摘要：# 高防CDN的“门卫”哲学：黑白名单与地理围栏，到底怎么用才不坑？ 我前两天帮一个做跨境电商的朋友看配置，他那套高防CDN，钱没少花，该被打瘫的时候照样瘫。我一看规则就乐了——好家伙，黑白名单设得跟闹着玩似的，地理围栏更是直接照搬服务商的“推荐模板”。…

高防CDN的“门卫”哲学：黑白名单与地理围栏，到底怎么用才不坑？

我前两天帮一个做跨境电商的朋友看配置，他那套高防CDN，钱没少花，该被打瘫的时候照样瘫。我一看规则就乐了——好家伙，黑白名单设得跟闹着玩似的，地理围栏更是直接照搬服务商的“推荐模板”。这哪是防护，这分明是给攻击者开了个VIP通道，还贴心地指了条明路。

说白了，很多人在用高防CDN时，对黑白名单和地理围栏这两个最基础、也最核心的功能，存在巨大的误解。它们不是摆设，更不是“开了就行”的按钮。用好了，是成本最低、效果最猛的精准防御；用错了，轻则误杀正常用户，重则让整套防护形同虚设。

今天咱就抛开那些厂商PPT里的漂亮话，聊聊这两个“门卫”在实战中到底该怎么使。

一、黑白名单：别把它当成“万能开关”

先说个反直觉的结论：在DDoS防护里，白名单往往比黑名单更重要，也更危险。

黑名单：你的“通缉令”，但别乱贴

很多人的第一反应是：“把攻击IP都塞进黑名单不就行了？”——理想很丰满，现实很骨感。

• “低配”黑名单的坑： 你手动加IP？面对每秒数十万IP变化的CC攻击，你加得过来吗？这种手动模式，也就防防那种用固定IP对你做端口扫描的“脚本小子”，真遇上攻击，屁用没有。
• “高配”黑名单的正确姿势： 真正有用的黑名单，是动态的、基于行为的。比如：
  • 频率阈值： 单个IP每秒请求超过200次（这个数得根据你业务来调，别瞎抄），自动拉黑一段时间（比如5分钟）。
  • 行为特征： 专门访问不存在的页面（扫描行为）、User-Agent异常、不带Referer的密集API调用……这些都能作为触发条件。
  • 关键点： 拉黑不是永久封禁，一定要设自动过期时间。攻击IP往往是肉鸡，今天它是坏的，明天可能就正常了。永久封禁只会让你的黑名单库无限膨胀，增加系统负担。

我见过最离谱的配置，是有人把0.0.0.0/8（整个A类地址段，包含大量内网和保留地址）都加进了黑名单。结果呢？他们公司自己用VPN出国的员工，全都访问不了自家网站了。这简直是自断经脉。

白名单：信任的“VIP通道”，也是最大的风险点

白名单才是精髓，但也最要命。它的逻辑是：“凡是不在白名单里的，一律按可疑处理。”

什么时候该用白名单？

1. 核心管理后台： 比如网站/wp-admin，/admin这些路径，只允许公司办公室IP、运维人员家庭IP访问。这一步，能挡住99%的针对后台的爆破和攻击。
2. 关键API接口： 只允许你的合作伙伴服务器IP、自家移动端App的固定出口IP调用。其他来源的请求，直接在高防CDN边缘节点就丢弃，流量都到不了源站。
3. 金融、政务等极端场景： 业务用户群体极其固定，完全可以基于已知的用户IP段来构建白名单。

白名单的“自杀式”陷阱：

“我把CDN节点IP加到源站白名单里，总安全了吧？”——这是标准操作，但也是唯一应该出现在源站防火墙上的白名单。 千万别把业务用户IP加到CDN层的白名单里，除非你业务极其特殊。否则，一个新用户访问，就因为IP不在名单里，直接被拒之门外，这业务还做不做了？

说白了，黑白名单的核心思想是：黑名单用于应急响应和自动封禁高频攻击源；白名单用于保护极度敏感、访问源绝对固定的核心区域。 把它俩用反了，或者滥用，防护效果立马归零。

二、地理围栏：不是“地图炮”，是精准的流量筛子

地理围栏（Geo-Blocking）这功能，听起来很酷：画个圈，只允许或禁止某个国家、地区的访问。但很多人用它，就是简单粗暴地“禁止所有海外IP访问”。

这种一刀切，属于典型的偷懒，而且后患无穷。

实战策略：分层、动态地“画圈”

1. 第一层：粗筛，屏蔽“永远不正常”的区域。

   • 这是唯一可以稍微“地图炮”的地方。比如，你的业务明明只在国内，那么通过分析历史攻击日志，你会发现，某些东欧、东南亚的IP段，可能长期、持续地对你的业务进行扫描和试探性攻击。对于这些明确无任何正常业务，且攻击高发的国家/地区，可以直接在全球拦截规则里屏蔽。这一步能帮你过滤掉超过50%的垃圾和试探流量，减轻后续清洗压力。

2. 第二层：细筛，业务导向的动态规则。

   • 这才是地理围栏的价值所在。举个例子：
     • 电商大促： 你发现某个商品的抢购作弊脚本，大量来自某个特定省份。你可以在活动期间，临时对该省份的访问频率进行更严格的限制（比如，其他省份用户每秒可请求10次，该省份限制为2次），或者对来自该地区的、访问特定抢购链接的请求，进行更强的人机验证。
     • API接口防护： 你的主站服务全球，但某个重要的数据查询API，按理说只应有国内合作方调用。你可以给这个特定的URL路径设置地理围栏，仅允许中国内地IP访问。
   • 关键： 围栏要绑定到具体的URL或业务，而不是整个网站。并且，大部分规则应该是临时性、动态启用的。

3. 一个必做的“例外”通道： 无论你设置了多严格的地理封锁，一定要为搜索引擎蜘蛛（Googlebot, Baiduspider等）和合法的全球监控工具（如UptimeRobot）设置白名单或例外规则。不然，你的网站在搜索引擎眼里就成了“不可访问”，SEO直接完蛋。这个坑，栽进去的人可不少。

三、组合拳怎么打？一个真实的配置思路

假设你是一个国内的游戏公司，服务器在杭州，玩家主要在国内，但有少量海外华人玩家。

1. 源站层面（服务器防火墙）：

   • 白名单： 只放行高防CDN服务商提供给你的所有回源节点IP段。 其他任何IP，包括你自己的办公IP，都不要直接访问源站，必须通过CDN。这是“源站隐藏”的基石。
   • 黑名单： 基本不用设，交给CDN去做。

2. 高防CDN层面：

   • 全局黑名单（动态）： 开启基于频率和异常行为的自动封禁，设置5-30分钟不等的自动解封。
   • 全局地理围栏（第一层）： 直接屏蔽在历史日志中攻击占比高、且无任何正常业务的国家（如某些东欧国家）。
   • 精细化规则（第二层）：
     • 对游戏登录API (/api/login)：设置严格的频率限制（如每IP每分钟10次），并对非中国内地IP的登录请求，强制弹出滑块验证码。
     • 对游戏支付回调接口 (/api/payment/callback)：使用白名单，只允许微信支付、支付宝等合作方的官方回调服务器IP段访问。
     • 对官网和公告页 (/news/)：放开限制，全球可访问，只做基础的CC防护。
   • 例外规则： 确保百度、谷歌等搜索引擎蜘蛛畅通无阻。

最后说句大实话： 没有任何一套规则可以一劳永逸。真正的实战策略，核心在于“监控-分析-调整”这个闭环。 你得经常看高防CDN提供的攻击日志和流量报表，看看攻击模式又有什么新花样，你的规则是误杀了正常用户，还是漏过了攻击。然后，像打补丁一样，去微调你的黑白名单和地理围栏。

别把配置当成一次性的作业，它是个需要持续维护的“安全策略库”。一开始可能复杂点，但一旦跑顺了，你会发现，用好了这两个基础功能，很多小规模攻击在门口就被解决了，根本轮不到后面昂贵的“流量清洗”出场，这钱省得才叫一个踏实。

行了，道理就这么多，赶紧去看看你的后台配置吧，说不定现在正开着门迎客呢。