配置CDN回源IP白名单是确保源站安全、防止恶意攻击的关键措施，通过在源站服务器或防火墙中添加CDN官方提供的回源IP段，可有效控制访问来源，避免源站直接暴露在公网中。

一、配置步骤详解

1. 获取CDN回源IP列表

• 登录CDN服务商控制台（如腾讯云、阿里云、华为云等）
• 查找"回源节点查询"功能：通常在"域名管理"→"源站配置"或"工具"栏目下
• 查询官方回源IP段：输入您的加速域名，获取对应的回源IP地址范围
• 注意：不同服务商的IP段不同，且可能定期更新，需获取最新列表

2. 源站白名单配置（以主流云平台为例）

腾讯云配置

1. 登录CDN控制台 → 域名管理 → 选择目标域名 → 管理
2. 在"访问控制"中找到"IP黑白名单配置" → 开启开关
3. 选择"白名单"类型 → 点击"新增规则"
4. 在"规则内容"中输入获取的回源IP段（如119.28.0.0/16）
5. 设置"生效类型"为"全部内容" → 保存配置

阿里云配置

1. 登录CDN控制台 → 域名管理 → 选择目标域名 → 配置
2. 在"访问控制"中选择"IP黑白名单" → 修改配置
3. 选择"白名单" → 在规则框中输入IP段（每行一个）
4. 支持格式：IPv4地址（如192.168.0.1）、IPv4网段（如192.168.0.0/24）
5. 限制：最多可添加500条记录，IPv4地址最多支持2000个

华为云配置

1. 登录CDN控制台 → 域名管理 → 选择目标域名 → 设置
2. 在"访问控制"中选择"IP黑白名单" → 修改配置
3. 选择"白名单" → 输入规则（支持IPv4和IPv6地址）
4. 注意：网段IP必须是该网段首个主机IP地址（如192.168.1.0/24）

3. 源站服务器安全组配置

• 登录云服务器控制台 → 找到源站服务器
• 进入安全组设置 → 添加入站规则
• 设置规则：
  • 协议类型：选择源站服务协议（通常为HTTP/80或HTTPS/443）
  • 源IP：输入CDN回源IP段（如119.28.0.0/16）
  • 策略：允许
• 保存配置：确保仅CDN节点可访问源站端口

二、配置注意事项

1. 规则优先级与生效逻辑

• 优先级规则：列表底部的规则优先级高于顶部（即后添加的规则优先级更高）
• 匹配逻辑：当用户端IP匹配白名单中的IP或IP段时，访问正常返回内容；未匹配的IP将返回403状态码
• 互斥设置：IP黑名单与白名单二选一，不可同时配置

2. IP地址格式要求

• 支持类型：IPv4地址、IPv4网段（如192.168.0.0/24）
• 不支持：IPv4保留地址及网段、带通配符的地址（如192.168.0.*）
• IPv6支持：部分平台支持IPv6地址（如华为云最多支持700个IPv6地址）

3. 配置限制

• 规则数量：单个域名最多可配置20条规则
• IP数量：单个规则中，IP白名单最多支持500个
• 地址长度：IP地址字符串总长度不能超过30KB

三、常见问题排查

1. 配置后仍被拦截

• 原因：可能只添加了部分IP段，或配置未生效
• 解决方案：
  • 确认获取了CDN官方提供的最新、最全的IP列表
  • 检查源站多层安全策略（防火墙、WAF、云安全组等）是否都已完成配置
  • 等待配置生效（通常需1-5分钟），或重启相关服务

2. 如何验证配置是否生效

• 方法一：通过CDN节点访问未缓存资源，观察源站日志是否记录CDN IP的200状态码
• 方法二：使用curl命令模拟CDN回源：curl -v https://源站域名 -H "Host: 加速域名"
• 方法三：查看CDN服务商提供的回源日志，确认回源IP是否匹配白名单

四、最佳实践建议

1. 安全加固策略

• 最小权限原则：仅允许CDN回源IP访问源站，关闭其他公网访问权限
• 定期更新：每季度检查并更新CDN回源IP列表，避免因IP段变更导致问题
• 监控机制：设置源站访问日志监控，及时发现异常访问行为

2. 高级配置技巧

• 分区域配置：若使用全球加速，可针对不同区域设置不同回源IP白名单
• 热备源站：为避免单点故障，可配置热备源站并设置相同白名单规则
• 组合使用：结合UA黑白名单、Referer防盗链等多重防护，提升安全性

通过以上步骤，您可以有效配置CDN回源IP白名单，既保障源站安全，又确保CDN加速服务正常运行，避免因配置不当导致的访问问题。