为 iCloud 专用代理准备网络或网页服务器
iCloud 专用转接代理是一项新的互联网隐私服务,作为 iCloud+ 订阅的一部分提供,可帮助运行 iOS 15、iPadOS 15 和 macOS Monterey 的用户以更私密、更安全的方式连接和浏览网页。专用转接代理可保护用户在 Safari 浏览器中的网页浏览、DNS 解析查询和不安全的 http App 流量。通过专用转接代理建立的互联网连接使用匿名 IP 地址,这些 IP 地址能对应用户所在的地区,但不会泄露用户的确切位置或身份信息。了解如何为网络上的专用转接代理用户提供最佳体验。
概览
iCloud 专用代理服务采用创新的多跳架构,通过由不同实体操作的两个独立互联网中继发送用户的请求。这样一来,任何一方 (包括 Apple) 都无法查看或收集用户浏览活动的详细信息。专用代理会验证连接的客户端是不是 iPhone、iPad 或 Mac,帮助你确认相应连接来自于 Apple 设备。专用代理会将用户的原始 IP 地址替换为从服务所使用的 IP 地址范围中分配的地址。分配的中继 IP 地址可以在同一区域的多个专用代理用户之间共享。默认情况下,提供给网络和网页服务器的中继 IP 地址还能准确地表示客户端的粗略城市级位置,让你的网络在尝试根据 IP 地址强制执行基于地理位置的限制时可以接收相关位置信息。
网络运营商
针对专用转接代理连接进行优化
iCloud 专用代理使用 QUIC,这是一种基于 UDP 的全新标准传输协议。专用代理中的 QUIC 连接需要使用端口 443 和 TLS 1.3 建立,因此请确保你的网络和服务器已准备好处理此类连接。
允许进行网络流量审核
某些企业或学校网络可能需要根据策略审核所有网络流量,在这些情况下,你的网络可能会阻止对专用转接代理的访问。系统会提醒用户在使用你的网络时禁用专用转接代理或选择其他网络。
要以最快、最可靠的方式提醒用户,可以从网络的 DNS 解析程序返回“no error no answer”(无错误无回答) 响应或 NXDOMAIN 响应,从而阻止对专用转接代理流量使用的以下主机名进行 DNS 解析。应避免造成 DNS 解析超时或静默丢弃发送到专用转接代理服务器的 IP 数据包,因为这可能会导致客户端设备出现延迟。
mask.icloud.com
mask-h2.icloud.com网页服务器
访问 IP 地理位置源
如果你运行网页服务器,则可以根据客户端的地区来本地化内容或限制访问。请联系你所在地理位置的 IP 数据库提供商,将你的源更新为最新的地理位置映射。许多地理位置的 IP 数据库提供商还将这些地址标注为“iCloud 专用代理”,以便你在服务器上轻松识别。
专用代理保留用户所在的地区,因此你的服务器可以信任所看到的分配给 IP 地址的地区。默认情况下,连接还会关联离客户端最近的城市,确保你的内容始终与用户相关。你还可以访问我们最新的一组 IP 地址和位置。
信任专用代理连接
所有使用专用代理的连接都会验证客户端是不是 iPhone、iPad 或 Mac,以及用户是否拥有有效的 iCloud+ 订阅。专用代理实施了多种反滥用和反欺诈技术,如一次性身份验证令牌和速率限制。这是为了确保只有有效的 Apple 设备和信誉良好的账户才能使用专用代理。此外,中继 IP 地址将在设备的浏览会话期间保持稳定,以确保当用户与你的网站交互时,你将看到一致的地址。
仅仅依靠 IP 地址的传统欺诈检测可能需要更新,以确保合法用户不受影响。不妨像对待大型运营商级 NAT 或企业 IP 地址一样对待这些地址,以便更好地处理这类流量,因为许多专用代理用户可能被分配到单个中继 IP 地址。