使用云防火墙自动化防护源站

前提条件

• 源站配置了云防火墙互联网边界策略。

• 源站使用阿里云产品。

• 已开启源站防护，并开启自动启用最新回源 IP 列表。

云防火墙侧引用ESA地址簿的原理

当您的源站开启云防火墙时，支持通过在云防火墙侧引用ESA地址簿（ESA Back-to-origin Address）的方式，实现源站防护。ESA地址簿包含ESA的节点IP，当您将ESA的地址簿加入到云防火墙的边界策略后，即可对来自非ESA节点的流量进行过滤。ESA的回源IP发生变化时，地址簿会自动同步更新IP，无需手动维护源站的IP白名单（这里仅针对ESA节点的IP白名单），实现零运维防护。

在云防火墙侧引用ESA的地址簿

1. 登录云防火墙控制台。

2. 在左侧导航栏，选择防护配置 > 访问控制 > 互联网边界。

3. 在入向页签，选择需要创建的IP类型（默认创建IPv4类型的策略），然后单击创建策略。

4. 在创建入向策略面板，选择自定义创建页签。单击源类型的地址簿。

   

   1. 单击，选择云地址簿。

      

   2. 搜索ESA，在结果列中选择ESA Back-to-origin Address，然后单击操作列的选择。

      

   3. 在目的中填入您的源站IP/CIDR地址，如1.2.3.4/32。

      

   4. 您需要结合业务场景选择协议类型。若是不确定业务场景，建议选择ANY，并在端口中填写您的业务端口，应用设置为ANY。

      

   5. 将动作设置为放行，优先级设置为最前，策略有效期设置为总是，启用状态设置为，最后单击确定即可。

      

相关文档

• 源站防护

• 配置互联网边界访问控制策略