華為云計(jì)算 云知識(shí) 5分鐘了解CDN安全防護(hù)
5分鐘了解CDN安全防護(hù)
時(shí)間: 2022-04-25 14:38:43
猜你想看:
實(shí)時(shí)語音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

 【CDN特惠專區(qū)】 

最近有同學(xué)擔(dān)心域名接入CDN后是否安全,源站是否存在風(fēng)險(xiǎn),是否會(huì)遭受各種網(wǎng)絡(luò)攻擊?

不用擔(dān)心,CDN提供了強(qiáng)大的安全防護(hù)措施,下面就給大家介紹華為云CDN幾種常見的安全防護(hù)。

 

HTTPS安全加速

通過配置加速域名的HTTPS證書,并將其部署在全網(wǎng)CDN節(jié)點(diǎn),實(shí)現(xiàn)HTTPS安全加速。

HTTP和HTTPS的區(qū)別是什么呢?

HTTP:HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的 數(shù)據(jù)加密 ,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文,就可以直接讀取其中的信息。

HTTPS:為了數(shù)據(jù)傳輸?shù)陌踩?,HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議,SSL依靠證書來驗(yàn)證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密。

優(yōu)勢(shì):HTTPS數(shù)據(jù)傳輸過程是加密的,安全性較好,能防止傳輸內(nèi)容被竊取。

不足:HTTP傳輸方式響應(yīng)速度快于HTTPS,因?yàn)镠TTP使用TCP三次握手,客戶端 和服務(wù)器只需要交換3個(gè)包,而HTTPS還需要加上SSL握手9個(gè)包。

配置HTTPS安全加速前,需要準(zhǔn)備SSL證書,CDN支持使用自有證書,也可以前往 SSL證書管理 購(gòu)買證書或管理托管證書。

CDN HTTPS安全加速具體配置方法請(qǐng)戳這里~

 

Referer防盜鏈

通過配置referer黑白名單對(duì)訪問者身份進(jìn)行識(shí)別和過濾,實(shí)現(xiàn)限制訪問來源的目的。

防盜鏈功能基于 HTTP 協(xié)議支持的 referer 機(jī)制,通過referer跟蹤來源,對(duì)來源進(jìn)行識(shí)別和判斷。用戶訪問加速域名網(wǎng)站內(nèi)容時(shí),訪問請(qǐng)求到達(dá)CDN節(jié)點(diǎn)后,CDN節(jié)點(diǎn)會(huì)根據(jù)配置的referer黑白名單,對(duì)訪問者的身份進(jìn)行識(shí)別和過濾,符合規(guī)則的可以順利訪問到該內(nèi)容。如果不符合規(guī)則,該訪問請(qǐng)求將會(huì)被禁止,返回403禁止訪問的錯(cuò)誤信息。

優(yōu)勢(shì):可以控制訪問請(qǐng)求的來源,比如某些頁面或域名過來的請(qǐng)求可以訪問,某些不能訪問,根據(jù)自己的需求靈活定制。

不足:referer信息可以偽造。

referer防盜鏈的具體配置方法請(qǐng)戳這里~

 

IP黑白名單

配置IP黑白名單,通過設(shè)置過濾策略,對(duì)用戶請(qǐng)求IP地址進(jìn)行過濾,從而限制訪問來源。

設(shè)置黑名單之后,除了黑名單中的IP地址都能訪問;設(shè)置白名單之后,只有白名單中的IP地址能訪問。

優(yōu)勢(shì):方法簡(jiǎn)單,效果明顯,能屏蔽可疑IP地址。

不足:有局限性,使用時(shí)必須知道訪問者的IP地址,適用的場(chǎng)景有限。

IP黑白名單的具體配置方法請(qǐng)戳這里~

 

URL鑒權(quán)

CDN分發(fā)的內(nèi)容默認(rèn)為公開資源,URL鑒權(quán)功能主要用于保護(hù)用戶站點(diǎn)資源,防止資源被惡意用戶下載盜用。華為云CDN提供了3種URL鑒權(quán)配置。

校驗(yàn)方法:

是否攜帶鑒權(quán)參數(shù)。如果沒有攜帶鑒權(quán)參數(shù),認(rèn)為請(qǐng)求非法,返回HTTP 403錯(cuò)誤。

時(shí)間校驗(yàn):判斷系統(tǒng)當(dāng)前時(shí)間是否在區(qū)間[timestamp, timestamp+有效時(shí)間]內(nèi)。超出該區(qū)間,認(rèn)為過期失效并返回HTTP 403錯(cuò)誤。

加密串校驗(yàn):時(shí)間校驗(yàn)通過后,則以sstring方式構(gòu)造出一個(gè)字符串。然后使用md5算法算出HashValue,并和用戶請(qǐng)求中帶來的md5hash進(jìn)行對(duì)比。結(jié)果一致則認(rèn)為鑒權(quán)通過并返回文件,否則鑒權(quán)失敗返回HTTP 403錯(cuò)誤。

3種鑒權(quán)方式的URL組成和鑒權(quán)串的加密算法有所差異。

A類鑒權(quán)的訪問URL構(gòu)成:http://DomainName/Filename?auth_key=timestamp-rand-uid-md5hash

B類鑒權(quán)的訪問URL構(gòu)成:http://DomainName/timestamp/md5hash/FileName

C類鑒權(quán)的訪問URL構(gòu)成:

格式一:http://DomainName/{/}/FileName

格式二:http://DomainName/FileName?md5hash=&timestamp=

 

優(yōu)勢(shì):鑒權(quán)通過后才被認(rèn)定為合法請(qǐng)求,否則視為非法請(qǐng)求,拒絕訪問。能有效保護(hù)CDN站點(diǎn)資源。

詳細(xì)的URL鑒權(quán)配置以及參數(shù)說明請(qǐng)參考URL鑒權(quán)。

 

CDN WAF 聯(lián)合配置

 

WAF的作用

Web應(yīng)用防火墻 (Web Application Firewall,WAF),通過對(duì)HTTP(S)請(qǐng)求進(jìn)行檢測(cè),識(shí)別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應(yīng)用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請(qǐng)求偽造等攻擊,保護(hù)Web服務(wù)安全穩(wěn)定。

購(gòu)買Web應(yīng)用防火墻后,在WAF管理控制臺(tái)將域名添加并接入WAF,即可啟用Web應(yīng)用防火墻。啟用之后,您網(wǎng)站所有的公網(wǎng)流量都會(huì)先經(jīng)過Web應(yīng)用防火墻,惡意攻擊流量在Web應(yīng)用防火墻上被檢測(cè)過濾,而正常流量返回給源站IP,從而確保源站IP安全、穩(wěn)定、可用。

CDN+WAF配置原理

先將 域名解析 到CDN,再將CDN回源地址修改為WAF的“CNAME”,這樣流量才會(huì)被CDN轉(zhuǎn)發(fā)到WAF,WAF再將流量轉(zhuǎn)到源站,實(shí)現(xiàn)網(wǎng)站流量檢測(cè)和攻擊攔截。配置完成后,流量會(huì)先經(jīng)過CDN,再轉(zhuǎn)發(fā)至WAF,實(shí)現(xiàn)聯(lián)動(dòng)防御。

優(yōu)勢(shì):能有效識(shí)別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應(yīng)用漏洞攻擊、CC攻擊、惡意爬蟲掃描、跨站請(qǐng)求偽造等攻擊。

版權(quán)聲明:本文章文字內(nèi)容來自第三方投稿,版權(quán)歸原始作者所有。本網(wǎng)站不擁有其版權(quán),也不承擔(dān)文字內(nèi)容、信息或資料帶來的版權(quán)歸屬問題或爭(zhēng)議。如有侵權(quán),請(qǐng)聯(lián)系contentedit@huawei.com,本網(wǎng)站有權(quán)在核實(shí)確屬侵權(quán)后,予以刪除文章。

5分鐘了解CDN安全防護(hù)

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失?。≌?qǐng)稍后重試!