全部產品
Search

搜尋本產品

    Edge Security Acceleration:來源站點防護

    文件中心

    Edge Security Acceleration:來源站點防護

    更新時間:Nov 13, 2025

    ESA的節點IP列表配置在您來源站點的防火牆規則中,通過僅允許經過白名單中的IP請求/流量訪問來源站點,可以實現來源站點的防護。

    功能簡介

    為保障您的來源站點不會被外部IP惡意攻擊或非法訪問,您可以通過防火牆規則設定IP地址白名單,限制僅允許指定IP地址訪問來源站點(如僅允許ESA回源節點的IP地址訪問來源站點),從而實現來源站點防護。

    開啟來源站點防護功能後,ESA將會列出數量收斂後的回源節點IP地址(包括IPv4和IPv6),您需要將這些IP列表添加至您的來源站點訪問IP地址白名單中,以實現來源站點防護的目的。

    注意事項

    • 來源站點防護提供的 IP 列表為收斂後的節點IP,而函數和Pages的fetch()調用實際使用收斂前的節點IP。如被fetch調用的網站未開啟來源站點防護功能,則fetch的真實回源IP不在該收斂後的節點IP列表中

    • ESA現已與Cloud Firewall完成整合互動,如果您的來源站點都在阿里雲且使用了Cloud Firewall產品,則必須開啟來源站點防護開關,並在開啟後開啟自動啟用最新回源 IP 列表開關,以確保Cloud Firewall產品可自動更新回源IP資訊。image

    開啟來源站點防護

    1. 在ESA控制台,選擇網站管理,在網站列單擊目標網站。

    2. 在左側導覽列,選擇安全防護 > 來源站點防護

    3. 來源站點防護頁面,單擊配置

      image

    4. 開啟狀態開關,在彈出的對話方塊中勾選我已確認風險。單擊開啟

      image

    5. 單擊確定後開啟來源站點防護,系統將為您列出收斂後的ESA回源節點的IP地址,單擊image複製IP地址。

      image

    6. 將節點IP列表中的IP段全部手動添加至您的來源站點白名單中。若您的來源站點搭建在阿里雲Elastic Compute Service上,可參考如何在ECS中添加防護IP列表?,通過修改安全性群組規則中的入方向規則來實現僅允許經過白名單中的IP請求訪問來源站點。

      重要

      當您不使用ESA服務時,您需要手動修改來源站點的防火牆規則,以避免無法正常訪問來源站點。

    更新來源站點防護IP列表

    ESA的節點IP發生變化時,會通過站內信、郵件等方式通知您,便於您及時修改來源站點的防火牆、安全性群組等規則設定,以確保ESA回源節點可以正常訪問您的來源站點。

    1. 在ESA控制台,選擇網站管理,在網站列單擊目標網站。

    2. 在左側導覽列,選擇安全防護 > 來源站點防護

    3. 來源站點防護地區,將IP列表中的IP段全部添加到您的來源站點白名單中,然後單擊前往確認

      image

    4. 確認最新IP列表中,單擊已更新至最新IP列表,啟用最新IP,彈窗介面單擊啟用即可。

      說明

      在未點擊確認啟用按鈕時,不會啟用最新的IP列表,仍然使用上次確認過的IP列表進行服務。但為了保障服務的效能和品質,建議您定期對來源站點白名單進行更新,以使用最新版本的ESA IP列表。

      image

    關閉來源站點防護

    為防止業務中斷,需刪除來源站點防火牆的IP白名單,然後再進行關閉來源站點防護的操作。

    1. 在ESA控制台,選擇網站管理,在網站列單擊目標網站。

    2. 在左側導覽列,選擇安全防護 > 來源站點防護

    3. 單擊配置,關閉狀態開關,然後在彈出的對話方塊中勾選我已確認風險。,單擊關閉

      image

    4. 來源站點防護地區,單擊確定,來源站點防護狀態變為未開啟

    不同套餐的支援情況

    Entrance

    Pro

    Premium

    Enterprise

    不支援

    支援

    支援

    支援

    常見問題

    為什麼無法配置來源站點防護?

    為了防護效果,來源站點防護功能需要在緩衝架構大於等於兩層時才能開啟。當您的多級緩衝原則設定為邊緣緩衝層時,無法使用來源站點防護功能。將滑鼠懸浮於配置按鈕,單擊hover提示中的前往修改按鈕前往多級緩衝配置頁。

    image

    多級緩衝配置頁單擊配置,選擇合適的多級緩衝架構後,即可正常開啟來源站點防護。

    image

    如何在ECS中添加防護IP列表?

    阿里雲ECS的安全性群組功能是一種虛擬防火牆,能夠控制ECS執行個體的出入站流量。在安全性群組中將ESA提供的IP列表添加至入方向規則即可快速完成來源站點防護配置。

    1. 直接存取ECS控制台-首碼列表,也可以在ECS管理主控台將游標移至導覽列的網路與安全標題,單擊右側hover。image

    2. 在控制台切換地區為您來源站點對應的執行個體所在地區。

      image

    3. 單擊建立首碼列表按鈕,先建立IPv4的列表集合:

      • 首碼列表名稱:填寫IP列表名,如list-esa-ipv4

      • 地址族:選擇IPv4

      • 最大條目容量:填入200條。

      • 首碼列表條目:單擊添加條目,在CIDR地址塊列處粘貼在開啟來源站點防護中擷取的IPv4列表後,單擊確定即可。image

    4. 單擊建立首碼列表按鈕,繼續建立IPv6的列表集合:

      • 首碼列表名稱:填寫IP列表名,如list-esa-ipv6

      • 地址族:選擇IPv6

      • 最大條目容量:填入200條。

      • 首碼列表條目:單擊添加條目,在CIDR地址塊列處粘貼在開啟來源站點防護中擷取的IPv6列表後,單擊確定即可。image

    5. 前往ECS控制台-安全性群組頁面,單擊建立安全性群組

    6. 選擇執行個體所在VPC網路,然後刪除訪問規則中的預設規則後,單擊手動添加按鈕,在中勾選已建立好的IPv4和IPv6首碼列表,選擇符合業務的連接埠後單擊建立安全性群組即可。image

    7. 訪問ECS控制台-執行個體

    8. 在執行個體列表單擊需要配置來源站點防護的執行個體ID,選擇安全性群組頁簽,單擊更換安全性群組image

    9. 更換安全性群組頁面,僅勾選上述建立的新安全性群組後,單擊確定即可。image

    配置來源站點防護後,函數和Pages的fetch調用失敗?

    問題現象:當example.com網站未開啟來源站點防護(套餐不支援或網站未接入ESA),並在其對應的來源站點IP白名單中僅配置了ESA來源站點防護IP列表時,若使用ESA的函數和Pages的fetch()調用example.com可能會出現調用失敗現象。

    解決方案

    • example.com網站接入了ESA,可開啟來源站點防護功能。

    • example.com網站未接入ESA,建議將網站接入ESA,或修改來源站點IP白名單。