全部产品
Search

搜索本产品

    Edge Security Acceleration:Perlindungan asal

    文档中心

    Edge Security Acceleration:Perlindungan asal

    更新时间:Nov 13, 2025

    Tambahkan daftar alamat IP node ESA ke aturan firewall server asal Anda untuk melindunginya dengan hanya mengizinkan akses dari alamat IP yang ada dalam daftar putih.

    Ikhtisar fitur

    Untuk melindungi server asal Anda dari serangan berbahaya atau akses tidak sah, tetapkan daftar putih alamat IP dalam aturan firewall Anda. Hal ini membatasi akses hanya ke alamat IP tertentu, seperti alamat IP titik keberadaan (POPs) ESA untuk pengambilan asal.

    Setelah Anda mengaktifkan Perlindungan Asal, ESA menyediakan daftar konvergen alamat IP POP yang mencakup alamat IPv4 dan IPv6. Tambahkan daftar alamat IP ini ke daftar putih akses server asal Anda.

    Sebelum memulai

    • Daftar IP yang disediakan oleh Perlindungan Asal adalah daftar konvergen IP POP. Namun, panggilan fetch() dari Functions dan Pages menggunakan IP POP aktual. Jika situs web yang dipanggil oleh fetch tidak memiliki Perlindungan Asal yang diaktifkan, alamat IP pengambilan asal aktual dari panggilan fetch tidak akan ada dalam daftar IP konvergen.

    • ESA terintegrasi dengan Cloud Firewall. Aktifkan Perlindungan Asal jika semua server asal Anda berada di Alibaba Cloud dan Anda menggunakan Cloud Firewall. Kemudian, aktifkan Auto-apply Origin Fetch IP List untuk memastikan Cloud Firewall secara otomatis memperbarui informasi IP pengambilan asal.image

    Aktifkan Perlindungan Asal

    1. Di konsol ESA, pilih Websites, lalu di kolom Website, klik situs web target.

    2. Di panel navigasi kiri, pilih Security > Origin Protection.

    3. Di halaman Origin Protection, klik Configure.

      image

    4. Nyalakan sakelar Status. Di kotak dialog yang muncul, pilih I understand the risks lalu klik OK.

      image

    5. Klik Enable. Sistem kemudian akan menampilkan daftar alamat IP konvergen POP ESA. Klik image untuk menyalin alamat IP tersebut.

      image

    6. Tambahkan secara manual semua rentang IP dari daftar IP ke daftar putih server asal Anda. Jika server asal Anda dihosting pada instance Elastic Compute Service (ECS) Alibaba Cloud, lihat Cara menambahkan daftar IP di ECS. Ubah aturan masuk grup keamanan untuk hanya mengizinkan permintaan dari alamat IP dalam daftar putih mengakses server asal.

      Penting

      Jika Anda berhenti menggunakan layanan ESA, ubah secara manual aturan firewall server asal Anda untuk menghindari kegagalan akses.

    Perbarui daftar IP Perlindungan Asal

    Jika alamat IP POP ESA berubah, Anda akan menerima notifikasi melalui pesan internal atau email. Perbarui aturan firewall dan grup keamanan server asal Anda agar POP tetap dapat mengakses server asal Anda.

    1. Di konsol ESA, pilih Websites, lalu di kolom Website, klik situs web target.

    2. Di panel navigasi kiri, pilih Security > Origin Protection.

    3. Di bagian Origin Protection, tambahkan semua rentang alamat IP dari IP Addresses ke daftar putih server asal Anda, lalu klik Review.

      image

    4. Di panel Review Latest IP List, klik I Have Applied and Confirm to Enable the Latest IP List. Di kotak dialog yang muncul, klik OK.

      Catatan

      Daftar IP baru hanya berlaku setelah Anda mengonfirmasinya. Sampai saat itu, layanan tetap menggunakan daftar IP yang dikonfirmasi sebelumnya. Untuk memastikan kinerja dan kualitas layanan optimal, perbarui daftar putih server asal Anda dengan daftar IP ESA terbaru.

      image

    Nonaktifkan Perlindungan Asal

    Untuk mencegah gangguan layanan, pertama-tama hapus daftar putih IP dari firewall server asal Anda. Kemudian, nonaktifkan Perlindungan Asal.

    1. Di konsol ESA, pilih Websites, lalu di kolom Website, klik situs web target.

    2. Di panel navigasi kiri, pilih Security > Origin Protection.

    3. Klik Configure. Matikan sakelar Status. Di kotak dialog yang muncul, pilih I Acknowledge the Risks dan klik OK.

      image

    4. Di bagian Origin Protection, klik OK. Status perlindungan asal berubah menjadi Disabled.

    Rencana yang didukung

    Entrance

    Pro

    Premium

    Enterprise

    Not supported

    Supported

    Supported

    Supported

    FAQ

    Mengapa saya tidak dapat mengaktifkan Perlindungan Asal?

    Untuk perlindungan yang efektif, Perlindungan Asal hanya dapat diaktifkan ketika arsitektur cache Anda memiliki dua lapisan atau lebih. Selain itu, Anda tidak dapat menggunakan perlindungan asal jika kebijakan Tiered Cache Anda diatur ke Edge Tiered Cache. Untuk mengubah pengaturan ini, arahkan kursor ke Configure dan klik Modify pada tooltip untuk membuka pengaturan Tiered Cache.

    image

    Di halaman konfigurasi Tiered Cache, klik Configure dan pilih arsitektur cache bertingkat yang sesuai. Anda kemudian dapat mengaktifkan perlindungan asal.

    image

    Bagaimana cara menambahkan daftar IP di ECS?

    Fitur grup keamanan ECS adalah firewall virtual yang mengontrol lalu lintas masuk dan keluar untuk instance ECS. Tambahkan daftar IP yang disediakan oleh ESA ke aturan masuk grup keamanan.

    1. Buka halaman ECS console - Prefix Lists. Atau, buka ECS console, arahkan kursor ke Network & Security di bilah navigasi, lalu klik Prefix Lists and Port Lists.image

    2. Di konsol, ganti wilayah ke wilayah tempat instance server asal Anda berada.

      image

    3. Klik Create Prefix List untuk membuat daftar awalan untuk alamat IPv4:

      • Prefix List Name: Masukkan nama untuk daftar IP, misalnya list-esa-ipv4.

      • Address Family: Pilih IPv4.

      • Max Entries: Masukkan 200.

      • Prefix List Entries: Klik Add Entry. Di kolom CIDR Block, tempel daftar IPv4 yang telah Anda salin di bagian Aktifkan Perlindungan Asal, lalu klik Confirm.image

    4. Klik Create Prefix List lagi untuk membuat daftar awalan untuk alamat IPv6:

      • Prefix List Name: Masukkan nama untuk daftar IP, misalnya list-esa-ipv6.

      • Address Family: Pilih IPv6.

      • Max Entries: Masukkan 200.

      • Prefix List Entries: Klik Add Entry. Di kolom CIDR Block, tempel daftar IPv6 yang telah Anda salin di bagian Aktifkan Perlindungan Asal, lalu klik Confirm.image

    5. Buka halaman ECS console - Security Groups, lalu klik Create Security Group.

    6. Pilih jaringan VPC tempat instance berada. Hapus aturan default di Access Rule. Klik Quick Add. Untuk Authorization Object, pilih daftar awalan IPv4 dan IPv6 yang telah Anda buat. Pilih port yang digunakan layanan Anda, lalu klik Create Security Group.image

    7. Buka ECS console - Instance.

    8. Di daftar instance, klik ID instance tempat Anda ingin mengaktifkan Perlindungan Asal. Pilih tab Security Groups lalu klik Change Security Groups.image

    9. Di halaman Change Security Groups, pilih hanya grup keamanan baru yang telah Anda buat, lalu klik OK.image

    Mengapa panggilan fetch() saya dari Functions dan Pages gagal?

    Hal ini karena permintaan fetch() yang berasal dari Functions dan Pages menggunakan kumpulan alamat IP asal yang berbeda dari daftar konvergen yang disediakan oleh fitur Perlindungan Asal.

    Jika Anda telah mengonfigurasi firewall server asal untuk hanya mengizinkan IP dari daftar Perlindungan Asal yang konvergen, maka permintaan fetch() ini akan diblokir, sehingga menyebabkan kegagalan.

    Cara memperbaikinya:

    • Opsi 1: Jika situs web target Anda berada di ESA: Aktifkan Perlindungan Asal untuk situs web tersebut (misalnya, example.com). Hal ini memastikan bahwa semua rentang IP ESA ditangani dengan benar.

    • Opsi 2: Jika situs web target tidak berada di ESA: Anda harus menambahkan nama domain Anda ke ESA atau mengubah aturan firewall server asal situs web tersebut agar juga mengizinkan lalu lintas dari IP yang digunakan oleh ESA Functions dan Pages.