CDN(内容分发网络)其基本思路就是最大化的优化网络资源,尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈。通过在全国/全球建设IDC节点在现有的网络基础上构建一张智能虚拟的网络,该网络能够根据网络流量、节点负载情况情况、用户距离和业务响应时间等综合多种指标将用户的请求引流到最优的服务节点上。在享受着互联网以及CDN提供的便利的同时,安全风险也随之而来,作为互联网入口的CDN在愈发严峻的网络安全态势可以做些什么?
一、首先先来看看互联网用户经常面对网络攻击风险。
1. 1 DDoS攻击
谈到网络攻击,首当其冲应是DDoS类型攻击,它的攻击方式简单、直接、粗暴,通过大量肉鸡、伪造报文等手段直接拥塞业务和单位互联网出口上联带宽,导致正常业务请求无法抵达从而是企业服务无法正常提供。因此防御DDoS攻击仍然是企业和单位必然要考虑的问题。
1.2 Web攻击(网站攻击)
网站是企业和单位的门面,往往承载重要的业务和信息,也是黑客们攻击的重要对象,一旦被攻破,要么导致严重的数据泄露,要么网站页面被挂马,严重影响企业形象和数据安全。
1.3 CC防护
CC (HTTP DDoS)攻击,也称应用层DDoS攻击,主要通过向受害者的服务器发送大量请求(POST请求和动态查询请求效果更佳)来耗尽服务器的资源,如CPU,内存等,导致服务器响应变慢甚至不可用。
1.4 恶意爬取
恶意爬虫主要针对信息发布类型和电商类网站,通过爬取网站内的核心数据和内容、以及薅羊毛,竞价信息等对信息进行窃取,同时也加重服务器的负载。
除了以上,互联网用户还会面临着恶意扫描、 劫持、篡改、盗链等风险
二、面对这些网络安全问题,CDN在能发挥什么作用?
2.1 源站防护
用户接入CDN一般都采用NS,或者cname 方式,通过DNS解析通常会解析到CDN节点提供的服务IP,用户通过访问就近边缘节点来访问服务,通过CDN第一道防护,有效的隐藏了源站IP,并且CDN采用的分布式架构,当大规模恶意攻击来袭时,边缘节点作为第一道防线,大大降低了攻击强度,并能对恶意攻击进行有效拦截,把攻击尽可能的拦截在边缘,有效防护核心资产。
2.2 DDoS防护
CDN采用异地多节点分布式架构方式部署,有很好的抗压能力和稳定性。面对网络层面的DDoS,可以结合DDoS防护产品和全局调度能力分散流量压力,并把DDoS攻击流量调度到清洗节点进行流量清洗,有效保护网站。面对应用层DDoS攻击,即CC攻击,可以通过汇总分析访问日志,根据IP、URL、UA 、Header等多个维护进行统计分析和监控,并最终对恶意攻击进行拦截,有效保证正常业务量的访问。
2.3 web防护
CDN边缘节点结合云WAF构成边缘节点应用层防护能力,能有效应对SQL注入,XSS,webshell等web攻击,并且依托CDN架构可以快速响应漏洞,以及具有及时的漏洞修复能力。通过边缘云WAF识别业务流量中的恶意攻击特征,并进行清洗后将安全流量转发到源站服务器。
waf防护的策略有基于规则的访问控制、基于黑白名单的访问控制、基于url访问控制、基于地域的访问控制、WAF和源站高级防护,最终经过层层过滤,对源站进行更深层次的防护。
2.4 BOT防护
业务访问流量走到CDN边缘节点后,边缘节点会对业务请求的身份进行鉴别,通过收集客户端信息,以及客户端行为进行BOT鉴别,正常访问、搜索引擎、商业爬虫会被放行,恶意爬取将会被拦截,也可以通过JS验证、图片验证等方式验证客户端的真实性。
总之,除了以上提到的防护能力,基于CDN的边缘云防护也可以为企业和单位提供全链路的HTTPS+节点内容防篡改能力,保证客户端到源站全链路的数据传输安全。可以配置访问referer、User-Agent以及IP黑名单方式对客户端身份进行验证限制资源访问,也可以结合威胁情报库,IP画像等信息提供更全面的防护。
微信公众号,敬请关注!
