最近有同学担心 域名 接入CDN后是否安全,源站是否存在风险,是否会遭受各种网络攻击?
不用担心,CDN提供了强大的安全防护措施,下面就给大家介绍华为云CDN几种常见的安全防护。
HTTPS安全加速
通过配置加速域名的HTTPS证书,并将其部署在全网CDN节点,实现HTTPS安全加速。
HTTP和HTTPS的区别是什么呢?
HTTP:HTTP协议以明文方式发送内容,不提供任何方式的 数据加密 ,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读取其中的信息。
HTTPS:为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
优势:HTTPS数据传输过程是加密的,安全性较好,能防止传输内容被窃取。
不足:HTTP传输方式响应速度快于HTTPS,因为HTTP使用TCP三次握手,客户端 和服务器只需要交换3个包,而HTTPS还需要加上SSL握手9个包。
配置HTTPS安全加速前,需要准备SSL证书,CDN支持使用自有证书,也可以前往 SSL证书管理 购买证书或管理托管证书。
CDN HTTPS安全加速具体配置方法请戳这里~
Referer防盗链
通过配置referer黑白名单对访问者身份进行识别和过滤,实现限制访问来源的目的。
防盗链功能基于 HTTP 协议支持的 referer 机制,通过referer跟踪来源,对来源进行识别和判断。用户访问加速域名网站内容时,访问请求到达CDN节点后,CDN节点会根据配置的referer黑白名单,对访问者的身份进行识别和过滤,符合规则的可以顺利访问到该内容。如果不符合规则,该访问请求将会被禁止,返回403禁止访问的错误信息。
优势:可以控制访问请求的来源,比如某些页面或域名过来的请求可以访问,某些不能访问,根据自己的需求灵活定制。
不足:referer信息可以伪造。
referer防盗链的具体配置方法请戳这里~
IP黑白名单
配置IP黑白名单,通过设置过滤策略,对用户请求IP地址进行过滤,从而限制访问来源。
设置黑名单之后,除了黑名单中的IP地址都能访问;设置白名单之后,只有白名单中的IP地址能访问。
优势:方法简单,效果明显,能屏蔽可疑IP地址。
不足:有局限性,使用时必须知道访问者的IP地址,适用的场景有限。
IP黑白名单的具体配置方法请戳这里~
URL鉴权
CDN分发的内容默认为公开资源,URL鉴权功能主要用于保护用户站点资源,防止资源被恶意用户下载盗用。华为云CDN提供了3种URL鉴权配置。
校验方法:
是否携带鉴权参数。如果没有携带鉴权参数,认为请求非法,返回HTTP 403错误。
时间校验:判断系统当前时间是否在区间[timestamp, timestamp+有效时间]内。超出该区间,认为过期失效并返回HTTP 403错误。
加密串校验:时间校验通过后,则以sstring方式构造出一个字符串。然后使用md5算法算出HashValue,并和用户请求中带来的md5hash进行对比。结果一致则认为鉴权通过并返回文件,否则鉴权失败返回HTTP 403错误。
3种鉴权方式的URL组成和鉴权串的加密算法有所差异。
A类鉴权的访问URL构成:http://DomainName/Filename?auth_key=timestamp-rand-uid-md5hash
B类鉴权的访问URL构成:http://DomainName/timestamp/md5hash/FileName
C类鉴权的访问URL构成:
格式一:http://DomainName/{/}/FileName
格式二:http://DomainName/FileName?md5hash=×tamp=
优势:鉴权通过后才被认定为合法请求,否则视为非法请求,拒绝访问。能有效保护CDN站点资源。
详细的URL鉴权配置以及参数说明请参考URL鉴权。
CDN和 WAF 联合配置
WAF的作用
Web应用防火墙 (Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
购买Web应用防火墙后,在WAF管理控制台将域名添加并接入WAF,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
CDN+WAF配置原理
先将 域名解析 到CDN,再将CDN回源地址修改为WAF的“CNAME”,这样流量才会被CDN转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。配置完成后,流量会先经过CDN,再转发至WAF,实现联动防御。
优势:能有效识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击。
版权声明:本文章文字内容来自第三方投稿,版权归原始作者所有。本网站不拥有其版权,也不承担文字内容、信息或资料带来的版权归属问题或争议。如有侵权,请联系contentedit@huawei.com,本网站有权在核实确属侵权后,予以删除文章。