主域名、辅助域名与安全性分析

本文将结合 Cloudflare 与国内 CDN 的分流方案，详细讲解主域名与辅助域名的作用，以及如何规避源站 IP 暴露风险，实现高效、安全的网站加速架构。

一、分流加速的三层结构

当前主流的分流加速方案通常采用三层结构：

1. 入口层（主域名）
   用户统一访问主域名（如 www.blktech.cn），通过 DNS 分流，自动判断用户来自国内还是国外。

2. 加速层（CDN/Cloudflare）

   • 国内用户流量走国内 CDN，提高访问速度和稳定性。

   • 国外用户流量走 Cloudflare，保障全球访问体验。

3. 内容层（源站/辅助域名）
   源站（如 source.blktech.cn）只对 CDN/Cloudflare 开放，隐藏真实服务器，提升安全性。

二、为什么要用辅助域名？

你可能会问：能不能只用主域名做分流？为什么还要多设一个辅助域名？

辅助域名的好处

• 安全隔离：源站只绑定辅助域名，只允许 CDN/Cloudflare 回源，外部无法直接访问，极大降低被攻击风险。

• 灵活扩展：不同加速平台通过同一个辅助域名回源，方便后续切换或扩展，无需频繁修改主域名解析。

• 简化证书管理：源站证书只需为辅助域名申请，主域名的证书由 CDN/Cloudflare 负责，降低管理难度。

• 降低误操作风险：主域名与源站配置分离，减少因误操作导致全站不可用的风险。

• 便于监控排查：可以单独监控辅助域名的访问和性能，更易定位问题。

三、直接用主域名做源站的风险

如果你让主域名既作为用户入口，又作为 CDN/Cloudflare 回源目标，会带来什么问题？

• 真实 IP 容易暴露：主域名如果曾经或现在直接解析到服务器公网 IP，任何人都可以通过 DNS 查询、历史记录、证书透明日志等方式获取真实 IP。

• 绕过防护：攻击者可直接访问服务器 IP，绕过 CDN/Cloudflare，发起攻击。

• 访问控制难度大：很难只允许 CDN/Cloudflare 的 IP 访问主域名，容易误伤正常用户。

• 配置复杂：主域名既对外服务又做回源，证书和 Host 配置容易混乱。

四、DNS 解析与 IP 暴露

DNS 解析记录是公开的。如果主域名的 DNS 记录（A/AAAA）直接指向服务器公网 IP，任何人都能通过 DNS 查询工具查到你的真实 IP。即便后来解析到 CDN，只要历史上暴露过，IP 也可能被第三方收录。

避免方法：

• 主域名 DNS 只指向 CDN/Cloudflare 的 CNAME，不直接指向服务器。

• 源站用辅助域名，只允许 CDN/Cloudflare IP 访问。

五、最佳实践总结

1. 主域名作为用户访问入口，通过 DNS 分流到国内 CDN/Cloudflare。

2. 源站绑定辅助域名，仅允许加速平台回源访问。

3. 主域名始终不直接解析到源站 IP，防止真实 IP 泄露。

4. 证书分别由 CDN/Cloudflare 和源站（辅助域名）管理，简化配置。

通过“主域名入口 + 辅助域名源站 + DNS 分流 + 双重加速”的方案，无需改变网站结构，即可实现国内外智能分流访问，兼顾速度与安全。