網路已經成為生活中必不可少的一部分,無論是清早手機翻看的新聞八卦,還是公交地鐵裡刷的停不下來的短視訊,又或是你閒逛的購物網站,熱追的電視劇,都與 CDN 有著密不可分的聯絡。無論你在網際網路上做什麼,或者消費什麼型別的內容,其實每個文字字元、每一幀影象背後都會有 CDN 的助力。
CDN(Content Delivery Network,即內容分發網路)主要通過將訪問內容快取在邊緣節點,縮短使用者與網站的距離,來提高站點渲染速度和效能。很顯然,CDN 發揮的作用主要由邊緣節點來呈現,邊緣節點作為使用者與源站的橋樑,其實不僅僅只起到加速的作用,同時還可以作為惡意訪問的“屏障”。這也就是我們今天著重要講的 —— 訪問控制。
又拍雲 CDN 訪問控制包含訪問限制、各種防盜鏈、安全防護等功能,全方位滿足使用者需求。
訪問限制
訪問限制分別包括 IP 黑白名單和地區訪問限制,也是兩種比較基礎的訪問控制功能。
IP 黑白名單
由於某些行業競爭激烈,因此常常會遇到一些競爭對手利用惡意 IP 佔用網站資源,影響網站訪問。為了能夠保護站點資料和流量負載,需要網站運營者對這些惡意 IP 進行遮蔽。
若需要禁止某些 IP 或只允許某些 IP 訪問,可以使用 IP 黑白名單功能。並且在同一時間內,又拍雲只支援生效一種規則,比如:要麼禁止某些 IP 訪問,要麼允許某些 IP 訪問。支援 * 萬用字元,如 10.11.12.*,將禁止或只允許 10.11.12.0 ~ 10.11.12.255 範圍的 IP 訪問。
地區訪問限制
地區訪問限制是指根據加速網站的需求,允許或禁止特定區域的終端使用者對網站資源的訪問。即網站指定地區,允許該地區終端使用者訪問,而限制其他地區使用者訪問,或者相反。
防盜鏈
在講防盜鏈之前,先來了解一下什麼是盜鏈。
盜鏈是指服務提供商自己不提供服務的內容,通過技術手段繞過其它有利益的終端使用者介面(如廣告),直接在自己的網站上向終端使用者提供其它服務提供商的服務內容,騙取終端使用者的瀏覽和點選率。
簡單來說,就是其他網站上“盜”用了你網站的資源,去增加他的網站點選率,但最後流量卻算在你身上,讓你花“冤枉錢”。這個當然不能忍!怎麼辦?由於各網站性質不同(遊戲/新聞等),需求也是不盡相同的。所以又拍雲提供多種防盜鏈功能,滿足使用者的需要。
Referer 防盜鏈
最常用的防盜鏈手段,就是通過對 HTTP 請求中的 Referer Header 進行判斷,來決定使用者是否可以訪問該資源。
白名單:僅允許名單中的域名網站訪問檔案,其他域名網站都不允許訪問。
黑名單:僅禁止名單中的域名網站訪問檔案,其他域名網站都允許訪問。
Referer 為空:若禁止即不允許使用者直接訪問該資源,因為直接在瀏覽器的位址列中輸入一個資源的 URL 地址,請求是不會包含 Referer 欄位的。
User-Agent 防盜鏈
HTTP 請求 Header 中的 User-Agent 欄位,是一段瀏覽器或者裝置標識的字串。對於網站本身來說,有時需要讓一些資源只能在某些瀏覽器或者裝置上才能訪問。
又拍雲 CDN 支援針對 HTTP 請求頭中的 User-Agent 資訊,禁止或者允許符合特定 User-Agent 規則的請求。具體的使用場景例如:某客戶端擁有自己專屬的客戶端對資源進行下載,該下載工具在請求時,使用了定製的 User-Agent 名稱,或只允許此類 User-Agent 請求資源,此時可以配置 User-Agent 白名單就可以實現。
Token 防盜鏈
Token 防盜鏈是提供時效性訪問的。通過設定訪問金鑰和過期時間來達到加密檔案的目的。只有按照演算法成功計算出 Token 才能進行訪問。比如網站有些內容,希望付費才能訪問,且規定訪問有有效期,就可以通過 Token 防盜鏈來實現。
安全防護
又拍雲針對惡意 IP 訪問、CC 攻擊、SQL 注入等安全問題提供了 IP 訪問限制、CC 攻擊、WAF 防護等功能。
IP 訪問限制
可以針對單個 IP 在單位週期時間內的訪問頻率設定一定的閾值,將超過該閾值的 IP 的訪問進行直接攔截,從而達到訪問限制的目的。
當前的單 IP 訪問頻率只支援針對 CDN 單個邊緣節點生效,當達到設定的閾值時,異常訪問的客戶端 IP 將加入黑名單中,並可以設定生效時間,在該時間週期內,所有該 IP 的訪問都會被攔截。
CC 防護
攻擊一直都是讓網站管理者頭疼的問題,特別面對惡意的 DDoS 攻擊時。CC 攻擊(Challenge Collapsar)是 DDoS的一種,也是一種常見的網站攻擊方法,攻擊者通過代理伺服器或者肉雞向受害網站不停地發大量資料包,造成對方伺服器資源耗盡,一直到當機崩潰。
CC 防護主要是針對 CC 攻擊的一種應用層攻擊防護,該功能通過自定義匹配規則對目標資源進行監控,當請求頻率達到觸發頻率時,對疑似攻擊請求進行校驗,校驗通過則允許訪問;校驗不通過,則直接禁止訪問。
WAF 防護
WAF(Web Application Firewall)的中文名稱叫做 Web 應用防火牆 ,是通過執行一系列針對 HTTP/HTTPS 的安全策略來專門為 Web 應用提供保護的一項功能。主要防護的是來自對網站源站的動態資料攻擊,可防護的攻擊型別包括 SQL 注入、XSS 攻擊、CSRF 攻擊、惡意爬蟲、掃描器、遠端檔案包含等。
WAF 模組部署在又拍雲 CDN 所有邊緣節點上,提供了強大的網路和應用安全環境,WAF 模組通過對 HTTP 流量進行監測和實時分析。
WAF 的核心規則提供以下防護方式:
- 能 HTTP 保護:HTTP 協議規範檢測,並啟用本地有效策略;
- 一般 WEB 攻擊保護:檢測一般 WEB 應用的安全攻擊;
- 自動檢測:檢測機器人、爬蟲、掃描器和其他的表面惡意行動;
- 木馬檢測:檢測木馬程式進入;
- 過失隱藏:偽裝伺服器發出錯誤訊息。
又拍雲提供了豐富且強大的訪問控制功能,讓您在網站管理中遇到的頭疼問題“迎刃而解”。不僅可以根據需求針對各項來源進行限制,還可以預先配置防止盜刷流量,防範於未然。同時結合又拍雲“統計分析”,分析異常流量原因並進行封禁,讓您脫離維護網站的苦海,夜晚安心入眠。
推薦閱讀: