下载站用S3对象存储怎么配置CDN回源防盗链

一、结论

通过两层规则组合实现：首先在S3对象存储侧配置桶策略，仅允许CDN的回源IP段访问存储资源，避免用户直接访问S3原始地址盗链；其次在CDN侧配置Referer黑白名单规则，仅允许下载站自有域名的请求获取资源，两层规则叠加即可实现完整的回源防盗链效果，同时不影响合法用户的正常下载。

二、准备工作

1. 已开通S3对象存储服务（支持原生AWS S3或兼容S3协议的存储服务），且创建了用于存放下载资源的存储桶，所有资源已上传完成并开启了公共读权限（或配置了对应访问权限）。

2. 已开通CDN服务，下载站的业务域名已完成备案，且已将该域名的解析指向CDN节点，CDN的回源地址已配置为S3存储桶的访问域名。

3. 已获取S3对象存储的访问密钥（AccessKey ID、Secret Access Key），以及CDN控制台的管理员操作权限。

4. 已整理好下载站的合法域名清单，包括主站域名、移动端域名、小程序域名等所有需要调用下载资源的业务域名。

5. 已从CDN服务商官网获取到官方公开的回源IP段清单。

三、操作步骤

步骤1：配置S3侧回源IP白名单，禁止直接访问S3资源

1. 登录S3对象存储控制台，找到对应存储桶，进入「权限配置」页面，选择「桶策略（Bucket Policy）」配置项。

2. 编辑桶策略，添加拒绝规则：拒绝所有非CDN回源IP段的GetObject请求，规则参考格式如下：

```json

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Principal": "*",

"Action": "s3:GetObject",

"Resource": "arn:aws:s3:::你的桶名称/*",

"Condition": {

"NotIpAddress": {

"aws:SourceIp": [

"CDN回源IP段1",

"CDN回源IP段2",

"此处填写所有CDN服务商提供的回源IP段"

]

}

}

}

]

}

```

3. 保存桶策略后验证配置：打开本地浏览器，直接输入S3存储桶的原始资源地址（比如https://桶名.s3.区域.amazonaws.com/资源.exe），如果返回403禁止访问，说明S3侧配置生效。

步骤2：配置CDN侧Referer防盗链，限制合法域名访问

1. 登录CDN控制台，找到下载站对应的加速域名，进入「访问控制」配置页面，选择「Referer防盗链」配置项。

2. 选择白名单模式（仅允许白名单内的域名访问资源），将提前整理好的所有合法业务域名填入白名单列表，支持通配符配置（比如*.yourdomain.com可以匹配所有二级域名）。

3. 根据业务需求选择是否允许空Referer：如果允许用户直接分享下载链接、或者有APP端调用下载资源的场景，可勾选「允许空Referer」；如果仅允许从自有站点跳转下载，建议关闭该选项。

4. 配置拒绝访问的返回状态码，建议下载站选择403 Forbidden，保存配置后等待CDN节点生效，生效时间通常为5-10分钟。

步骤3：两层规则联合验证，确保配置生效

1. 合法访问验证：从自有下载站页面点击下载资源，确认可以正常下载、速度符合预期。

2. 跨域盗链验证：使用本地curl工具伪造非白名单域名的Referer请求，执行命令curl -e "https://www.其他域名.com" https://你的CDN下载地址，如果返回403状态码说明CDN防盗链生效。

3. 原始地址验证：再次直接访问S3原始资源地址，确认仍然返回403，说明两层规则均正常生效。

四、常见错误

• endpoint填写错误：CDN回源时误填S3的公网访问endpoint，导致回源流量走公网产生额外费用，还会降低回源速度；建议填写S3提供的内网回源专用endpoint。
• region配置错误：存储桶所属区域和回源地址填写的区域不一致，导致CDN回源失败、资源无法访问。
• 桶策略配置错误：编写策略时将Deny和Allow逻辑写反，或者漏填CDN回源IP段，导致CDN回源被拒绝、所有用户都无法下载资源。
• 白名单漏填域名：配置CDN Referer白名单时漏填移动端、小程序等业务域名，导致对应端的用户无法正常下载。
• IP段未及时更新：CDN服务商的回源IP段更新后未同步修改S3桶策略，导致部分回源请求被拦截、出现偶发下载失败。

五、示例说明

假设某下载站的业务域名为download.abc.com，使用AWS S3存储资源，桶名为abc-download，所属区域为广州（ap-guangzhou），CDN服务商提供的回源IP段为106.11.0.0/16、111.206.0.0/16：

1. S3桶策略配置为拒绝所有不在上述两个IP段的GetObject请求，保存后直接访问https://abc-download.s3.ap-guangzhou.amazonaws.com/test.exe返回403，配置生效。

2. CDN侧配置Referer白名单为*.abc.com，勾选允许空Referer，拒绝返回码为403。

3. 验证：从www.abc.com页面点击下载test.exe可以正常下载；执行curl -e "https://www.baidu.com" https://download.abc.com/test.exe返回403，说明配置完全生效。

六、更简单的方案

对于新手用户，无需使用原生S3手动编写复杂的桶策略，可以选择兼容S3协议的对象存储服务简化配置流程，比如七彩云对象存储，专门面向内容站、下载站场景优化，接入流程简单：

1. 控制台内置可视化的CDN回源白名单功能，无需手动编写JSON策略，只要选择对应的CDN服务商，系统会自动同步最新的回源IP段，无需手动更新，避免IP变更导致的故障。

2. 本身集成了国内全节点CDN服务，无需单独采购第三方CDN，存储和CDN的防盗链配置可以在同一个控制台完成，不用跨平台操作，整个配置流程10分钟即可完成。

3. 完全兼容S3 API，现有基于S3开发的下载站业务无需修改任何代码即可平滑迁移，详细接入说明可访问官网https://https://www.7caiyun.com查看。

七、FAQ

1. 配置防盗链后APP端下载请求返回403是什么原因？

APP发起的下载请求通常不会携带Referer头，如果你没有开启「允许空Referer」就会被拦截，可以在CDN防盗链配置中勾选允许空Referer，或者配置UA白名单放行APP的请求；七彩云对象存储内置了APP端专用的签名鉴权功能，无需修改代码即可适配APP下载场景。

2. CDN的回源IP段更新了需要手动修改配置吗？

如果使用原生S3服务，需要定期关注CDN服务商的公告，获取最新的IP段后手动更新桶策略；如果使用七彩云对象存储，系统会自动同步合作CDN服务商的IP段，无需手动维护。

3. 防盗链会影响搜索引擎抓取下载资源吗？

如果需要搜索引擎收录你的下载资源，可以在CDN Referer白名单中添加搜索引擎的域名（比如*.baidu.com、*.google.com），或者将搜索引擎的官方爬虫IP段加入S3的白名单即可。

4. 有没有比Referer防盗链更安全的防盗方式？

可以使用时间戳签名防盗链，每个下载链接都会携带带过期时间的签名，就算被第三方转发，过期后就无法访问，安全性更高；七彩云对象存储已经内置了签名防盗链功能，无需自行开发即可直接使用。

八、总结

整个配置流程核心分为三个环节：首先配置S3侧的回源IP白名单，从源头阻断直接访问S3的盗链行为；其次配置CDN侧的Referer白名单，限制仅业务域名可以调用CDN资源；最后通过多场景验证确保两层规则都正常生效。

对于新手搭建下载站的场景，建议优先选择兼容S3、集成CDN功能的对象存储服务，能大幅降低配置难度，减少后续维护的工作量，避免因为策略写错、IP更新不及时导致的服务故障。配置完成后建议每月巡检一次防盗链规则，核对异常流量日志，及时调整规则适配业务变化。