AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 边缘安全加速 边缘安全加速 ESA(全新一代) 操作指南 安全防护 源站防护

源站防护

更新时间:
产品详情
我的收藏

ESA的节点IP列表配置在您源站的防火墙规则中,通过仅允许经过白名单中的IP请求/流量访问源站,可以实现源站的防护。

功能简介

为保障您的源站不会被外部IP恶意攻击或非法访问,您可以通过防火墙规则设置IP地址白名单,限制仅允许指定IP地址访问源站(如仅允许ESA回源节点的IP地址访问源站),从而实现源站防护。

开启源站防护功能后,ESA将会列出数量收敛后的回源节点IP地址(包括IPv4IPv6),您需要将这些IP列表添加至您的源站访问IP地址白名单中,以实现源站防护的目的。

注意事项

  • 源站防护提供的 IP 列表为收敛后的节点IP,而函数和Pagesfetch()调用实际使用收敛前的节点IP。如被fetch调用的站点未开启源站防护功能,则fetch的真实回源IP不在该收敛后的节点IP列表中

  • ESA现已与云防火墙完成集成交互,如果您的源站都在阿里云且使用了云防火墙产品,则必须打开源站防护开关,并在开启后打开自动启用最新回源 IP 列表开关,以确保云防火墙产品可自动更新回源IP信息。image

开启源站防护

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > 源站防护

  3. 源站防护页面,单击配置

    image

  4. 打开状态开关,在弹出的对话框中勾选我已确认风险。单击开启

    image

  5. 单击确定后开启源站防护,系统将为您列出收敛后的ESA回源节点的IP地址,单击image复制IP地址。

    image

  6. 将节点IP列表中的IP段全部手动添加至您的源站白名单中。若您的源站搭建在阿里云云服务器 ECS上,可参考如何在ECS中添加防护IP列表?,通过修改安全组规则中的入方向规则来实现仅允许经过白名单中的IP请求访问源站。

    重要

    当您不使用ESA服务时,您需要手动修改源站的防火墙规则,以避免无法正常访问源站。

更新源站防护IP列表

ESA的节点IP发生变化时,会通过站内信、邮件等方式通知您,便于您及时修改源站的防火墙、安全组等规则设置,以确保ESA回源节点可以正常访问您的源站。

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > 源站防护

  3. 源站防护区域,将回源 IP 列表中的IP段全部添加到您的源站白名单中,然后单击前往确认

    image

  4. 确认最新回源 IP 列表中,单击已更新至最新回源 IP 列表,启用最新回源 IP,弹窗界面单击启用即可。

    说明

    在未点击确认启用按钮时,不会启用最新的IP列表,仍然使用上次确认过的IP列表进行服务。但为了保障服务的性能和质量,建议您定期对源站白名单进行更新,以使用最新版本的ESA IP列表。

    image

关闭源站防护

为防止业务中断,需删除源站防火墙的IP白名单,然后再进行关闭源站防护的操作。

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > 源站防护

  3. 单击配置,关闭状态开关,然后在弹出的对话框中勾选我已确认风险。,单击关闭

    image

  4. 源站防护区域,单击确定,源站防护状态变为未开启

不同套餐的支持情况

基础版

标准版

高级版

企业版

支持

支持

支持

支持

常见问题

为什么无法配置源站防护?

为了防护效果,源站防护功能需要在缓存架构大于等于两层时才能开启。当您的多级缓存策略设置为边缘缓存层时,无法使用源站防护功能。将鼠标悬浮于配置按钮,单击hover提示中的前往修改按钮前往多级缓存配置页。

image

多级缓存配置页单击配置,选择合适的多级缓存架构后,即可正常开启源站防护。

image

如何在ECS中添加防护IP列表?

阿里云ECS的安全组功能是一种虚拟防火墙,能够控制ECS实例的出入站流量。在安全组中将ESA提供的IP列表添加至入方向规则即可快速完成源站防护配置。

  1. 直接访问ECS控制台-前缀列表,也可以在ECS管理控制台将光标移至导航栏的网络与安全标题,单击右侧hover。image

  2. 在控制台切换地域为您源站对应的实例所在地域,如华东1(杭州)

    image

  3. 单击创建前缀列表按钮,先创建IPv4的列表集合:

    • 前缀列表名称:填写IP列表名,如list-esa-ipv4

    • 地址族:选择IPv4

    • 最大条目容量:填入200条。

    • 前缀列表条目:单击添加条目,在CIDR地址块列处粘贴在开启源站防护中获取的IPv4列表后,单击确定即可。image

  4. 单击创建前缀列表按钮,继续创建IPv6的列表集合:

    • 前缀列表名称:填写IP列表名,如list-esa-ipv6

    • 地址族:选择IPv6

    • 最大条目容量:填入200条。

    • 前缀列表条目:单击添加条目,在CIDR地址块列处粘贴在开启源站防护中获取的IPv6列表后,单击确定即可。image

  5. 前往ECS控制台-安全组页面,单击创建安全组,在规则配置区域单击增加规则按钮,参考下述说明完成填写:

    • 流量方向授权策略优先级协议均保持默认值即可。

    • 访问来源下拉选择前缀列表,然后勾选已创建好的IPv4IPv6前缀列表。

    • 端口目的(本实例)选择符合业务的端口,如HTTP(80)、HTTPS(443)

      image

  6. 完成前缀列表配置后,填写安全组名称sg-esa-ip网络选择和源站服务器相同的VPC网络,然后在规则配置中删除默认添加的其他所有入方向的规则,仅保留上一步添加的前缀规则后单击确认创建image

  7. 访问ECS控制台-实例

  8. 在实例列表单击需要配置源站防护的实例ID,选择安全组页签,单击更换安全组image

  9. 更换安全组页面,仅勾选上述创建的新安全组后,单击确定即可。image

配置源站防护后,函数和Pagesfetch调用失败?

问题现象:当example.com站点未开启源站防护(套餐不支持或站点未接入ESA),并在其对应的源站IP白名单中仅配置了ESA源站防护IP列表时,若使用ESA的函数和Pagesfetch()调用example.com可能会出现调用失败现象。

解决方案

  • example.com站点接入了ESA,可打开源站防护功能。

  • example.com站点未接入ESA,建议将站点接入ESA,或修改源站IP白名单。

上一篇:API安全设置下一篇:设置