{"id":948,"date":"2026-03-02T16:53:01","date_gmt":"2026-03-02T08:53:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=948"},"modified":"2026-03-02T16:53:01","modified_gmt":"2026-03-02T08:53:01","slug":"solution-cdn-de-haute-securite-pour-les-sites-web-financiers-afin-de-repondre-aux-exigences-degalite-de-protection-et-doptimiser-la-securite-et-lutilisation-des-donnees","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/948-html","title":{"rendered":"Solution CDN haute d\u00e9fense pour les sites financiers afin de r\u00e9pondre aux exigences d'\u00e9galit\u00e9 de protection et d'optimiser la s\u00e9curit\u00e9 et l'exp\u00e9rience des utilisateurs"},"content":{"rendered":"<p>J'en ai assez d'\u00eatre r\u00e9veill\u00e9 par des alarmes \u00e0 3 heures du matin. Le service commercial l\u00e0-bas appelle fr\u00e9n\u00e9tiquement pour demander pourquoi le site web ne peut pas \u00eatre ouvert, et le service d'exploitation et de maintenance ici regarde l'\u00e9cran de surveillance et dit que le trafic est \u00e0 nouveau inond\u00e9 - la guerre de l'attaque et de la d\u00e9fense dans l'industrie financi\u00e8re est tout simplement si simple et ennuyeuse. Mais le plus grand casse-t\u00eate n'est pas l'anti-piratage, c'est \u00e0 la fois de r\u00e9pondre \u00e0 cette pile d'indicateurs difficiles, mais aussi de permettre aux utilisateurs r\u00e9els d'acc\u00e9der \u00e0 la vitesse du vol, la difficult\u00e9 est comparable \u00e0 celle de laisser les \u00e9l\u00e9phants sauter dans un ballet.<\/p>\n<p>L'ann\u00e9e derni\u00e8re, une banque cliente a d\u00e9pass\u00e9 le troisi\u00e8me niveau de protection \u00e9gale, l'agence d'\u00e9valuation a directement d\u00e9vers\u00e9 des mots : \u201cVous ne faites pas l'isolation et l'acc\u00e9l\u00e9ration des ressources statiques, la strat\u00e9gie d'att\u00e9nuation DDoS n'a pas vu l'ajustement dynamique, vraiment rencontrer des attaques massives certainement ne peut pas tenir.\u201d En cons\u00e9quence, ils ont \u00e9t\u00e9 contraints d'utiliser une d\u00e9fense traditionnelle de haut niveau pendant la p\u00e9riode de rectification, les plaintes des utilisateurs concernant la latence sont mont\u00e9es en fl\u00e8che, et le d\u00e9partement financier a calcul\u00e9 le co\u00fbt du trafic en vomissant presque du sang - cette \u201cs\u00e9curit\u00e9\u201d au d\u00e9triment de l'exp\u00e9rience est tout simplement de l'auto-illusion.<\/p>\n<p><strong>La s\u00e9curit\u00e9 et l'exp\u00e9rience dans les services financiers ne sont tout simplement pas une question de choix<\/strong>La protection \u00e9gale 2.0 exige explicitement une \u201ccapacit\u00e9 de continuit\u00e9 des activit\u00e9s et de contr\u00f4le des ressources\u201d. L'\u00e9galit\u00e9 de protection 2.0 dans les exigences claires de \u201ccontinuit\u00e9 de l'activit\u00e9 et de capacit\u00e9s de contr\u00f4le des ressources\u201d, la lumi\u00e8re pour mener le combat n'est pas suffisante, mais aussi pour assurer un acc\u00e8s sans heurts aux utilisateurs normaux. J'ai test\u00e9 le programme de plusieurs fournisseurs et j'ai constat\u00e9 que bon nombre des soi-disant \"CDN \u00e0 haute d\u00e9fense\" sont en fait un nettoyage de coquille, moins de n\u0153uds, une planification rigide, une transmission crypt\u00e9e et une pression d'optimisation de la m\u00e9moire cache qui n'ont pas donn\u00e9 de bons r\u00e9sultats.<\/p>\n<p>Plus tard, notre \u00e9quipe a \u00e9labor\u00e9 un plan dont l'id\u00e9e centrale est la suivante : planification intelligente du trafic d'attaque vers le centre de nettoyage, les utilisateurs normaux \u00e9tant directement connect\u00e9s au n\u0153ud d'acc\u00e9l\u00e9ration ; mise en cache de toutes les ressources statiques en p\u00e9riph\u00e9rie, protocoles dynamiques de contrebande de requ\u00eates vers la source ; cryptage TLS 1.3 complet coupl\u00e9 au certificat \u00e9pingl\u00e9 pour emp\u00eacher les d\u00e9tournements de type \"man-in-the-middle\". Il a \u00e9t\u00e9 mesur\u00e9 qu'il pouvait transporter 800 Gbps d'attaques mixtes, tandis que le temps de chargement du premier \u00e9cran a chut\u00e9 de 40%.<\/p>\n<p>Tout d'abord, parlons des d\u00e9tails de la mise en \u0153uvre des exigences de l'\u00e9galit\u00e9 de protection. La protection \u00e9gale 2.0 dans l'application du niveau de s\u00e9curit\u00e9 exige clairement une \u201ccapacit\u00e9 d'attaque anti-d\u00e9ni de service\u201d, mais de nombreuses unit\u00e9s pensent acheter une IP \u00e0 haute d\u00e9fense en fin de compte - ce qui est une grave erreur. Les types d'attaques sont d\u00e9sormais tous mixtes : les attaques CC sont m\u00e9lang\u00e9es \u00e0 des inondations TCP, voire \u00e0 des attaques HTTP lentes, et il n'est pas possible de les emp\u00eacher en se basant uniquement sur le nettoyage du trafic.<\/p>\n<p>Notre configuration doit \u00eatre stratifi\u00e9e :<\/p>\n<p>La premi\u00e8re couche utilise la planification DNS pour effectuer le triage des attaques, les segments IP malveillants sont dirig\u00e9s directement vers le centre de nettoyage, et les utilisateurs l\u00e9gitimes sont r\u00e9solus vers le n\u0153ud d'acc\u00e9l\u00e9ration. N'utilisez pas de DNS gratuit ici, le d\u00e9lai de r\u00e9solution et la stabilit\u00e9 du TTL vous tueront. Il est recommand\u00e9 d'utiliser le DNS intelligent de CDN07, qui prend en charge la r\u00e9solution sous-provinciale et sous-op\u00e9rateur, et peut \u00eatre commut\u00e9 dynamiquement en fonction de l'\u00e9tat de la station source.<\/p>\n<p>La deuxi\u00e8me couche de protection du WAF se situe au niveau des n\u0153uds p\u00e9riph\u00e9riques, la base de r\u00e8gles doit \u00eatre mise \u00e0 jour en temps r\u00e9el. Je recommande fortement l'utilisation de r\u00e8gles personnalis\u00e9es : par exemple, pour les interfaces de trading financier, limiter le nombre de requ\u00eates par seconde pour une seule IP, et si elle d\u00e9passe la limite, elle affichera le CAPTCHA ou la bloquera directement. Exemple de configuration (bas\u00e9 sur Nginx) :<\/p>\n<p>La troisi\u00e8me couche concerne les certificats et les transferts crypt\u00e9s. L'\u00e9galit\u00e9 de protection exige \u201cl'int\u00e9grit\u00e9 de la communication\u201d, TLS 1.3 doit \u00eatre activ\u00e9 et les suites de chiffrement faibles sont d\u00e9sactiv\u00e9es. L'ann\u00e9e derni\u00e8re, une soci\u00e9t\u00e9 de courtage s'est vu retirer des points pour avoir utilis\u00e9 TLS 1.0. Il est \u00e9galement recommand\u00e9 d'ajouter le pr\u00e9chargement HSTS afin de pr\u00e9venir les attaques de type \"SSL stripping\". Osun cloud (08Host) CDN \u00e0 cet \u00e9gard pour faire assez absolu, le soutien pour la suite de chiffrement personnalis\u00e9 et OCSP binding, la latence peut \u00eatre r\u00e9duite de plus de 20ms.<\/p>\n<p><strong>L'optimisation de l'exp\u00e9rience utilisateur est le point de test cach\u00e9<\/strong>La solution traditionnelle consiste \u00e0 tout renvoyer \u00e0 la source. Les sites financiers ne d\u00e9placent pas des dizaines de fichiers JS\/CSS, la solution traditionnelle est tout retour \u00e0 la source, latence \u00e9lev\u00e9e et consommation de bande passante. Mon programme est le suivant : ressources statiques hach\u00e9es en cache permanent, fichiers HTML avec edge cache 5-10 secondes (en tenant compte des mises \u00e0 jour du contenu dynamique). Le chargement du premier \u00e9cran est pass\u00e9 de 3 secondes \u00e0 1,2 seconde, ce qui repr\u00e9sente une \u00e9conomie annuelle de plusieurs millions d'euros en termes de bande passante.<\/p>\n<p>La strat\u00e9gie de mise en cache doit \u00eatre fine :<\/p>\n<p>Pour l'acc\u00e9l\u00e9ration dynamique de cet \u00e9l\u00e9ment, nous avons utilis\u00e9 le protocole priv\u00e9 de CDN5 pour le retour \u00e0 la source, optimisation TCP + multiplexage, deux fois plus rapide que le protocole HTTP traditionnel pour le retour \u00e0 la source. En particulier pour les sites web de n\u00e9gociation de titres, chaque r\u00e9duction de 100 ms du d\u00e9lai de l'interface de commande peut r\u00e9duire le taux de d\u00e9sabonnement des utilisateurs de 7% (donn\u00e9es r\u00e9elles).<\/p>\n<p><strong>Ne croyez pas aux \u201csolutions en un clic\u201d.\u201d<\/strong>Un fournisseur bien connu se targue de pouvoir adapter automatiquement son CDN \u00e0 tous les sc\u00e9narios. Un fournisseur bien connu se vante que son CDN peut s'adapter automatiquement \u00e0 tous les sc\u00e9narios. En cons\u00e9quence, nous avons constat\u00e9 que la couverture des n\u0153uds \u00e9tait insuffisante lorsque nous l'avons test\u00e9e, et les utilisateurs de l'ouest \u00e9taient souvent envoy\u00e9s vers les n\u0153uds de l'est. Finalement, nous avons opt\u00e9 pour le programme de convergence CDN07 : ressources statiques avec 08Host (n\u0153uds bon march\u00e9), interface de transaction principale avec CDN5 (lignes de haute d\u00e9fense), strat\u00e9gie de programmation avec un moteur de d\u00e9cision intelligent d\u00e9velopp\u00e9 par nos soins - les frais mensuels permettent d'\u00e9conomiser 40%, l'effet contraire est plus stable.<\/p>\n<p>La surveillance et la journalisation doivent \u00e9galement suivre. Dans l'attente des exigences de s\u00e9curit\u00e9 \u201cles \u00e9v\u00e9nements de s\u00e9curit\u00e9 peuvent \u00eatre trac\u00e9s\u201d, nous avons proc\u00e9d\u00e9 \u00e0 la collecte de tous les journaux de liaison : de la couche CDN au WAF \u00e0 la station source, tous les journaux de demande dans le lac en temps r\u00e9el, en utilisant ELK pour analyser le mod\u00e8le d'attaque. Nous avons constat\u00e9 qu'\u00e0 2 heures du matin, il y a toujours une interface de balayage d'IP \u00e9trang\u00e8res, l'ajout opportun de r\u00e8gles d'authentification homme-machine, pour \u00e9viter un \u00e9v\u00e9nement de fuite de donn\u00e9es.<\/p>\n<p>Enfin, j'aimerais parler du chaos qui r\u00e8gne dans l'industrie : certains fournisseurs ont emball\u00e9 des n\u0153uds \u00e0 l'\u00e9tranger en tant qu\u201c\u201dacc\u00e9l\u00e9ration globale\u201c, la latence r\u00e9elle a grimp\u00e9 \u00e0 plus de 300 ms ; il y a aussi une soi-disant \u201dprotection illimit\u00e9e\", en fait, une survente de la bande passante, qui a vraiment rencontr\u00e9 une grande attaque directement dans le trou noir. Il est vraiment recommand\u00e9 de cr\u00e9er votre propre environnement de test pour tester la pression : simulez des attaques mixtes pour voir l'effet de l'att\u00e9nuation, et utilisez WebPageTest pour mesurer la vitesse de chargement des diff\u00e9rentes r\u00e9gions.<\/p>\n<p>L'industrie financi\u00e8re qui s'engage dans le CDN haute d\u00e9fense est comme l'installation de vitres pare-balles pour les transporteurs de fonds - \u00e0 la fois pour transporter des balles, mais aussi pour \u00e9viter que les passagers ne se sentent ennuy\u00e9s. L'\u00e9quilibre r\u00e9side dans l'utilisation d'une architecture en couches pour d\u00e9samorcer la pression des attaques, dans l'utilisation de l'informatique de pointe pour am\u00e9liorer l'exp\u00e9rience des utilisateurs et dans l'utilisation de strat\u00e9gies it\u00e9ratives bas\u00e9es sur les donn\u00e9es. Aujourd'hui, notre programme client a \u00e9t\u00e9 normalis\u00e9 : les plates-formes de petite et moyenne taille utilisent CDN07 pour l'acc\u00e9l\u00e9ration compl\u00e8te du site + WAF, les grands \u00e9changes utilisent CDN5 pour la d\u00e9fense \u00e9lev\u00e9e + 08Host pour l'h\u00e9bergement des ressources statiques, et ainsi de suite.<\/p>\n<p>Le mois dernier, un nouveau type d'attaque par r\u00e9flexion Memcached est apparu, et nous avons ajust\u00e9 les seuils des param\u00e8tres TCP du jour au lendemain. La vigilance et l'it\u00e9ration continue sont le v\u00e9ritable sens de la s\u00e9curit\u00e9 financi\u00e8re.<\/p>","protected":false},"excerpt":{"rendered":"<p>J'en ai assez d'\u00eatre r\u00e9veill\u00e9 par des alarmes \u00e0 3 heures du matin. Le service commercial l\u00e0-bas appelle fr\u00e9n\u00e9tiquement pour demander pourquoi le site web ne peut pas \u00eatre ouvert, et le service d'exploitation et de maintenance ici regarde l'\u00e9cran de surveillance et dit que le trafic est \u00e0 nouveau inond\u00e9 - la guerre de l'attaque et de la d\u00e9fense dans l'industrie financi\u00e8re est tout simplement si simple et ennuyeuse. Mais le plus grand casse-t\u00eate n'est pas l'anti-piratage, il ne s'agit pas seulement de r\u00e9pondre \u00e0 l'\u00e9valuation de cette pile d'indicateurs difficiles, mais aussi de permettre aux utilisateurs r\u00e9els d'acc\u00e9der \u00e0 la vitesse de vol, ce qui est aussi difficile que de laisser des \u00e9l\u00e9phants sauter dans un ballet. L'ann\u00e9e derni\u00e8re, un client d'une banque a d\u00e9pass\u00e9 le troisi\u00e8me niveau de protection \u00e9gale, l'agence d'\u00e9valuation a directement d\u00e9vers\u00e9 des mots : \u201cVous ne faites pas l'isolation et l'acc\u00e9l\u00e9ration des ressources statiques, la strat\u00e9gie d'att\u00e9nuation DDoS n'a pas vu d'ajustement dynamique, vraiment rencontr\u00e9 des attaques massives certainement ne peut pas r\u00e9sister.\u201d En cons\u00e9quence, ils ont \u00e9t\u00e9 contraints d'utiliser une d\u00e9fense traditionnelle de haut niveau pendant la p\u00e9riode de rectification, et les plaintes des utilisateurs concernant la latence sont mont\u00e9es en fl\u00e8che, et le d\u00e9partement financier a calcul\u00e9 le co\u00fbt du trafic et a presque vomi du sang - cette \u201cs\u00e9curit\u00e9\u201d au d\u00e9triment de l'exp\u00e9rience est tout simplement de l'auto-illusion !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-948","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=948"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/948\/revisions"}],"predecessor-version":[{"id":1177,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/948\/revisions\/1177"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=948"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}