将ESA的节点IP列表配置在您源站的防火墙规则中,通过仅允许经过白名单中的IP请求/流量访问源站,可以实现源站的防护。
功能简介
为保障您的源站不会被外部IP恶意攻击或非法访问,您可以通过防火墙规则设置IP地址白名单,限制仅允许指定IP地址访问源站(如仅允许ESA回源节点的IP地址访问源站),从而实现源站防护。
开启源站防护功能后,ESA将会列出所有的回源节点IP地址(包括IPv4和IPv6),您需要将这些IP列表添加至您的源站访问IP地址白名单中,以实现源站防护的目的。
开启源站防护
ESA现在已经和云防火墙完成集成交互,如果您的源站都在阿里云且使用了云防火墙产品,则无需打开源站防护功能。如果您在阿里云之外还有其他源站,或者未使用云防火墙产品来配置源站IP白名单,那仍需要开启源站防护功能,确保能够收到IP变动的信息并需要及时手动更新源站IP白名单。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在源站防护页面,单击配置。
打开状态开关,在弹出的对话框中勾选我已确认风险。单击开启。
单击确定后开启源站防护,系统将为您列出所有的ESA回源节点的IP地址,单击
复制IP地址。
将节点IP列表中的IP段全部手动添加至您的源站白名单中。若您的源站搭建在阿里云云服务器 ECS上,可参考如何在ECS中添加防护IP列表,通过修改安全组规则中的入方向规则来实现仅允许经过白名单中的IP请求访问源站。
重要当您不使用ESA服务时,您需要手动修改源站的防火墙规则,以避免无法正常访问源站。
更新源站防护IP列表
当ESA的节点IP发生变化时,会通过站内信、邮件等方式通知您,便于您及时修改源站的防火墙、安全组等规则设置,以确保ESA回源节点可以正常访问您的源站。
操作步骤
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在源站防护区域,将IP列表中的IP段全部添加到您的源站白名单中,然后单击前往确认。
在确认最新IP列表中,单击已更新至最新IP列表,启用最新IP,弹窗界面单击启用即可。
说明在未点击确认启用按钮时,不会启用最新的IP列表,仍然使用上次确认过的IP列表进行服务。但为了保障服务的性能和质量,建议您定期对源站白名单进行更新,以使用最新版本的ESA IP列表。
关闭源站防护
为防止业务中断,需删除源站防火墙的IP白名单,然后再进行关闭源站的操作。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
单击配置,关闭状态开关,然后在弹出的对话框中勾选我已确认风险。,单击关闭。
在源站防护区域,单击确定,源站防护状态变为未开启。
不同套餐的支持情况
基础版 | 标准版 | 高级版 | 企业版 |
不支持 | 支持 | 支持 | 支持 |
如何在ECS中添加防护IP列表
阿里云ECS的安全组功能是一种虚拟防火墙,能够控制ECS实例的出入站流量。在安全组中将ESA提供的IP列表添加至入方向规则即可快速完成源站防护配置。
直接访问ECS控制台-前缀列表,也可以在ECS管理控制台将光标移至导航栏的网络与安全标题,单击右侧hover。
在控制台切换地域为您源站对应的实例所在地域,如
华东1(杭州)。
单击创建前缀列表按钮,先创建IPv4的列表集合:
前缀列表名称:填写IP列表名,如
list-esa-ipv4。地址族:选择IPv4。
最大条目容量:填入200条。
前缀列表条目:单击添加条目,在CIDR地址块列处粘贴在开启源站防护中获取的IPv4列表后,单击确定即可。
单击创建前缀列表按钮,继续创建IPv6的列表集合:
前缀列表名称:填写IP列表名,如
list-esa-ipv6。地址族:选择IPv6。
最大条目容量:填入200条。
前缀列表条目:单击添加条目,在CIDR地址块列处粘贴在开启源站防护中获取的IPv6列表后,单击确定即可。
前往ECS控制台-安全组页面,单击创建安全组,在规则配置区域单击增加规则按钮,参考下述说明完成填写:
流量方向、授权策略、优先级、协议均保持默认值即可。
访问来源下拉选择前缀列表,然后勾选已创建好的IPv4和IPv6前缀列表。
端口目的(本实例)选择符合业务的端口,如
HTTP(80)、HTTPS(443)。
完成前缀列表配置后,填写安全组名称如
sg-esa-ip,网络选择和源站服务器相同的VPC网络,然后在规则配置中删除默认添加的其他所有入方向的规则,仅保留上一步添加的前缀规则后单击确认创建。
访问ECS控制台-实例。
在实例列表单击需要配置源站防护的实例ID,选择安全组页签,单击更换安全组。
在更换安全组页面,仅勾选上述创建的新安全组后,单击确定即可。
