为 iCloud 专用代理准备网络或网页服务器
iCloud 专用代理是一项互联网隐私服务,作为 iCloud+ 订阅的一部分提供,可帮助运行 iOS 15、iPadOS 15 和 macOS Monterey 的用户以更私密、更安全的方式连接和浏览网页。专用代理可保护用户在 Safari 浏览器中的网页浏览、DNS 解析查询和不安全的 http App 流量。通过专用代理建立的互联网连接使用匿名 IP 地址,这些 IP 地址能对应用户所在的地区,但不会泄露用户的确切位置或身份信息。了解如何为网络或网站上的专用代理用户提供最佳体验。
概览
iCloud 专用代理服务采用创新的多跳架构,通过由不同实体操作的两个独立互联网中继发送用户的请求。这样一来,任何一方 (包括 Apple) 都无法查看或收集用户浏览活动的详细信息。专用代理会验证连接的客户端是不是 iPhone、iPad 或 Mac,帮助你确认相应连接来自于 Apple 设备。专用代理会将用户的原始 IP 地址替换为从服务所使用的 IP 地址范围中分配的地址。分配的中继 IP 地址可以在同一区域的多个专用代理用户之间共享。默认情况下,提供给网络和网页服务器的中继 IP 地址还能准确地表示客户端的粗略城市级位置,让你的网络在尝试根据 IP 地址强制执行基于地理位置的限制时可以接收相关位置信息。
网络运营商
针对专用代理连接进行优化
iCloud 专用代理使用 QUIC,这是一种基于 UDP 的全新标准传输协议。专用代理中的 QUIC 连接需要使用端口 443 和 TLS 1.3 建立,因此请确保你的网络和服务器已准备好处理此类连接。
允许进行网络流量审核
某些企业或学校网络可能需要根据策略审核所有网络流量,在这些情况下,你的网络可能会阻止对专用代理的访问。系统会提醒用户在使用你的网络时禁用专用代理或选择其他网络。
要以最快、最可靠的方式提醒用户,可以从网络的 DNS 解析程序返回“no error no answer”(无错误无回答) 响应或 NXDOMAIN 响应,从而阻止对专用代理流量使用的以下主机名进行 DNS 解析。应避免造成 DNS 解析超时或静默丢弃发送到专用代理服务器的 IP 数据包,因为这可能会导致客户端设备出现延迟。
mask.icloud.com
mask-h2.icloud.com
网页服务器
访问 IP 地理位置源
如果你运行网页服务器,则可以根据客户端的地区来本地化内容或限制访问。请联系你所在地理位置的 IP 数据库提供商,将你的源更新为最新的地理位置映射,或者你也可以直接访问我们最新的一组 IP 地址和位置。
专用代理保留用户所在的地区,因此你的服务器可以信任所看到的分配给 IP 地址的地区。默认情况下,连接还会关联离客户端最近的城市,确保你的内容始终与用户相关。
信任专用代理连接
所有使用专用代理的连接都会验证客户端是不是 iPhone、iPad 或 Mac,以及用户是否拥有有效的 iCloud+ 订阅。专用代理实施了多种反滥用和反欺诈技术,如一次性身份验证令牌和速率限制。这是为了确保只有有效的 Apple 设备和信誉良好的账户才能使用专用代理。此外,当用户与你的网站交互时,中继 IP 地址将在浏览会话期间保持稳定。
依靠 IP 地址的传统欺诈检测可能需要调整,以确保合法用户不受影响。你的服务器可以通过使用上面的专用代理 IP 地址列表或检查你所在地理位置的 IP 数据库提供商对它的分类,识别出来自专用代理的流量。大多数提供商都会将 IP 地址的 Organization
字段标注为“iCloud Private Relay”,以便你在服务器上加以识别。其他相关字段可能包括:“is_relay”、“is_hosting”、“privacy_service”或“privacy_proxy”。了解这些字段并根据需要调整服务器的逻辑,是支持专用代理用户的第一步。不妨像对待大型运营商级 NAT 或企业 IP 地址一样对待这些地址,以便更好地处理这类流量,因为许多专用代理用户可能被分配到单个中继 IP 地址。
系统中通常使用 IP 地址来防止流量导致服务器过载。常见的缓解措施包括使用验证码或完全阻止流量。每台运行 iOS 16、iPadOS 16、macOS Monterey 及更高版本操作系统的 Apple 设备都支持私有访问令牌,这提供了一种替代方案,能在保护你的服务器的同时为合法用户提供顺畅的体验。私有访问令牌基于 Privacy Pass 标准构建,可帮助服务器识别来自合法设备和用户的 HTTP 请求,而不会泄露他们的身份或个人信息。这可帮助网站改善用户体验、尊重用户隐私,同时有助于保护其服务器免遭滥用。