概述

IP 白名单是 AI 原生网关提供的安全防护能力之一。开启 IP 白名单后，只有来源 IP 在白名单内的请求才能访问网关，其他来源请求会被网关直接拒绝，从而避免敏感资源被未授权地址访问。

当前能力范围：

• 当前阶段仅支持白名单（允许特定 IP 访问），暂不支持黑名单（封禁特定 IP）。
• 当前阶段仅支持网关全局生效粒度（白名单对该实例下的所有模型推理服务、MCP 服务统一生效），暂不支持按服务、域名或路由维度配置。
• 当前阶段白名单仅对内网链路生效——通过 VPC 内网入口访问时执行白名单校验；通过公网入口访问的流量不受白名单约束、默认放行。如需对公网入口也启用 IP 白名单，请提交工单由后台协助配置。

适用场景

下列场景下推荐启用 IP 白名单：

• VPC 内多业务系统共享网关：网关供企业内多个业务系统通过同 VPC 调用，可将这些业务系统的内网网段加入白名单，仅允许它们访问网关。
• 固定内网调用方限定：调用方为少数固定的内网机器（如批处理任务节点、内部服务节点等），把这些机器的内网 IP 加入白名单，缩小攻击面。
• 配合消费者认证做双重防护：在消费者认证之前再加一道 IP 层过滤，未通过 IP 白名单的内网请求连消费者凭证都没机会被验证，进一步降低暴力破解、扫描类攻击的影响。

使用限制

• 每个网关实例仅支持创建 1 条白名单规则。
• 白名单一经启用即对网关全局生效，会影响该实例下的所有模型推理服务和 MCP 服务。
• 仅对内网链路生效——通过 VPC 内网入口访问的流量受白名单校验，通过公网入口访问的流量默认放行。如需对公网入口也启用白名单，请提交工单联系后台支持。
• 删除白名单规则后立即恢复"无白名单"状态 —— 所有 IP 都可访问内网入口，请确认后再操作。

操作步骤

创建白名单规则

1. 登录百度智能云 AI 原生网关控制台。
2. 在顶部导航栏选择目标地域，并在实例列表中单击目标实例 ID，进入实例详情页。
3. 在左侧导航栏单击 访问控制，进入 IP 白名单管理页。

4. 单击列表上方的 创建白名单规则，打开「创建白名单规则」对话框。

5. 配置以下参数：

   配置项	说明
   生效粒度	固定为 网关全局，不可调整。白名单将对该实例下所有模型推理服务、MCP 服务的请求统一生效。
   IP 地址 / 地址段	输入允许访问网关的来源 IP，必填。 支持 IPv4 单 IP（如 10.0.0.1）和 IPv4 CIDR 网段（如 192.168.1.0/24）。 支持输入多条，每行一个，按回车换行。 所有 IP / CIDR 必须格式合法，否则保存时会提示「IP 地址 / IP 地址段不合法」。

6. 单击 确定，规则创建后立即生效。

编辑白名单规则

如需调整白名单的 IP 列表，可在规则创建后随时编辑。

1. 在 IP 白名单列表中找到目标规则，单击操作列的 编辑。
2. 在「编辑白名单规则」对话框中修改 IP 地址 / 地址段。生效粒度（网关全局）不可调整。
3. 单击 确定，修改即时生效。

删除白名单规则

如需关闭白名单功能，将规则删除即可。

1. 在 IP 白名单列表中找到目标规则，单击操作列的 删除。
2. 在弹出的确认框中查看提示，二次确认后单击 确定，完成删除。

行为说明

启用白名单后，网关按以下逻辑处理每个请求：

1. 判断请求是否来自内网入口：

   • 来自 VPC 内网入口（如网关内网默认域名、内网 IP）→ 进入步骤 2 进行白名单校验。
   • 来自 公网入口（如公网默认域名、公网 IP）→ 白名单不生效，请求直接进入路由匹配等后续阶段。如需对公网入口也启用白名单，请提交工单。

2. 对内网入口的请求做白名单校验：

   • 来源 IP 在白名单内 → 请求按所匹配的模型推理服务或 MCP 服务正常转发到后端。
   • 来源 IP 不在白名单内 → 请求被网关直接拒绝，不会进入路由匹配、消费者认证等后续阶段。