在CDN的边缘节点具备基础的抗D的防护能力 。如果用户当前的攻击流量比较高,达到了用户设置的阈值之后,就可以自动化的检测到当前的攻击的流量,并且通过智能调度的方式,将当前恶意的请求全部解析到高防的IP 。高防IP的产品去做流量的攻击检测,以及攻击的清洗防护,整个过程是自动化实现 。
整个业务流程是:
- 客户需要分别开通CDN和DDoS高防产品,并将域名配置在两个产品中,其次,将高防侧生成的调度CNAME在CDN侧进行联动配置 。配置后即可实现无攻击CDN分发,有攻击DDoS防护的效果
- 在遇到攻击时,首先,自动化丢弃非80|443端口非正常流量,第二,CDN会智能识别网络层攻击行为,精准,实时将DDoS攻击区域流量切换到高防服务,整个过程完全自动化,无需用户介入;第三,在高防侧用户可以享受最高超过1T的DDoS防护和清理能力,以及超过250W QPS的防护能力
- 当攻击结束后,CDN将自动将流量重新调度回CDN网络,实现正常业务分发
文章插图
二、应用层
零售客户通过线上电商进行产品宣传和售卖已经成为一种常见的销售模式,无论是企业官网,电商平台,运营活动页面,只要是面向互联网业务无可避免的,经常经常遭遇Web,CC,刷量攻击,对客户体验,稳定性产生较大影响 。客户在源站部署WAF能力,保护源站 。同样,在CDN分发侧,希望在云端进行Web安全防护 。客户会优先开启观察模式,在云端感知到网络攻击风险,然后,逐步灰度源站策略,实现多级防护结构,保证源站安全 。
阿里云CDN团队与云安全团队合作,将沉淀多年的云WAF能力,注入到CDN边缘节点,实现WEB攻击的边缘安全防护 。
文章插图
大家都知道,CDN产品一般由2层节点构成多级分发体系,边缘节点更靠近客户,回源上层节点与源站交互获取源站内容,回源节点和边缘节点之间形成多级缓存,提升命中率 。当前,云WAF能力已经注入到CDN回源节点,针对动态回源请求,防护OWASP Top10威胁,例如:SQL注入,XSS跨站等常见Web攻击;同时客户还能享受到0 DAY漏洞更新能力,24小时内提供高危漏洞虚拟补丁防护 。
然而仅能解决回源防护就足够了吗?如果出现恶意刷量,恶意爬取,大文件CC攻击场景,仅会对CDN边缘节点产生影响,请求不经过L2,会产生大量下行带宽,极大提升客户的带宽成本 。所以,CDN在边缘节点提供频次控制,机器流量管理能力 。通过频次控制能力,用户可以自定义防护规则,有效识别异常的高频访问,边缘抵御CC攻击 。通过机器流量管理能力,识别恶意爬虫,刷单软件等机器流量,有效降低下行带宽,节约成本 。
通过以上两层能力,CDN可以为用户提供较为立体的应用层防护能力 。
希望大家能够更实际的去了解,并根据实际需求情况进行配置 。以下是CDN频次控制、区域封禁、DDoS联动功能的钉钉群,可以扫码进群进行申请开通 。同时,大家也可以在控制台开通CDN WAF功能,享受到相应服务 。对于对安全有进一步需求的政企客户,欢迎加入政企安全加速产品交流钉钉群,联系群中的架构师获得更充分的建议 。
秒懂生活扩展阅读
- 服务器能干嘛
- 如何防御EMP攻击
- 路由器设置正确连接服务器超时
- 抖音服务器升级中是什么意思
- BS和CS分别表示什么意思
- 如何进入服务器电脑的桌面
- 全点防御的动漫叫什么
- 连接不上远程服务器
- 防御机制由什么采用
- 机柜上的U是什么意思