尊敬的阿里云用户,您好:
Web应用防火墙(WAF)计划于 2026年5月28日 00:00:00 起,新增如下 CNAME 接入方式的回源 IP 网段。
中国内地:
47.109.121.0/24,8.137.30.0/24,2408:4006:1281:2100::/56
非中国内地:
8.221.179.0/24,8.209.48.128/25,8.213.181.0/24,240b:4009:219:2100::/56,240b:4001:2b6:f200::/56,240b:400e:163:d00::/56,240b:400b:60:a800::/56,240b:4000:14:3200::/56,240b:4005:19b:9300::/56,240b:4004:cc:2a00::/56
影响范围
WAF 3.0:适用于已通过 CNAME 方式接入域名,并在源站服务器(例如ECS实例的安全组)配置了 WAF 回源 IP 段放行规则的用户(云产品接入模式不受影响)。
WAF 2.0:适用于已通过 CNAME 方式接入域名,并在源站服务器(例如ECS实例的安全组)配置了 WAF 回源 IP 段放行规则的用户(透明接入模式不受影响)。
应对变更
由于本次变更新增了回源 IP 段,为确保业务访问不受影响,请参照以下步骤配置源站服务器,放行最新的回源 IP 段:
WAF 3.0
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理,然后在CNAME接入页签,单击右侧Web应用防火墙回源IP网段列表。
在回源IP段对话框,单击复制,将所有WAF回源IP复制到剪贴板。
说明复制的回源IP段之间以英文逗号(,)分隔。其中包含类似 2408:400a:3c:xxxx::/56 的地址,此类地址属于 IPv6 地址段。
在服务器防火墙等位置放行以上IP段。例如当源站服务器是阿里云ECS实例时,需要在ECS安全组中放行,更多安全组的操作,请参见添加安全组规则。
WAF 2.0
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在产品信息页面右下方的回源IP段区域,单击复制全部IP。
说明复制的回源IP段之间以英文逗号(,)分隔。其中包含类似 2408:400a:3c:xxxx::/56 的地址,此类地址属于 IPv6 地址段。
在服务器防火墙等位置放行以上IP段。例如当源站服务器是阿里云ECS实例时,需要在ECS安全组中放行,更多安全组的操作,请参见添加安全组规则。
常见问题
源站服务器安全组已配置入方向0.0.0.0/0放行规则,是否受此次变更影响?
不受影响。入方向0.0.0.0/0放行规则表示允许任意来源访问源站服务器,因此无需针对新增的回源 IP 段进行额外配置。
使用云产品接入或透明接入方式接入的资产,是否受此次变更影响?
不受影响。云产品接入和透明接入模式采用透明代理或 SDK 集成架构,不依赖传统的回源 IP 段机制,因此无需更新相关策略。
如何查看并配置ECS实例安全组规则?
前往ECS控制台-安全组页面,单击目标安全组ID进入安全组详情页。
在目标安全组详情页面,选择入方向页签,查看已配置的规则,如需添加规则,请单击增加规则。
由于安全组规则无法在单条规则中同时包含IPv4和IPv6地址,需要分两步操作:
添加IPv4规则:在新建安全组规则面板的访问来源区域,粘贴复制的IP段,并手动删除其中的IPv6地址,将访问目的(本实例)设置为在WAF控制台CNAME接入时配置的回源端口,其余参数保持默认值,单击提交即可。
添加IPv6规则:再次单击增加规则,参照上一步添加IPv6地址段,在访问来源区域选择IPv6。
业务使用OpenAPI 获取回源网段并自动添加至白名单,该如何配置?
请结合实际业务架构,通过以下方式进行配置更新:
手动触发更新:在变更生效前,手工调用一次获取回源 IP 的 OpenAPI 接口,将返回的最新网段同步更新至安全组或防火墙策略中。
检查自动化脚本/定时任务:若已部署定时任务自动拉取并更新白名单,请确认该任务的执行周期与状态,确保其能在变更生效前自动完成最新网段的同步。