网络的普及为生活带来极大便利,民众能够在不出门的情况下透过网络完成各种大小事务。线上服务已成为日常生活中不可或缺的一部分,提供线上服务的供应商为了因应庞大的客户流量,会选择部署CDN(Content Delivery Network,内容传递网络)来提升网站效能。然而,随著网络攻击事件频传,网站安全问题日益受到重视。CDN作为加速网站的普遍被采用的服务,如何在提升网站速度的同时,实现基本的安全防御呢?本文将举出几个CDN的安全防护功能。
一、CDN的基本架构
CDN(Content Delivery Network)是内容传递网络的缩写,全球部属多个节点服务器连接高速网络,让用户连网时自动选择离使用者最近的节点,提供更快速的网站内容递送,并且可降低单一源站服务器的负担,强化网站的稳定性。
二、CDN的安全防护功能
CDN除了优化网站传递的速度,并可以透过多重保护措施进行网站安全防护:****
1. CDN 节点服务器
CDN的多台节点服务器不仅用于加速网站内容传递,还可以避免单一服务器受到攻击时整个网站服务瘫痪的风险,多节点的特性也缓解L3/L4的DDoS流量攻击。此外,CDN服务器在源站前面,隐藏了源站的IP位置,大幅减低源站IP暴露在外而遭受攻击的风险。
2. SSL 加密凭证验证
CDN传输过程中,可透过SSL加密凭证验证来源服务器的身份,建立安全的加密连线,可以有效确保用户浏览的网站正确性,确保用户与网站之间通信的安全性。
3. WAF 防火墙防御
CDN的WAF,即网页应用程式防火墙,透过监控并过滤网站传输的Http/ Https请求,有效防止L7的网络攻击,部分CDN厂商防范像是机器人攻击、OWASP Top 10等攻击方式。
针对上述攻击,WAF可自行设置防护规则,如建立黑/白名单、封锁异常存取行为等,透过预先封锁恶意请求,有效阻绝攻击。此外WAF的速率控制(rate-limiting) 藉由限制特定IP或API,在一定时间范围内重复同个动作的频率,达到阻止某些类型的恶意存取行为。
机器人攻击是指网站进行大量自动化请求,以消耗网站资源、降低网站效能或进行其他恶意行为。部分CDN额外提供Bot功能,可机器学习侦测变型的攻击、检查节点的爬虫流量并抵御恶意爬虫,进行有效防护策略。
三、德迅云安全---安全加速SCDN
AI+行为分析检测
在OWASP TOP 10防御的基础上,引入AI防御能力,提高漏洞检出率,降低安全事件误报率,快速响应安全威胁。
安全能力开放
全面开放自定义规则安全能力,引入语义解析引擎,用户可以通过正则或者字符串的方式,自定义安全防护策略,满足个性化防御需求。
安全可视化
默认提供详细报表分析、全量日志查询和告警功能,全面了解业务带宽使用情况,业务安全情况,快速决策和处置安全问题。
高可靠、高可用的服务
后端自动监控业务可靠性,动态调度,提供高可靠、高可用的WAF防护服务。
产品功能
Web攻击防护
OWASP TOP 10威胁防护: 有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护。
智能语义解析引擎: 提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XSS攻击检测能力。
AI检测和行为分析: 通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。
应用层DDoS防护
CC、HTTP Flood攻击防御
威胁情报库: 通过大数据分析平台,实时汇总分析攻击日志,提取攻击特征并进行威胁等级评估,形成威胁情报库。
个性化策略配置: 如请求没有命中威胁情报库中的高风险特征,则通过IP黑白名单、访问频率控制等防御攻击。
日志自学习: 实时动态学习网站访问特征,建立网站的正常访问基线。
人机校验: 当请求与网站正常访问基线不一致时,启动人机校验(如JS验证、META验证等)方式进行验证,拦截攻击。
慢连接攻击防御: 对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。
对Slow Post攻击,通过检测请求小包数量阈值进行防护。
合规性保障
自定义防护规则: 用户可以对HTTP协议字段进行组合,制定访问控制规则,支持地域、请求头、请求内容设置过滤条件,支持正则语法。
网页防篡改: 采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。
访问日志审计: 记录所有用户访问日志,对访问源进行TOP N,提供趋势分析,可以根据需要提供日志下载功能。
数据防泄漏: 对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。
HTTP流量管理
支持HTTP流量管理: 可以设置源IP或者特点接口访问速率,对超过速率的访问进行排队处理,减缓服务器压力。
请求头管理: 可以根据业务需要对请求头和响应头进行处理,可进行请求头替换或者敏感信息隐藏设置。
安全可视化
四大安全分析报表: 默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表,满足业务汇报和趋势分析需求。
全量日志处理: 提供全量日志查询和下载功能,可以通过OpenAPI接口获取实时日志或离线日志信息。
实时数据统计: 提供基于均值和峰值带宽统计信息,提供攻击带宽和正常占比,随时关注业务状况。提供多种组件,了解业务监控和核心指标变化情况。
