-Bereiche
Beide Listen akzeptieren:
- Einzelne IP-Adressen - um einen einzelnen Client zu adressieren.
- CIDR-Bereiche - um einen ganzen Netzblock in einem Eintrag zu adressieren.
Ein CIDR-Bereich eignet sich, wenn ein zusammenhängender Satz von Adressen (etwa das Subnetz eines Providers) abgedeckt werden soll, ohne jede IP einzeln aufzuführen.
Zonenlisten vs. Access Rules
Die Blockliste und die Allowlist sind bewusst einfach gehalten: Sie gleichen allein anhand der IP-Adresse ab. Wenn Traffic anhand reichhaltigerer Bedingungen erlaubt, blockiert oder per Challenge geprüft werden soll - etwa Land, URL-Pfad, User Agent oder Kombinationen daraus - stattdessen Access Rules verwenden.
| Geeignet | Wenn … |
|---|---|
| Blockliste / Allowlist | Bestimmte IPs oder CIDR-Bereiche ohne weitere Bedingungen blockiert oder dauerhaft erlaubt werden sollen |
| Access Rules | Anhand von Land, Pfad, User Agent oder anderen Anfrageeigenschaften abgeglichen werden soll |
Zonenlisten vs. globale Listen
Die Listen auf dieser Seite sind die zoneneigenen Listen - sie werden selbst verwaltet und gelten nur für diese Zone.
Darüber hinaus pflegt smoxy auch eine globale Blockliste und eine globale Allowlist sowie globale Reputationsdaten - eigenständige Mechanismen, die zonenübergreifend gelten, um weithin bekannte bösartige Akteure abzufangen. Diese werden nicht selbst verwaltet; sie arbeiten automatisch parallel zu den zonenbezogenen Listen. Wird eine IP global behandelt, zeigt die Seite Threat Lookup die Quelle der Entscheidung, sodass sich eine globale Entscheidung von einer eigenen unterscheiden lässt.
Wichtige Hinweise
- Zonenbezogener Geltungsbereich: Die Blockliste und die Allowlist gelten nur für die gerade bearbeitete Zone. Andere Zonen haben ihre eigenen, unabhängigen Listen.
- Allowlist umgeht Sicherheit: Auf die Allowlist gesetzte IPs überspringen Sicherheitsprüfungen vollständig. Nur vollständig vertrauenswürdige Quellen aufnehmen.
- Abgleich nur per IP: Diese Listen gleichen ausschließlich anhand von IP-Adresse und CIDR-Bereich ab. Für bedingungsbasierte Steuerung Access Rules verwenden.
- Zwei Wege zum Blockieren: Blocklisteneinträge lassen sich hier direkt hinzufügen oder über Threat Lookup per „Block erzwingen“ / Challenge erstellen. Beide landen auf derselben Liste.
- Globale Listen werden von smoxy verwaltet: Die globale Blockliste, die globale Allowlist und die Reputationsdaten von smoxy arbeiten zonenübergreifend und sind hier nicht bearbeitbar. Selbst verwaltet werden nur die Listen der eigenen Zone.
