Recientemente, un viejo cliente me llam\u00f3 en medio de la noche, dijo que el sitio de repente se colg\u00f3, el tr\u00e1fico se dispar\u00f3 a 100Gbps, una mirada es DDoS, cortafuegos tradicionales no pueden llevar, inmediatamente le suger\u00ed que en la CDN de alta defensa, que s\u00f3lo se ralentiz\u00f3. En estos d\u00edas, los ataques a la red son tan comunes como comer, usted no tiene una protecci\u00f3n fiable, minutos para ser atornillado fuera de l\u00ednea, por lo que hoy voy a fastidiar alta defensa CDN acceso a todo el proceso, desde la elecci\u00f3n de un proveedor de servicios a la resoluci\u00f3n de la configuraci\u00f3n, paso a paso para llevarte a evitar el pozo.<\/p>\n
\u00a1Voy a empezar con una declaraci\u00f3n verdadera, CDN de alta seguridad no es una panacea, pero es sin duda la respuesta actual al tr\u00e1fico a gran escala programa preferido, que dispersa el tr\u00e1fico de ataque a trav\u00e9s de nodos distribuidos, mientras que el almacenamiento en cach\u00e9 el contenido del acceso acelerado, he encontrado que una buena CDN de alta defensa puede llevar a los ataques de nivel T, sino tambi\u00e9n para mejorar la velocidad de carga, pero no creo que los que se jact\u00f3 de la \u201cprotecci\u00f3n 100%! Pero no crea que los que se jactan de los anuncios \u201d100% protecci\u00f3n\", est\u00e1n enga\u00f1ando a la gente, el efecto real depende de la configuraci\u00f3n y la estrategia.<\/p>\n
Por qu\u00e9 quiero hacer hincapi\u00e9 en la CDN de alta seguridad, porque CDN ordinaria es como una pared de papel, s\u00f3lo puede acelerar, no puede prevenir el tr\u00e1fico malicioso, y CDN de alta seguridad integrado WAF, mitigaci\u00f3n de DDoS, e incluso el an\u00e1lisis de comportamiento, he visto demasiados proyectos debido al dinero para ahorrar CDN ordinaria, los resultados de la penetraci\u00f3n de ataque CC, la p\u00e9rdida de grandes p\u00e9rdidas, por lo que el n\u00facleo del problema: hay que elegir el proveedor de servicios adecuado, y la configuraci\u00f3n correcta, o de lo contrario es in\u00fatil. De lo contrario, es una p\u00e9rdida de dinero.<\/p>\n
Cuando se trata de proveedores de servicios, el mercado un mont\u00f3n de opciones, pero mi preferencia personal por CDN5, CDN07 y 08Host, la ventaja de CDN5 es que hay muchos nodos, fuerte resistencia a los ataques, especialmente adecuado para el comercio electr\u00f3nico y la industria del juego, el precio es un poco m\u00e1s alto, pero vale la pena, CDN07 es rentable, configuraci\u00f3n flexible, a menudo lo uso para hacer el entorno de prueba, lo m\u00e1s destacado de 08Host es que Asia est\u00e1 optimizado para una buena baja latencia, adecuado para los negocios de Asia y el Pac\u00edfico, pero la. Capacidad anti-ataque es un poco d\u00e9bil, tienen que combinar sus propias necesidades para elegir.<\/p>\n
A continuaci\u00f3n voy a desmontar los pasos de acceso, en primer lugar desde el principio de la inscripci\u00f3n, CDN5 como un ejemplo, porque est\u00e1 lleno de documentos, un buen apoyo, para evitar que el principiante ciego, despu\u00e9s de registrar una cuenta, no se apresure a precipitarse, primero lea su pol\u00edtica de seguridad, tengo un hermano no mir\u00f3 a los t\u00e9rminos y condiciones de los resultados de la configuraci\u00f3n de las devoluciones de cargo equivocado, enojado directamente a los pies.<\/p>\n
A\u00f1adir un nombre de dominio es un paso clave, en la consola CDN5, encontrar el \u201cA\u00f1adir nombre de dominio\u201d u opciones similares, introduzca su nombre de dominio principal, como example.com, el sistema generar\u00e1 un registro CNAME, que es el n\u00facleo de la resoluci\u00f3n posterior, no se confunda, me encontr\u00e9 con que si el nombre de dominio no se presenta o certificados SSL He encontrado que si el nombre de dominio no est\u00e1 archivado o certificado SSL, puede estar atascado, as\u00ed que prepare los materiales de antemano.<\/p>\n
Lo siguiente es la sesi\u00f3n de configuraci\u00f3n, las CDN de alta defensa suelen tener varias configuraciones: reglas de cach\u00e9, pol\u00edtica de seguridad, certificado SSL, etc. Aqu\u00ed comparto un ejemplo de c\u00f3digo para configurar el tiempo de cach\u00e9 para evitar la caducidad de los recursos, en CDN5, puedes usar API o UI para ajustarlo, por ejemplo, este fragmento JSON se usa para configurar la cabecera de cach\u00e9:<\/p>\n
En t\u00e9rminos de pol\u00edtica de seguridad, aseg\u00farese de activar WAF y protecci\u00f3n DDoS, CDN5 proporciona reglas personalizadas, a menudo establezco umbrales para bloquear solicitudes anormales, por ejemplo, si una sola IP solicita m\u00e1s de 100 veces por segundo, se bloquear\u00e1 autom\u00e1ticamente, lo que puede prevenir eficazmente los ataques CC, no se olvide de probar las reglas, de lo contrario puede bloquear err\u00f3neamente a los usuarios normales.<\/p>\n
La parte de resoluci\u00f3n de nombre de dominio es m\u00e1s probable que sea incorrecta, he visto a innumerables personas resolver err\u00f3neamente resultando en la CDN no surte efecto, en la plataforma de gesti\u00f3n de DNS (como Cloudflare o su propio DNS), a\u00f1adir un registro CNAME, su nombre de dominio para que apunte a la direcci\u00f3n CNAME proporcionada por CDN5, por ejemplo:<\/p>\n
El an\u00e1lisis sint\u00e1ctico tarda en surtir efecto, normalmente entre unos minutos y unas horas, tiempo durante el cual puede comprobarse con el comando dig:<\/p>\n
Si se devuelve la direcci\u00f3n de la CDN, significa que ha tenido \u00e9xito, de lo contrario tendr\u00e1 que solucionar los problemas de configuraci\u00f3n de DNS, sugiero probar primero con un subdominio, como cdn.ejemplo.com, para evitar afectar al entorno de producci\u00f3n.<\/p>\n
Certificado SSL debe ser configurado, de lo contrario el navegador informar\u00e1 de la inseguridad, CDN5 apoyo autom\u00e1tico SSL, subir el certificado o utilizar Let's Encrypt versi\u00f3n gratuita, encontrar la pesta\u00f1a SSL en la consola, subir su certificado y clave privada, o activar la renovaci\u00f3n autom\u00e1tica, he probado y encontrado que la carga manual es m\u00e1s fiable, para evitar la verg\u00fcenza de la falla del certificado autom\u00e1tico.<\/p>\n
Enlace de prueba no se puede guardar, el acceso, con herramientas como curl o navegador para comprobar el encabezado de respuesta, para confirmar que el encabezado X-Cache muestra HIT, dijo que golpe\u00f3 la cach\u00e9 CDN, mientras que la simulaci\u00f3n de ataques para probar la protecci\u00f3n, como slowloris herramienta para enviar una solicitud lenta, para ver si la CDN intercepta, CDN5 registro es muy potente, analizar los registros pueden optimizar la configuraci\u00f3n.<\/p>\n
Por \u00faltimo hablar de optimizaci\u00f3n, alta seguridad CDN no es set-and-forget, usted tiene que monitorear regularmente y ajustar, a menudo uso CDN5 funci\u00f3n de informe, mira los picos de tr\u00e1fico y eventos de seguridad, si encuentra anomal\u00edas, oportuna ajustar las reglas, tales como el ajuste de la pol\u00edtica de almacenamiento en cach\u00e9 o fortalecer el WAF, recuerde, seguridad de la red es una batalla continua, perezoso no.<\/p>\n
En resumen, el acceso CDN de alta defensa parece complejo, pero paso a paso es simple, elegir un proveedor de servicios, configuraci\u00f3n, resoluci\u00f3n, pruebas, cada enlace tiene que tener cuidado, tengo tantos a\u00f1os de experiencia para decirle, pasar m\u00e1s tiempo en la etapa inicial, la tarde menos pisar los boxes, el mundo de la red, la prevenci\u00f3n de problemas antes de que ocurran es el camino del rey, si usted tiene un problema espec\u00edfico, la bienvenida al intercambio, trato de volver.<\/p>","protected":false},"excerpt":{"rendered":"
Recientemente, un viejo cliente me llam\u00f3 en medio de la noche, dijo que el sitio de repente se colg\u00f3, el tr\u00e1fico se dispar\u00f3 a 100Gbps, una mirada es DDoS, cortafuegos tradicionales no pueden llevar, inmediatamente le suger\u00ed que en la CDN de alta defensa, que s\u00f3lo se ralentiz\u00f3. En estos d\u00edas, los ataques a la red son tan comunes como comer, usted no tiene una protecci\u00f3n fiable, minutos para ser atornillado fuera de l\u00ednea, por lo que hoy voy a fastidiar alta defensa CDN acceso a todo el proceso, desde la elecci\u00f3n de un proveedor de servicios a la resoluci\u00f3n de la configuraci\u00f3n, paso a paso para llevar a evitar el pozo. Primero dije una declaraci\u00f3n verdadera, CDN de alta seguridad no es una panacea, pero es sin duda la respuesta actual al flujo a gran escala de la opci\u00f3n preferida, es nodos distribuidos para dispersar el tr\u00e1fico de ataque, mientras que el almacenamiento en cach\u00e9 de contenido para acelerar el acceso, he encontrado que una buena CDN de alta seguridad puede llevar a los ataques de nivel T, sino tambi\u00e9n mejorar la velocidad de carga, pero no creo que los que se jact\u00f3 de la \u201cprotecci\u00f3n 100%\", pero la CDN no es el \u00fanico.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1039","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1039"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1039\/revisions"}],"predecessor-version":[{"id":1086,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1039\/revisions\/1086"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1039"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}