في الآونة الأخيرة، اتصل بي عميل قديم اتصل بي في منتصف الليل، وقال إن الموقع توقف فجأة، وارتفعت حركة المرور إلى 100 جيجابت في الثانية، ونظرة هي DDoS، وجدران الحماية التقليدية لا يمكن أن تحمل، اقترحت على الفور أنه على CDN عالية الدفاع، والتي تباطأت فقط. في هذه الأيام ، هجمات الشبكة شائعة مثل الأكل ، ليس لديك حماية موثوقة ، دقائق لتتعطل دون اتصال بالإنترنت ، لذلك سأقوم اليوم بتذمر الوصول إلى CDN عالية الدفاع إلى العملية برمتها ، من اختيار مزود الخدمة إلى حل التكوين ، خطوة بخطوة لأخذك لتجنب الحفرة.
سأبدأ ببيان حقيقي، شبكة CDN عالية الأمان ليست حلاً سحرياً، ولكنها بالتأكيد الاستجابة الحالية للبرنامج المفضل لحركة المرور واسعة النطاق، والتي تشتت حركة المرور الهجومية من خلال العقد الموزعة، بينما تقوم بالتخزين المؤقت لمحتوى الوصول السريع، وجدت أن شبكة CDN عالية الأمان الجيدة يمكنها تحمل هجمات على مستوى T، ولكن أيضاً لتحسين سرعة التحميل، ولكن لا تصدق أن أولئك الذين يتفاخرون بـ “حماية 100%! ولكن لا تصدق أولئك الذين يتفاخرون بإعلانات ”حماية 100%"، فهم يخدعون الناس، فالتأثير الفعلي يعتمد على التكوين والاستراتيجية.
لماذا أريد أن أؤكد على شبكة CDN عالية الأمان، لأن CDN العادية مثل الجدار الورقي، يمكن أن تسرع فقط، ولا يمكنها منع حركة المرور الضارة، وشبكة CDN عالية الأمان المتكاملة WAF، وتخفيف DDoS، وحتى التحليل السلوكي، لقد رأيت الكثير من المشاريع بسبب المال لتوفير CDN العادي، ونتائج اختراق هجوم CC، وخسارة خسائر فادحة، لذا فإن جوهر المشكلة: عليك اختيار مزود الخدمة المناسب، والتكوين الصحيح، وإلا فإنه لا فائدة منه. وإلا فهو مضيعة للمال.
عندما يتعلق الأمر بمقدمي الخدمة، فإن السوق مجموعة من الخيارات، لكن تفضيلي الشخصي ل CDN5 و CDN07 و 08Host، ميزة CDN5 هي أن هناك العديد من العقد، ومقاومة قوية للهجمات، ومناسبة بشكل خاص للتجارة الإلكترونية وصناعة الألعاب، والسعر أعلى قليلاً ولكنه يستحق ذلك، CDN07 فعال من حيث التكلفة، والتكوين المرن، وغالبًا ما أستخدمه للقيام ببيئة الاختبار، وأبرز ما يميز 08Host هو أن آسيا مُحسّنة لوقت استجابة منخفض جيد، ومناسبة لأعمال آسيا والمحيط الهادئ، ولكن القدرة المضادة للهجوم ضعيفة بعض الشيء، يجب أن تجمع بين احتياجاتهم الخاصة للاختيار.
أدناه أقوم بتفكيك خطوات الوصول، أولاً من بداية التسجيل، CDN5 كمثال، لأنه مليء بالوثائق، والدعم الجيد، لتجنب المبتدئ الأعمى، بعد تسجيل حساب، لا تتسرع في التسرع، اقرأ أولاً سياسة الأمان الخاصة بهم، لدي أخ لم ينظر إلى شروط وأحكام نتائج تكوين عمليات رد المبالغ المدفوعة الخاطئة، غاضبًا مباشرة إلى القدمين.
تعد إضافة اسم المجال خطوة رئيسية، في وحدة تحكم CDN5، ابحث عن “إضافة اسم المجال” أو خيارات مشابهة، أدخل اسم المجال الرئيسي الخاص بك، مثل example.com، سيقوم النظام بإنشاء سجل CNAME، وهو جوهر الدقة اللاحقة، لا تخلط بينها، وجدت أنه إذا لم يتم حفظ اسم المجال أو شهادات SSL لقد وجدت أنه إذا لم يتم إيداع اسم المجال أو شهادة SSL، فقد يكون عالقًا، لذا قم بإعداد المواد مسبقًا.
التالي هو جلسة التكوين، وعادةً ما تحتوي شبكة CDN عالية الدفاع على عدة إعدادات: قواعد ذاكرة التخزين المؤقت، وسياسة الأمان، وشهادة SSL، وما إلى ذلك. هنا أشارك مثالاً برمجيًا لتعيين وقت ذاكرة التخزين المؤقت لتجنب انتهاء صلاحية الموارد، في CDN5، يمكنك استخدام واجهة برمجة التطبيقات أو واجهة المستخدم لضبطها، على سبيل المثال، يتم استخدام مقتطف JSON هذا لتعيين رأس ذاكرة التخزين المؤقت:
فيما يتعلق بسياسة الأمان، تأكد من تشغيل WAF وحماية DDoS، يوفر CDN5 قواعد مخصصة، وغالبًا ما أقوم بتعيين عتبات لحظر الطلبات غير الطبيعية، على سبيل المثال، إذا طلب عنوان IP واحد أكثر من 100 مرة في الثانية، فسيتم حظره تلقائيًا، مما قد يمنع هجمات CC بشكل فعال، لا تنس اختبار القواعد، وإلا فقد يحظر المستخدمين العاديين عن طريق الخطأ.
من المرجح أن يكون جزء حل اسم النطاق خاطئًا، لقد رأيت عددًا لا يحصى من الأشخاص الذين يقومون بالحل بشكل خاطئ مما يؤدي إلى عدم تفعيل شبكة أسماء النطاقات (CDNN)، في منصة إدارة DNS (مثل Cloudflare أو DNS الخاص بهم)، أضف سجل CNAME، اسم نطاقك للإشارة إلى عنوان CNAME الذي توفره CDN5، على سبيل المثال:
يستغرق التحليل وقتًا حتى يسري مفعوله، وعادةً ما يستغرق بضع دقائق إلى بضع ساعات، وخلال هذه الفترة يمكن التحقق من ذلك باستخدام أمر dig:
إذا تم إرجاع عنوان شبكة CDN، فهذا يعني أن الأمر ناجح، وإلا فعليك استكشاف إعدادات DNS وإصلاحها، أقترح إجراء الاختبار باستخدام نطاق فرعي أولاً، مثل cdn.example.com، لتجنب التأثير على بيئة الإنتاج.
يجب تهيئة شهادة SSL، وإلا سيبلغ المتصفح عن عدم الأمان، يدعم CDN5 SSL التلقائي، قم بتحميل الشهادة أو استخدم الإصدار المجاني Let's Encrypt، ابحث عن علامة تبويب SSL في وحدة التحكم، وقم بتحميل الشهادة والمفتاح الخاص، أو قم بتشغيل التجديد التلقائي، لقد اختبرت ووجدت أن التحميل اليدوي أكثر موثوقية، لتجنب إحراج فشل الشهادة التلقائية.
لا يمكن حفظ رابط الاختبار، والوصول إليه، باستخدام أدوات مثل curl أو المتصفح للتحقق من رأس الاستجابة، للتأكد من أن رأس X-Cache يُظهر HIT، قال ضرب ذاكرة التخزين المؤقت لشبكة CDN، أثناء محاكاة الهجمات لاختبار الحماية، مثل أداة slowloris لإرسال طلب بطيء، لمعرفة ما إذا كانت شبكة CDN تعترض، فإن تسجيل CDN5 قوي جدًا، ويمكن تحليل السجلات لتحسين التكوين.
أخيرًا تحدث عن التحسين، شبكة CDN عالية الأمان ليست مجموعة ونسيان، عليك أن تراقب وتعدل بانتظام، غالبًا ما أستخدم وظيفة تقرير CDN5، وألقي نظرة على قمم حركة المرور والأحداث الأمنية، إذا وجدت حالات شاذة، فقم بتعديل القواعد في الوقت المناسب، مثل تعديل سياسة التخزين المؤقت أو تعزيز WAF، تذكر، أمن الشبكة معركة مستمرة، لا تتكاسل.
باختصار، يبدو الوصول إلى شبكة CDN عالية الدفاع معقدًا، ولكن خطوة بخطوة الأمر بسيط، اختر مزود الخدمة، التكوين، الدقة، الاختبار، كل رابط يجب أن يكون حذرًا، لدي سنوات عديدة من الخبرة لأخبرك، قضاء المزيد من الوقت في المرحلة المبكرة، المتأخر أقل خطوة على الحفر، عالم الشبكة، منع المشاكل قبل حدوثها هو طريق الملك، إذا كان لديك مشكلة معينة، مرحبًا بك في التبادل، أحاول العودة.
