網絡已經成為生活中必不可少的一部分,無論是清早手機翻看的新聞八卦,還是公交地鐵里刷的停不下來的短視頻,又或是你閑逛的購物網站,熱追的電視劇,都與 CDN 有着密不可分的聯系。無論你在互聯網上做什么,或者消費什么類型的內容,其實每個文本字符、每一幀圖像背后都會有 CDN 的助力。
CDN(Content Delivery Network,即內容分發網絡)主要通過將訪問內容緩存在邊緣節點,縮短用戶與網站的距離,來提高站點渲染速度和性能。很顯然,CDN 發揮的作用主要由邊緣節點來呈現,邊緣節點作為用戶與源站的橋梁,其實不僅僅只起到加速的作用,同時還可以作為惡意訪問的“屏障”。這也就是我們今天着重要講的 —— 訪問控制。
又拍雲 CDN 訪問控制包含訪問限制、各種防盜鏈、安全防護等功能,全方位滿足用戶需求。
訪問限制
訪問限制分別包括 IP 黑白名單和地區訪問限制,也是兩種比較基礎的訪問控制功能。
IP 黑白名單
由於某些行業競爭激烈,因此常常會遇到一些競爭對手利用惡意 IP 占用網站資源,影響網站訪問。為了能夠保護站點數據和流量負載,需要網站運營者對這些惡意 IP 進行屏蔽。
若需要禁止某些 IP 或只允許某些 IP 訪問,可以使用 IP 黑白名單功能。並且在同一時間內,又拍雲只支持生效一種規則,比如:要么禁止某些 IP 訪問,要么允許某些 IP 訪問。支持 * 通配符,如 10.11.12.*,將禁止或只允許 10.11.12.0 ~ 10.11.12.255 范圍的 IP 訪問。
地區訪問限制
地區訪問限制是指根據加速網站的需求,允許或禁止特定區域的終端用戶對網站資源的訪問。即網站指定地區,允許該地區終端用戶訪問,而限制其他地區用戶訪問,或者相反。
防盜鏈
在講防盜鏈之前,先來了解一下什么是盜鏈。
盜鏈是指服務提供商自己不提供服務的內容,通過技術手段繞過其它有利益的最終用戶界面(如廣告),直接在自己的網站上向終端用戶提供其它服務提供商的服務內容,騙取最終用戶的瀏覽和點擊率。
簡單來說,就是其他網站上“盜”用了你網站的資源,去增加他的網站點擊率,但最后流量卻算在你身上,讓你花“冤枉錢”。這個當然不能忍!怎么辦?由於各網站性質不同(游戲/新聞等),需求也是不盡相同的。所以又拍雲提供多種防盜鏈功能,滿足用戶的需要。
Referer 防盜鏈
最常用的防盜鏈手段,就是通過對 HTTP 請求中的 Referer Header 進行判斷,來決定用戶是否可以訪問該資源。
白名單:僅允許名單中的域名網站訪問文件,其他域名網站都不允許訪問。
黑名單:僅禁止名單中的域名網站訪問文件,其他域名網站都允許訪問。
Referer 為空:若禁止即不允許用戶直接訪問該資源,因為直接在瀏覽器的地址欄中輸入一個資源的 URL 地址,請求是不會包含 Referer 字段的。
User-Agent 防盜鏈
HTTP 請求 Header 中的 User-Agent 字段,是一段瀏覽器或者設備標識的字符串。對於網站本身來說,有時需要讓一些資源只能在某些瀏覽器或者設備上才能訪問。
又拍雲 CDN 支持針對 HTTP 請求頭中的 User-Agent 信息,禁止或者允許符合特定 User-Agent 規則的請求。具體的使用場景例如:某客戶端擁有自己專屬的客戶端對資源進行下載,該下載工具在請求時,使用了定制的 User-Agent 名稱,或只允許此類 User-Agent 請求資源,此時可以配置 User-Agent 白名單就可以實現。
Token 防盜鏈
Token 防盜鏈是提供時效性訪問的。通過設置訪問密鑰和過期時間來達到加密文件的目的。只有按照算法成功計算出 Token 才能進行訪問。比如網站有些內容,希望付費才能訪問,且規定訪問有有效期,就可以通過 Token 防盜鏈來實現。
安全防護
又拍雲針對惡意 IP 訪問、CC 攻擊、SQL 注入等安全問題提供了 IP 訪問限制、CC 攻擊、WAF 防護等功能。
IP 訪問限制
可以針對單個 IP 在單位周期時間內的訪問頻率設置一定的閾值,將超過該閾值的 IP 的訪問進行直接攔截,從而達到訪問限制的目的。
當前的單 IP 訪問頻率只支持針對 CDN 單個邊緣節點生效,當達到設定的閾值時,異常訪問的客戶端 IP 將加入黑名單中,並可以設定生效時間,在該時間周期內,所有該 IP 的訪問都會被攔截。
CC 防護
攻擊一直都是讓網站管理者頭疼的問題,特別面對惡意的 DDoS 攻擊時。CC 攻擊(Challenge Collapsar)是 DDoS的一種,也是一種常見的網站攻擊方法,攻擊者通過代理服務器或者肉雞向受害網站不停地發大量數據包,造成對方服務器資源耗盡,一直到宕機崩潰。
CC 防護主要是針對 CC 攻擊的一種應用層攻擊防護,該功能通過自定義匹配規則對目標資源進行監控,當請求頻率達到觸發頻率時,對疑似攻擊請求進行校驗,校驗通過則允許訪問;校驗不通過,則直接禁止訪問。
WAF 防護
WAF(Web Application Firewall)的中文名稱叫做 Web 應用防火牆 ,是通過執行一系列針對 HTTP/HTTPS 的安全策略來專門為 Web 應用提供保護的一項功能。主要防護的是來自對網站源站的動態數據攻擊,可防護的攻擊類型包括 SQL 注入、XSS 攻擊、CSRF 攻擊、惡意爬蟲、掃描器、遠程文件包含等。
WAF 模塊部署在又拍雲 CDN 所有邊緣節點上,提供了強大的網絡和應用安全環境,WAF 模塊通過對 HTTP 流量進行監測和實時分析。
WAF 的核心規則提供以下防護方式:
- 能 HTTP 保護:HTTP 協議規范檢測,並啟用本地有效策略;
- 一般 WEB 攻擊保護:檢測一般 WEB 應用的安全攻擊;
- 自動檢測:檢測機器人、爬蟲、掃描器和其他的表面惡意行動;
- 木馬檢測:檢測木馬程序進入;
- 過失隱藏:偽裝服務器發出錯誤消息。
又拍雲提供了豐富且強大的訪問控制功能,讓您在網站管理中遇到的頭疼問題“迎刃而解”。不僅可以根據需求針對各項來源進行限制,還可以預先配置防止盜刷流量,防范於未然。同時結合又拍雲“統計分析”,分析異常流量原因並進行封禁,讓您脫離維護網站的苦海,夜晚安心入眠。
推薦閱讀: