cdn怎么使用（正确使用cdn教程）

2022-07-22 20:28:07 浏览：328 作者：管理员

【商户信息】

类目：知识大全

联系人：

微信号：
Q Q 号：
手机号：
浏览量：

328

【货源详情】

为了使用户更好地理解和使用CDN产品，开设了CDN应用实践的高级系统课程。 12月17日，AlibabaCloud (阿里巴巴云) CDN产品专家彭飞在线分享《正确使用CDN，让你更好规避安全风险》议题，内容主要包括以下几个方面：

使用CDN常见的误解和问题是什么？ DOS攻击是如何演变的？在CDN场景中更有效的防护方法是什么？ CDN边缘安全系统是否可以通过阿里巴巴云(AlibabaCloud )防止客户攻击？面对最近潜在的安全风险，该怎么办？

客户体验和安全稳定是企业的两大核心诉求

AlibabaCloud (阿里巴巴云) CDN自正式商业化以来，已服务全球30万客户。其中最核心的两个场景是网站和APP业务。在该业务中，客户的核心诉求还相对集中，一方面希望为用户提供更好的体验，实现不同运营商网络下分布的终端用户网间接入效率、广泛分布的用户一致性接入需要解决突发性流量的灵活扩展以及弱网络环境下的传输性能等问题。另一方面，客户希望业务是安全稳定的运营。此稳定性包括提供SLA可靠性、解决网络DDoS和CC攻击、防止恶意访问、劫持和篡改内容。综上所述，用户体验和安全稳定是企业的两大核心诉求。

CDN是企业常用的因特网服务之一，主要提供内容发布服务。 CDN是帮助用户缓解互联网网络拥塞、提高互联网业务响应速度、改善用户商务体验的重要手段。 CDN还可以使用反向代理技术有效地保护用户的源站，并防止源站被暴露或黑客攻击。 CDN庞大的服务节点自然为用户提供了一定的防护能力，并得到了相应的稳定性提升。默认情况下，它使用整个CDN大网络的网络能力和计算能力来有效地抵御攻击者的攻击。

关于CDN安全的那些误区和问题

如上所述，CDN节点可向用户提供一定的防护能力，但实际上在使用CDN的过程中存在常见的误解。例如，最初的误解是，用户认为在使用CDN之后，如果有效地保护源站，则不需要额外购买安全服务，并且可以使用CDN平台抵抗攻击。第二个误解是，用户使用CDN后，不需要进行其他配置，有时会攻击并自动抵制CDN，与此无关，他认为对其影响不大。

伴随着这两个误解，会产生几个问题。例如，第一个问题是，当用户受到DDoS攻击时，CDN可以将用户的业务切入沙箱(sandbox )以保证总体服务质量，网站的业务质量会受到严重影响，从而影响域名之后的CDN的加速服务质量第二个问题是，当用户受到刷型CC攻击时，由于请求非常分散，CDN认为客户的正常业务业务业务正在增加，尽力提供服务，短时间内大量的带宽激增，客户为此支付了大量的账单

正确地认识网络攻击

DDoS攻击在客户在线运营过程中不可避免地会出现网络安全威胁，最典型。 DDoS的核心原理是什么？它是如何发展的呢？我们为了在CDN中给予更好的防护，需要详细的理解。

DDoS的核心目标是造成业务损失，受害目标是不能对外进行服务，导致业务损失。本质是消耗目标系统的资源，具体有两种实现方式。一个是拥塞有限的带宽，另一个是消耗有限的计算资源。本质上，CDN为用户提供的是这两种资源。一个是分发的频带资源，二个是在节点上提供相应的计算力，所以攻击本身消耗了这个。

其中三类攻击包括：

一、网络流量型攻击

该攻击利用UDP、SMP协议等协议的漏洞，容易构建过载大的消息以堵塞网络入口，使正常请求难以进入。

二、耗尽计算资源型攻击——连接耗尽

典型的是网络层CC，利用HTTP协议的3次握手，向服务器发送一半的3次握手请求，之后的几个请求不再发送，所以服务器会等待，消耗大量的资源，连接服务器

三、耗尽计算资源型攻击——应用耗尽

典型的是七层APP应用层CC攻击。通过该攻击发出的攻击请求，从信息来看，看不出他具有非常明显的畸形或有害性，很难做出相应的判断。七层CC都是正常的业务要求，同时CDN只缓存内容，不理解业务逻辑。此外，业务还经常遇到客户业务突发。 CC攻击时，如果没有特别的错误代码异常，从CDN来看与通常的业务上的量相同，因此提供服务。此外，CC攻击还会形成突发带宽峰值，产生高额账单，给客户带来巨大的经济损失。

DDoS攻击的演进

了解攻击的本质后，如果你看看攻击的整个发展过程，你就会更好地理解攻击的原理。进化大致可以分为四个阶段：

第一个阶段：DoS攻击

基于单个服务器发送攻击流量。在这种情况下，由于流量规模在500Mbps和10Gbps之间，传统服务器的硬件、服务性能和带宽水平有限，因此这种流量规模可能会导致服务器全面瘫痪或终止。对传统硬件设备进行直接流量清洗单点防护，返回服务器即可达到防御目的。也可以阻止相应的原始IP。

第二阶段：DDoS攻击

也就是说，是分布式的DoS攻击，其攻击源不是单一的服务器，而是僵尸网络的团体。黑客通过系统漏洞在网络上捕获大量肉鸡，并使用这些肉鸡在不同网络上同时发起攻击，带宽规模可能从10Gbps到100Gbps。针对这种分布式僵尸网络攻击，防御手段通常是在多点大流量清洗中心进行近端流量抑制，然后将清洁流量返回服务器。

第三阶段：DRDoS，分布式反射型拒绝服务攻击。

互联网上的肉鸡可能很难捕获，但一旦被发现，这个周期很快就会失去。因此，这些僵尸网络在控制一定的这个周期数后，通过反射机制对目标主体进行攻击。反射的主要机制是网上公共真实存在的设备，在处理协议的过程中可能会形成攻击流量成本的扩大。例如，请求NTP 10K返回50K，将请求的源地址更改为目标服务器，所有终端认为是受害主机在请求，所有请求返回到受害主机。由于整个流量可能在100Gbps到2Tbps之间，对这类攻击一个是通过许多协议源进行流量阻断，另一个是通过全局分布的DDoS进行相应的防御。

第四阶段：未来发展

未来，5g、IPv6、IoT技术的发展，将使单位攻击能力提高10倍，公共网络IP数量呈指数增长，导致潜在的肉鸡无处不在，是我们面临的风险。因此，未来的攻击规模有可能达到2Tbps以上。

CDN场景中应该怎么去更加有效的防护？

沿着以上两个核心场景来看，一个是拥塞带宽，另一个是耗尽资源。

对于拥塞有限的带宽入口等攻击，本质上必须保持在通信上。 CDN天然具有丰富的节点资源，使用分布式的网络将攻击分散到不同的边缘节点，同时在近端清洗后返回服务器端。

对于耗尽有限资源的攻击，本质上必须能够快速可视化攻击，并且能够屏蔽相应的特征。只有CDN不能很好地解决问题，需要CDN节点上的部署智能、准确地检测DDoS攻击，自动化从调度攻击到DDoS高防御的流量洗涤。在这种情况下，需要购买防DDoS的产品。

如果用户需要更专业的安全服务，可以选择云安全的产品(如DDoS )，因为典型的CDN仍然是内容分发产品，而不是安全产品，也不受安全服务约束。

那么，具体阿里云CDN结合云安全的产品之后，能够提供怎样的安全防护体系呢？

政企安全加速解决方案是基于Alibaba云(阿里巴巴云) CDN构建的边缘安全系统，核心能力是加速的，但不仅仅是加速。加速是总体方案的基础，依托AlibabaCloud (阿里巴巴云)全站加速平台，通过自动化动静分离、智能路由、专用协议传输等核心技术，提高静态混合站点全站加速效果。在加速的基础上，为客户提供waf APP应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输、高可用性安全、安全合规六方面的安全能力，自客户业务流量进入CDN产品体系以来，客户

CDN边缘安全——网络层与应用层双重安全

一、网络层

银行、证券、保险等金融业业务的上线已经成为常见的业务办理模式，客户的金融网银、网上业务办理业务一般多为网络攻击，遭遇DDoS网络攻击的场景并不多见，但DDoS攻击时有发生因此，一般银行客户在源端引入DDoS防护能力的同时，在CDN的边缘分发端，利用CDN大量分散的节点优势提供边缘DDoS防护能力，在边缘检测到DDoS攻击实现攻击阻断，保护源端免受攻击的冲击最终实现，有无攻击CDN发布，攻击DDoS防护。

CDN的边缘节点有基础的对d的防护能力。当用户当前的攻击流量比较高，达到用户设置的阈值时，可以自动检测当前攻击的流量，通过智能调度方式将当前的所有恶意请求解析为高防御的IP。高IP防护产品进行流量攻击检测和攻击防护，整个过程实现了自动化。

整个业务流程如下

客户需要分别开通CDN和DDoS的高防产品，将域名配置在两个产品上，然后在CDN端联动配置高防端生成的日程CNAME。构成后可以进行无攻击的CDN发布，具有攻击DDoS防护的效果

遇到攻击时，首先自动丢弃非80|443端口上的非正常通信。第二，CDN智能识别网络层攻击行为，准确，实时将DDoS攻击区域流量切换到高防御服务，整个过程完全自动化，无需用户干预；第三，高防侧用户可享受高达1T以上的DDoS防护和清洁能力，以及250W QPS以上的防护能力

攻击结束后，CDN自动将流量重新调度到CDN网络，实现正常的业务分发

如上所述，可以完全且顺利地实现CDN和高防御的联动，实现无攻击的CDN发布，有攻击的DDoS防护。

二、应用层

零售客户通过网络进行产品宣传和销售已经成为一种常见的销售模式，无论是企业官网、电商平台还是运营活动页面，只要是面向互联网的业务都是不可避免的。经常遇到Web、CC、刷攻击，严重影响顾客体验、稳定性。客户在源站点部署WAF功能以保护源站点。同样，在CDN分发端，希望在云中进行Web安全。客户优先打开观察模式，通过云感知网络攻击风险。然后将源站策略逐步调成灰度，实现多级防护结构，保证源站安全。

AlibabaCloud (阿里巴巴云) CDN团队协同云安全团队，将多年沉淀的云WAF能力注入CDN边缘节点，实现网络攻击的边缘安全。

众所周知，CDN产品一般由两层节点组成多级分发体系，边缘节点更接近客户，返回源上层节点与源站交互获取源站内容，在源节点与边缘节点之间形成多级缓存，提高命中率目前，云WAF能力已注入CDN源节点，针对动态源请求，保护OWASP Top10的威胁，如SQL注入、XSS跨网站等常见Web攻击；客户还可以享受0天漏洞更新功能，并在24小时内提供高危漏洞虚拟补丁程序保护。

但是，只解决源保护就足够了吗？发生恶意刷量、恶意爬网、大文件CC攻击场景时，只影响CDN边缘节点，要求不通过L2，会产生大量下行带宽，大大提高客户的带宽成本。因此，CDN在边缘节点提供频率控制、机器通信管理能力。频率控制能力允许用户定制防护规则，有效识别异常高频接入，并在边缘保护免受CC攻击。通过设备流量管理能力，识别恶意爬虫、刷软件等设备的流量，有效降低下行带宽，节约成本。

这两个功能允许CDN向用户提供相对立体的APP应用层保护能力。

希望能更现实地理解，根据实际需要进行配置。以下为CDN频率控制、区域封锁、DDoS联动功能钉钉群，可扫码进入群申请开通。同时，大家也可以在控制台上开通CDN WAF功能，享受相应的服务。对于对安全有更大需求的政企客户，欢迎政企加入安全加速产品交流钉钉集团，联系集团内部设计人员获得更充分的建议。