CDN 訪問控制的那些事

2022-02-04 07:32:54 字數 2656 閱讀 7546

cdn(content delivery network,即內容分發網路)主要通過將訪問內容快取在邊緣節點,縮短使用者與**的距離,來提高站點渲染速度和效能。很顯然,cdn 發揮的作用主要由邊緣節點來呈現,邊緣節點作為使用者與源站的橋梁,其實不僅僅只起到加速的作用,同時還可以作為惡意訪問的「屏障」。這也就是我們今天著重要講的 —— 訪問控制。

又拍雲 cdn 訪問控制包含訪問限制、各種防盜煉、安全防護等功能,全方位滿足使用者需求。

訪問限制分別包括 ip 黑白名單和地區訪問限制,也是兩種比較基礎的訪問控制功能。

ip 黑白名單

由於某些行業競爭激烈,因此常常會遇到一些競爭對手利用惡意 ip 占用**資源,影響**訪問。為了能夠保護站點資料和流量負載,需要**運營者對這些惡意 ip 進行遮蔽。

若需要禁止某些 ip 或只允許某些 ip 訪問,可以使用 ip 黑白名單功能。並且在同一時間內,又拍雲只支援生效一種規則,比如:要麼禁止某些 ip 訪問,要麼允許某些 ip 訪問。支援 * 萬用字元,如 10.11.12.*,將禁止或只允許 10.11.12.0 ~ 10.11.12.255 範圍的 ip 訪問。

地區訪問限制

地區訪問限制是指根據加速**的需求,允許或禁止特定區域的終端使用者對**資源的訪問。即**指定地區,允許該地區終端使用者訪問,而限制其他地區使用者訪問,或者相反。

在講防盜煉之前,先來了解一下什麼是盜鏈。

盜鏈是指服務提供商自己不提供服務的內容,通過技術手段繞過其它有利益的最終使用者介面(如廣告),直接在自己的**上向終端使用者提供其它服務提供商的服務內容,騙取終端使用者的瀏覽和點選率。

簡單來說,就是其他**上「盜」用了你**的資源,去增加他的**點選率,但最後流量卻算在你身上,讓你花「冤枉錢」。這個當然不能忍!怎麼辦?由於各**性質不同(遊戲/新聞等),需求也是不盡相同的。所以又拍雲提供多種防盜煉功能,滿足使用者的需要。

referer 防盜煉

最常用的防盜煉手段,就是通過對 http 請求中的 referer header 進行判斷,來決定使用者是否可以訪問該資源。

user-agent 防盜煉

http 請求 header 中的 user-agent 字段,是一段瀏覽器或者裝置標識的字串。對於**本身來說,有時需要讓一些資源只能在某些瀏覽器或者裝置上才能訪問。

token 防盜煉

token 防盜鍊是提供時效性訪問的。通過設定訪問金鑰和過期時間來達到加密檔案的目的。只有按照演算法成功計算出 token 才能進行訪問。比如**有些內容,希望付費才能訪問,且規定訪問有有效期,就可以通過 token 防盜鍊來實現。

又拍雲針對惡意 ip 訪問、cc 攻擊、sql 注入等安全問題提供了 ip 訪問限制、cc 攻擊、waf 防護等功能。

ip 訪問限制

可以針對單個 ip 在單位週期時間內的訪問頻率設定一定的閾值,將超過該閾值的 ip 的訪問進行直接攔截,從而達到訪問限制的目的。

當前的單 ip 訪問頻率只支援針對 cdn 單個邊緣節點生效,當達到設定的閾值時,異常訪問的客戶端 ip 將加入黑名單中,並可以設定生效時間,在該時間週期內,所有該 ip 的訪問都會被攔截。

cc 防護

攻擊一直都是讓**管理者頭疼的問題,特別面對惡意的 ddos 攻擊時。cc 攻擊(challenge collapsar)是 ddos的一種,也是一種常見的**攻擊方法,攻擊者通過**伺服器或者肉雞向受害**不停地發大量資料報,造成對方伺服器資源耗盡,一直到宕機崩潰。

cc 防護主要是針對 cc 攻擊的一種應用層攻擊防護,該功能通過自定義匹配規則對目標資源進行監控,當請求頻率達到觸發頻率時,對疑似攻擊請求進行校驗,校驗通過則允許訪問;校驗不通過,則直接禁止訪問。

waf 防護

waf 模組部署在又拍雲 cdn 所有邊緣節點上,提供了強大的網路和應用安全環境,waf 模組通過對 http 流量進行監測和實時分析。

waf 的核心規則提供以下防護方式:

能 http 保護:http 協議規範檢測,並啟用本地有效策略;

一般 web 攻擊保護:檢測一般 web 應用的安全攻擊;

自動檢測:檢測機械人、爬蟲、掃瞄器和其他的表面惡意行動;

木馬檢測:檢測木馬程式進入;

過失隱藏:偽裝伺服器發出錯誤訊息。

又拍雲提供了豐富且強大的訪問控制功能,讓您在**管理中遇到的頭疼問題「迎刃而解」。不僅可以根據需求針對各項**進行限制,還可以預先配置防止盜刷流量,防範於未然。同時結合又拍雲「統計分析」,分析異常流量原因並進行封禁,讓您脫離維護**的苦海,夜晚安心入眠。

推薦閱讀:

這樣介紹 cdn,老司機也能聽懂

防盜煉詳解 - 又拍雲

聊聊 cdn 快取與瀏覽器快取

關於CDN那些事

對於前端效能優化我們不得不了解的幾個知識點 cdn http header資訊 今天我就來談談我對cdn的理解 1 cdn是什麼 cdn全稱是content delivery network,即內容分發網路。將 內容發布到接近使用者的伺服器上。使用者訪問 時,使用者訪問就近伺服器,然後載入這些資源。...

關於CDN的原理 術語和應用場景那些事

關於cdn,想必你一定看過很多官方的解釋。今天,cdn百科第七期,將用一篇3844字的文章,來帶你了解cdn的誕生 術語 原理 特徵以及應用場景,看完這篇文章,相信你將會對cdn這項網際網路基礎設施有更加透徹的了解。cdn的全稱是content delivery network,即內容分發網路。它是...

C 程式設計師應了解的那些事(7)虛函式的訪問控制

1 注意 基類的指標不能呼叫派生類自己定義的函式,只能呼叫虛函式!因為呼叫普通函式時是繫結靜態的,呼叫虛函式時才動態繫結。為了支援c 的多型性,才用了動態繫結和靜態繫結。理解他們的區別有助於更好的理解多型性,以及在程式設計的過程中避免犯錯誤。需要理解四個名詞 物件的靜態型別 物件在宣告時採用的型別,...