tencent cloud

边缘安全加速平台 EO

动态与公告
产品动态
安全公告
产品公告
产品简介
产品概述
产品优势
应用场景
EdgeOne 与 CDN 等产品功能对比
使用限制
购买指南
试用套餐体验权益说明
免费版套餐使用说明
计费概述
计费项目
购买指引
续费指引
欠费与退款说明
套餐选型对比
关于“干净流量”计费说明
DDoS 防护容量说明
快速入门
选择业务场景
快速接入网站安全加速
通过 Pages 快速部署网站
域名服务与源站配置
域名服务
HTTPS 证书
源站配置
站点加速
概述
访问控制
智能加速
缓存配置
文件优化
网络优化
URL 重写
修改头部
修改应答内容
规则引擎
图片与视频处理
单连接下载限速
DDoS 与 Web 防护
概述
DDoS 防护
Web 防护
Bot 管理
API 资产识别(Beta)
边缘函数
概述
快速指引
操作指引
Runtime APIs
示例函数
实践教程
Pages
四层代理
概述
新建四层代理实例
修改四层代理实例配置
停用/删除四层代理实例
批量配置转发规则
获取客户端真实IP
数据分析与日志服务
日志服务
数据分析
告警服务
站点与计费管理
计费管理
站点管理
版本管理
通用策略
通用参考
配置语法
请求与响应行为
国家/地区及对应代码枚举
Terraform
Terraform 简介
安装和配置 Terraform
实践教程
EdgeOne Skill 使用指南
自动预热/清除缓存
防盗刷/盗链实践
HTTPS 相关实践
加速优化
流量调度
数据分析与告警
第三方日志平台集成实践
对象存储类源站(例如:COS)配置实践
跨域响应配置
API 文档
History
Introduction
API Category
Making API Requests
Site APIs
Acceleration Domain Management APIs
Site Acceleration Configuration APIs
Edge Function APIs
Alias Domain APIs
Security Configuration APIs
Layer 4 Application Proxy APIs
Content Management APIs
Data Analysis APIs
Log Service APIs
Billing APIs
Certificate APIs
Origin Protection APIs
Load Balancing APIs
Diagnostic Tool APIs
Custom Response Page APIs
API Security APIs
DNS Record APIs
Content Identifier APIs
Legacy APIs
Ownership APIs
Image and Video Processing APIs
Multi-Channel Security Gateway APIs
Version Management APIs
Data Types
Error Codes
常见问题
产品特性相关问题
DNS 记录相关问题
域名配置相关问题
站点加速相关问题
数据与日志相关问题
安全防护相关问题
源站配置相关问题
排障指南
异常状态码参考
EdgeOne 4XX/5XX 状态码排障指南
520/524状态码排障指南
521/522 状态码排障指南
工具指南
相关协议
Service Level Agreement
源站防护启用特别约定
TEO 政策
隐私协议
数据处理和安全协议
联系我们
词汇表
文档边缘安全加速平台 EO域名服务与源站配置源站配置 源站防护(获取/更新 EdgeOne 回源 IP 网段)

源站防护(获取/更新 EdgeOne 回源 IP 网段)

PDF
聚焦模式
字号
最后更新时间: 2025-12-26 15:35:48

功能简介

源站防护的核心是让 EdgeOne 通过一组指定的公网 IP 段(回源 IP 网段)访问您的源站。您可以将这些 IP 段作为“白名单”配置在源站防火墙或安全组上,从而只允许可信的回源流量通过,有效防止恶意攻击者绕过 EdgeOne 的直接源站攻击,提升源站安全性与隐蔽性,实现对源站的防护。
本文将为您介绍如何手动获取并更新 EdgeOne 的回源 IP 网段,或利用 API 实现自动化更新,以配置源站防火墙规则。
警告:
1. EdgeOne 由于增强网络稳定性和可靠性/提升安全性/应对扩展需求/响应监管要求等原因,会不定期变更回源 IP 网段。EdgeOne 将在回源 IP 网段变更前 14 天、前 7 天、前 3 天和前 1 天分别通过站内信、短信、邮件等一种或多种方式发起通知,为了能正常收到回源 IP 网段的变更通知,请务必确保您在 腾讯云消息中心控制台 内,已勾选边缘安全加速平台 EO 产品服务相关消息通知,并配置正确的消息接收人。配置方式请参见 消息订阅管理
2. 在收到腾讯关于“回源 IP 网段变更通知”的通知后,请在最迟不超过 14 个自然日的情况下,参照 更新回源 IP 网段 完成回源 IP 网段更新操作。例如,EO 在2025年1月1日12:00:00(GMT+8)发送“回源 IP 网段变更通知”,您需要在2025年1月15日12:00:00(GMT+8)前完成回源 IP 网段的更新操作。
3. 如您未能在约定时限内完成前述操作,EdgeOne 会按照 源站防护启用特别约定 网段变更至最新版本。请您理解并认可,由此产生的【回源失败】【现网业务不可用】等其他不利后果将由您自行承担,该情况将不在 强制将回源 IP 网段变更至最新版本。请您理解并认可,由此产生的【回源失败】【现网业务不可用】等其他不利后果将由您自行承担,该情况将不在 边缘安全加速平台 EO 服务等级协议 中服务可用性的保障范围内。
4. 如果您无法及时完成更新,建议您也可以采用回源双向认证方案,以确保您源站的安全性,如需使用该方案,请 联系我们

获取回源 IP 网段

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击安全防护 > 源站防护。
3. 在源站防护页面,单击立即使用,详细阅读 源站防护启用特别约定,确认可以接受“特别约定”中的内容后,单击确认启用
4. 单击源站防护状态的开关将其设置为启用,选择需要被防护的站点加速/四层代理资源,单击提交
5. 成功启用后,页面会显示当前回源 IP 列表(包含 IPv4和 IPv6地址段),可以复制此列表。
6. 登录您的源站服务器所在的云平台或服务器本身,找到防火墙/安全组设置。添加入站规则,允许来自上述步骤5中获取的全部回源IP网段的流量访问您业务所需的端口(如80、443)。

更新回源 IP 网段

说明:
非特殊情况下,回源 IP 网段平均 3-6 个月更新 1 次。
在收到回源 IP 网段变更相关通知的时候,您需要在 14 个自然日内参照以下步骤查看变更后的回源 IP 并完成更新,以防止回源失败导致的业务故障。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,在网站安全加速内单击站内信/邮件中列举需要变更的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > 源站防护。
3. 单击前往更新。



4. 控制台会展示新旧IP段的对比信息,请仔细查看新增的IP段和将被移除的IP段。将最新的回源 IP 网段更新至源站防火墙后,单击我已更新至最新的回源IP网段



5. 确认更新后,控制台上展示“当前回源 IP 网段为最新版本”即表示更新完成。




通过 API 实现自动化更新

如果您希望通过自动化脚本定期获取 EdgeOne 的最新回源IP网段,避免因手动更新不及时可能导致的业务中断,可以利用 EdgeOne 提供的 API 接口实现以下流程:
1. ​​定期调用接口​​:低频定期调用​​ 查询源站防护详情​​ 接口,建议每三天一次。
2. ​​检查更新标志​​:在接口返回数据中,重点关注NextOriginACL字段。如果该字段返回不为空,则表明有新的回源IP网段可供更新。
"NextOriginACL": {
                "Version": "mlc-1.0.1-20250422",
                "PlannedActiveTime": "2014-12-30T10:00:00Z",
                "EntireAddresses": {
                    "IPv4": [
                        "11.11.11.11/24",
                        "22.22.22.22/24"
                    ],
                    "IPv6": [
                        "2001:980:7002:6::/64"
                    ]
                },
                "AddedAddresses": {
                    "IPv4": [
                        "22.22.22.22/24"
                    ],
                    "IPv6": []
                },
                "RemovedAddresses": {
                    "IPv4": [],
                    "IPv6": []
                },
                "NoChangeAddresses": {
                    "IPv4": [
                        "11.11.11.11/24"
                    ],
                    "IPv6": [
                        "2001:980:7002:6::/64"
                    ]
                }
            }
3. ​​同步配置​​:脚本检测到更新后,应自动将新的IP网段同步到您的源站防火墙或安全组策略中。
4. ​确认更新​​:同步完成后,继续调用​​ 确认回源 IP 网段更新 ​​接口,以便系统停止推送相关变更通知。
上一篇: 回源限频策略下一篇: 旧版源站组兼容相关问题

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈