产品概述
源站保护(Origin Protection)通过隐藏真实源站 IP、限制回源来源与回源鉴权,防止攻击者绕过 CDN、高防或 WAF 等前置防护,直接攻击源站服务器。其核心目标是让源站「不可见、不可直连」:对外只暴露防护节点地址,真实源站仅接受来自可信防护节点的回源流量。
源站保护通过回源 IP 白名单、回源鉴权(如携带专用 Header/Token)、安全组与防火墙策略等手段,确保即使真实 IP 泄露,攻击者也无法直接访问源站。它是 SCDN、高防 IP 与 WAF 防护链路的「最后一道闭环」,弥补「前面防得再好,源站被直接打」的风险,让整体防护真正生效。
核心能力
源站 IP 隐藏
对外仅暴露防护节点地址,真实源站 IP 不公开,降低被直接定位攻击的风险。
回源 IP 白名单
源站防火墙/安全组仅放行防护节点的回源 IP,拒绝其余直连请求。
回源鉴权
回源请求携带专用 Header 或 Token,源站校验来源合法性,防止伪造回源绕过。
防绕过检测
识别试图绕过防护节点直连源站的访问,结合白名单与鉴权进行阻断。
防护链路闭环
与 SCDN、高防 IP、WAF 配合形成完整闭环,确保前置防护不被绕过失效。
IP 泄露兜底
即使真实 IP 因历史解析或配置疏漏泄露,多重限制仍可阻止直接攻击。
应用场景
已接入防护但仍被打
已使用 CDN/高防但源站 IP 曾泄露,攻击者绕过防护直击源站时,需源站保护兜底。
多业务共用源站
多个域名或业务共用一台源站时,限制回源来源避免一处暴露波及全部业务。
敏感业务源站
承载核心数据与系统的源站,须严格限制访问来源,杜绝任何直连入口。
为什么选择级级盾
防护不被绕过
源站只认可信回源,前置 SCDN/高防/WAF 的防护效果真正落地。
多重限制叠加
IP 隐藏、白名单、鉴权多层叠加,单点泄露不致全盘失守。
配置务实易落地
通过白名单与回源鉴权即可加固,无需改造业务架构。
常见问题
需要。如果真实源站 IP 泄露,攻击者可直接绕过防护打源站,使前置防护形同虚设;源站保护通过回源白名单与鉴权封堵这一缺口。
从接入到防护,只需四步
标准化接入流程,技术人员全程协助,最快当天即可完成上线。
提交域名和业务情况
提供需要防护的域名、业务类型与当前访问规模。
技术评估攻击风险和线路需求
结合源站地区与攻击情况,评估防护等级与线路方案。
配置高防 CDN 与回源策略
配置节点、清洗规则与回源策略,并验证业务可用性。
上线防护并持续监控优化
切换解析正式上线,持续监控攻击情况并优化策略。