Recientemente, un viejo cliente me llamó en medio de la noche, dijo que el sitio de repente se colgó, el tráfico se disparó a 100Gbps, una mirada es DDoS, cortafuegos tradicionales no pueden llevar, inmediatamente le sugerí que en la CDN de alta defensa, que sólo se ralentizó. En estos días, los ataques a la red son tan comunes como comer, usted no tiene una protección fiable, minutos para ser atornillado fuera de línea, por lo que hoy voy a fastidiar alta defensa CDN acceso a todo el proceso, desde la elección de un proveedor de servicios a la resolución de la configuración, paso a paso para llevarte a evitar el pozo.
¡Voy a empezar con una declaración verdadera, CDN de alta seguridad no es una panacea, pero es sin duda la respuesta actual al tráfico a gran escala programa preferido, que dispersa el tráfico de ataque a través de nodos distribuidos, mientras que el almacenamiento en caché el contenido del acceso acelerado, he encontrado que una buena CDN de alta defensa puede llevar a los ataques de nivel T, sino también para mejorar la velocidad de carga, pero no creo que los que se jactó de la “protección 100%! Pero no crea que los que se jactan de los anuncios ”100% protección", están engañando a la gente, el efecto real depende de la configuración y la estrategia.
Por qué quiero hacer hincapié en la CDN de alta seguridad, porque CDN ordinaria es como una pared de papel, sólo puede acelerar, no puede prevenir el tráfico malicioso, y CDN de alta seguridad integrado WAF, mitigación de DDoS, e incluso el análisis de comportamiento, he visto demasiados proyectos debido al dinero para ahorrar CDN ordinaria, los resultados de la penetración de ataque CC, la pérdida de grandes pérdidas, por lo que el núcleo del problema: hay que elegir el proveedor de servicios adecuado, y la configuración correcta, o de lo contrario es inútil. De lo contrario, es una pérdida de dinero.
Cuando se trata de proveedores de servicios, el mercado un montón de opciones, pero mi preferencia personal por CDN5, CDN07 y 08Host, la ventaja de CDN5 es que hay muchos nodos, fuerte resistencia a los ataques, especialmente adecuado para el comercio electrónico y la industria del juego, el precio es un poco más alto, pero vale la pena, CDN07 es rentable, configuración flexible, a menudo lo uso para hacer el entorno de prueba, lo más destacado de 08Host es que Asia está optimizado para una buena baja latencia, adecuado para los negocios de Asia y el Pacífico, pero la. Capacidad anti-ataque es un poco débil, tienen que combinar sus propias necesidades para elegir.
A continuación voy a desmontar los pasos de acceso, en primer lugar desde el principio de la inscripción, CDN5 como un ejemplo, porque está lleno de documentos, un buen apoyo, para evitar que el principiante ciego, después de registrar una cuenta, no se apresure a precipitarse, primero lea su política de seguridad, tengo un hermano no miró a los términos y condiciones de los resultados de la configuración de las devoluciones de cargo equivocado, enojado directamente a los pies.
Añadir un nombre de dominio es un paso clave, en la consola CDN5, encontrar el “Añadir nombre de dominio” u opciones similares, introduzca su nombre de dominio principal, como example.com, el sistema generará un registro CNAME, que es el núcleo de la resolución posterior, no se confunda, me encontré con que si el nombre de dominio no se presenta o certificados SSL He encontrado que si el nombre de dominio no está archivado o certificado SSL, puede estar atascado, así que prepare los materiales de antemano.
Lo siguiente es la sesión de configuración, las CDN de alta defensa suelen tener varias configuraciones: reglas de caché, política de seguridad, certificado SSL, etc. Aquí comparto un ejemplo de código para configurar el tiempo de caché para evitar la caducidad de los recursos, en CDN5, puedes usar API o UI para ajustarlo, por ejemplo, este fragmento JSON se usa para configurar la cabecera de caché:
En términos de política de seguridad, asegúrese de activar WAF y protección DDoS, CDN5 proporciona reglas personalizadas, a menudo establezco umbrales para bloquear solicitudes anormales, por ejemplo, si una sola IP solicita más de 100 veces por segundo, se bloqueará automáticamente, lo que puede prevenir eficazmente los ataques CC, no se olvide de probar las reglas, de lo contrario puede bloquear erróneamente a los usuarios normales.
La parte de resolución de nombre de dominio es más probable que sea incorrecta, he visto a innumerables personas resolver erróneamente resultando en la CDN no surte efecto, en la plataforma de gestión de DNS (como Cloudflare o su propio DNS), añadir un registro CNAME, su nombre de dominio para que apunte a la dirección CNAME proporcionada por CDN5, por ejemplo:
El análisis sintáctico tarda en surtir efecto, normalmente entre unos minutos y unas horas, tiempo durante el cual puede comprobarse con el comando dig:
Si se devuelve la dirección de la CDN, significa que ha tenido éxito, de lo contrario tendrá que solucionar los problemas de configuración de DNS, sugiero probar primero con un subdominio, como cdn.ejemplo.com, para evitar afectar al entorno de producción.
Certificado SSL debe ser configurado, de lo contrario el navegador informará de la inseguridad, CDN5 apoyo automático SSL, subir el certificado o utilizar Let's Encrypt versión gratuita, encontrar la pestaña SSL en la consola, subir su certificado y clave privada, o activar la renovación automática, he probado y encontrado que la carga manual es más fiable, para evitar la vergüenza de la falla del certificado automático.
Enlace de prueba no se puede guardar, el acceso, con herramientas como curl o navegador para comprobar el encabezado de respuesta, para confirmar que el encabezado X-Cache muestra HIT, dijo que golpeó la caché CDN, mientras que la simulación de ataques para probar la protección, como slowloris herramienta para enviar una solicitud lenta, para ver si la CDN intercepta, CDN5 registro es muy potente, analizar los registros pueden optimizar la configuración.
Por último hablar de optimización, alta seguridad CDN no es set-and-forget, usted tiene que monitorear regularmente y ajustar, a menudo uso CDN5 función de informe, mira los picos de tráfico y eventos de seguridad, si encuentra anomalías, oportuna ajustar las reglas, tales como el ajuste de la política de almacenamiento en caché o fortalecer el WAF, recuerde, seguridad de la red es una batalla continua, perezoso no.
En resumen, el acceso CDN de alta defensa parece complejo, pero paso a paso es simple, elegir un proveedor de servicios, configuración, resolución, pruebas, cada enlace tiene que tener cuidado, tengo tantos años de experiencia para decirle, pasar más tiempo en la etapa inicial, la tarde menos pisar los boxes, el mundo de la red, la prevención de problemas antes de que ocurran es el camino del rey, si usted tiene un problema específico, la bienvenida al intercambio, trato de volver.
