边缘安全加速平台 EO 源站防护（获取/更新 EdgeOne 回

功能简介
源站防护的核心是让 EdgeOne 通过一组指定的公网 IP 段（回源 IP 网段）访问您的源站。您可以将这些 IP 段作为“白名单”配置在源站防火墙或安全组上，从而只允许可信的回源流量通过，有效防止恶意攻击者绕过 EdgeOne 的直接源站攻击，提升源站安全性与隐蔽性，实现对源站的防护。
本文将为您介绍如何手动获取并更新 EdgeOne 的回源 IP 网段，或利用 API 实现自动化更新，以配置源站防火墙规则。
警告：
1. EdgeOne 由于增强网络稳定性和可靠性/提升安全性/应对扩展需求/响应监管要求等原因，会不定期变更回源 IP 网段。EdgeOne 将在回源 IP 网段变更前 14 天、前 7 天、前 3 天和前 1 天分别通过站内信、短信、邮件等一种或多种方式发起通知，为了能正常收到回源 IP 网段的变更通知，请务必确保您在腾讯云消息中心控制台内，已勾选边缘安全加速平台 EO 的产品服务相关消息通知，并配置正确的消息接收人。配置方式请参考消息订阅管理。
2. 在收到腾讯关于“回源 IP 网段变更通知”的通知后，请在最迟不超过 14 个自然日的情况下，参照 更新回源 IP 网段 完成回源 IP 网段更新操作。例如，EO 在2025年1月1日12:00:00(GMT+8)发送“回源 IP 网段变更通知”，您需要在2025年1月15日12:00:00(GMT+8)前完成回源 IP 网段的更新操作。
3. 如您未能在约定时限内完成前述操作，EdgeOne 会按照 源站防护启用特别约定 强制将回源 IP 网段变更至最新版本。请您理解并认可，由此产生的【回源失败】【现网业务不可用】等其他不利后果将由您自行承担，该情况将不在 边缘安全加速平台 EO 服务等级协议 中服务可用性的保障范围内。
4. 如果您无法及时完成更新，建议您也可以采用回源双向认证方案，以确保您源站的安全性，如需使用该方案，请 联系我们。
获取回源 IP 网段
1. 登录 边缘安全加速平台 EO 控制台，在左侧菜单栏中，进入服务总览，单击网站安全加速内需配置的站点。
2. 在站点详情页面，单击安全防护 > 源站防护。
3. 在源站防护页面，单击立即使用，详细阅读 源站防护启用特别约定，确认可以接受“特别约定”中的内容后，单击确认启用。
4. 单击源站防护状态的开关将其设置为启用，选择需要被防护的站点加速/四层代理资源，单击提交。
5. 成功启用后，页面会显示当前回源 IP​ 列表（包含IPv4和IPv6地址段），可以复制此列表。
6. 登录您的源站服务器所在的云平台或服务器本身，找到防火墙/安全组设置。添加入站规则，允许来自上述步骤5中获取的全部回源IP网段的流量访问您业务所需的端口（如80、443）。
更新回源 IP 网段
说明：
非特殊情况下，回源 IP 网段平均 3-6 个月更新 1 次。
在收到回源 IP 网段变更相关通知的时候，您需要在 14 个自然日内参照以下步骤查看变更后的回源 IP 并完成更新，以防止回源失败导致的业务故障。
1. 登录 边缘安全加速平台 EO 控制台，在左侧菜单栏中，进入服务总览，在网站安全加速内单击站内信/邮件中列举的需要变更的站点，进入站点详情页面。
2. 在站点详情页面，单击安全防护 > 源站防护。
3. 单击前往更新。
﻿
﻿
﻿
4. 控制台会展示新旧IP段的对比信息，请仔细查看新增的IP段和将被移除的IP段。将最新的回源 IP 网段更新至源站防火墙后，单击我已更新至最新的回源IP网段。
﻿
﻿
﻿
5. 确认更新后，控制台上展示“当前回源 IP 网段为最新版本”即表示更新完成。
﻿
﻿
﻿
通过 API 实现自动化更新
如果您希望通过自动化脚本定期获取 EdgeOne 的最新回源IP网段，避免因手动更新不及时可能导致的业务中断，可以利用 EdgeOne 提供的 API 接口实现以下流程：
1. ​​定期调用接口​​：低频定期调用​​ 查询源站防护详情​​ 接口，建议每三天一次。
2. ​​检查更新标志​​：在接口返回数据中，重点关注NextOriginACL字段。如果该字段返回不为空，则表明有新的回源IP网段可供更新。
"NextOriginACL": {
                "Version": "mlc-1.0.1-20250422",
                "PlannedActiveTime": "2014-12-30T10:00:00Z",
                "EntireAddresses": {
                    "IPv4": [
                        "11.11.11.11/24",
                        "22.22.22.22/24"
                    ],
                    "IPv6": [
                        "2001:980:7002:6::/64"
                    ]
                },
                "AddedAddresses": {
                    "IPv4": [
                        "22.22.22.22/24"
                    ],
                    "IPv6": []
                },
                "RemovedAddresses": {
                    "IPv4": [],
                    "IPv6": []
                },
                "NoChangeAddresses": {
                    "IPv4": [
                        "11.11.11.11/24"
                    ],
                    "IPv6": [
                        "2001:980:7002:6::/64"
                    ]
                }
            }
3. ​​同步配置​​：脚本检测到更新后，应自动将新的IP网段同步到您的源站防火墙或安全组策略中。
4. ​确认更新​​：同步完成后，继续调用​​ 确认回源 IP 网段更新 ​​接口，以便系统停止推送相关变更通知。
源站防护（获取/更新 EdgeOne 回源 IP 网段）

本页目录：

功能简介

获取回源 IP 网段

更新回源 IP 网段

通过 API 实现自动化更新
