本文將詳細介紹如何為網站配置阿里云 CDN，核心目標是隱藏服務器的真實 IP 地址，防止其直接暴露在公網，從而有效提升網站的安全性。

一、寶塔面板準備工作

1. 確認網站部署狀態

• 博客域名 blog.ybyq.wang：確認網站正常運行在當前服務器 ***.***.***.***，并通過寶塔面板進行管理。

2. 寶塔中檢查網站配置

1. 登錄寶塔面板，進入網站菜單，確認 blog.ybyq.wang 站點已正常創建并可訪問
2. 檢查站點根目錄是否指向正確的網站文件路徑

二、配置阿里云 CDN

1. 添加域名到 CDN

1. 登錄 阿里云 CDN 控制臺，點擊添加域名，我的域名添加過，所以隨便填一個
   

2. 填寫以下信息：

   • 加速域名：blog.ybyq.wang（首次添加需在DNS解析中添加記錄值）
     

   • 業務類型：選擇圖片小文件均可，此步驟主要目的是接入 CDN

   • 源站信息：

     • 源站類型：IP
     • 源站地址：***.***.***.***（服務器真實 IP 地址）
     • 端口：80 或 443（根據站點監聽端口填寫）
     • 回源協議：選擇 HTTP 或 HTTPS（需與寶塔站點配置一致，若站點已開啟強制 HTTPS，則選擇 HTTPS）
       

3. 完成添加后，阿里云會分配一個 CNAME 地址

2. 配置 DNS 解析

1. 前往域名注冊商阿里云的 DNS 解析控制臺

2. 添加 CNAME 記錄：

   • 二級域名配置：找到 blog.ybyq.wang 的 A 解析記錄，將其類型修改為 CNAME，記錄值改為阿里云 CDN 分配的 CNAME 地址，主機記錄為二級域名前綴（例如 blog）
   • 一級域名配置：直接添加 CNAME 記錄，主機記錄填 @
   • 如果提示記錄沖突，刪除原來的記錄再設置新的

3. 等待 DNS 解析生效（通常需要幾分鐘到幾小時）
   

3. 配置成功確認

完成上述步驟后，可在阿里云 CDN 控制臺看到域名狀態為"正常運行"

三、寶塔面板安全加固（隱藏 IP 的關鍵步驟）

1. 禁止通過 IP 直接訪問

這是防止攻擊者繞過 CDN 直接訪問源站的核心措施：

1. 在寶塔面板中打開網站列表，找到對應 IP 的默認站點（通常為 ***.***.***.***）。如果沒有，可以新建一個以 IP 地址為域名的站點

2. 點擊設置 > 配置文件，修改 Nginx 配置，確保同時處理 HTTP 和 HTTPS：

   server {listen 80 default_server;listen [::]:80 default_server;server_name _; # 匹配所有未綁定的域名和直接 IP 訪問return 444; # 直接關閉連接，不返回任何信息，比 403 更安全
   }# 如果服務器開啟了 HTTPS (443)
   server {listen 443 ssl http2 default_server;listen [::]:443 ssl http2 default_server;server_name _;# 配置一個無效或自簽名的 SSL 證書，或指向不存在的證書路徑# 目的是讓通過 IP 的 HTTPS 訪問因證書錯誤而失敗ssl_certificate /etc/nginx/ssl/dummy.crt; # 確保證書文件不存在或無效ssl_certificate_key /etc/nginx/ssl/dummy.key;# 也可以直接返回錯誤，但證書錯誤通常能阻止連接建立return 444;
   }
   

   

2. 配置 SSL 證書

1. 進入 blog.ybyq.wang 的站點設置，選擇 SSL 選項卡
2. 申請或上傳證書（推薦申請 Let’s Encrypt 免費證書）
3. 開啟強制 HTTPS選項
   

四、驗證 CDN 生效

檢查 CDN 節點 IP

使用 ping 命令驗證 CDN 是否正確接管了網站流量：

ping blog.ybyq.wang

返回的 IP 應為阿里云 CDN 節點（非服務器真實 IP ***.***.***.***）

作者：xuan
個人博客：https://blog.ybyq.wang
歡迎訪問我的博客，獲取更多技術文章和教程。