使用CDN安全嗎？CDN如何達(dá)到基本防護功能呢?

網(wǎng)絡(luò)的普及為生活帶來極大便利，民眾能夠在不出門的情況下透過網(wǎng)絡(luò)完成各種大小事務(wù)。線上服務(wù)已成為日常生活中不可或缺的一部分，提供線上服務(wù)的供應(yīng)商為了因應(yīng)龐大的客戶流量，會選擇部署CDN（Content Delivery Network，內(nèi)容傳遞網(wǎng)絡(luò)）來提升網(wǎng)站效能。然而，隨著網(wǎng)絡(luò)攻擊事件頻傳，網(wǎng)站安全問題日益受到重視。CDN作為加速網(wǎng)站的普遍被采用的服務(wù)，如何在提升網(wǎng)站速度的同時，實現(xiàn)基本的安全防御呢？本文將舉出幾個CDN的安全防護功能。

一、CDN的基本架構(gòu)

CDN（Content Delivery Network）是內(nèi)容傳遞網(wǎng)絡(luò)的縮寫，全球部屬多個節(jié)點服務(wù)器連接高速網(wǎng)絡(luò)，讓用戶連網(wǎng)時自動選擇離使用者最近的節(jié)點，提供更快速的網(wǎng)站內(nèi)容遞送，并且可降低單一源站服務(wù)器的負(fù)擔(dān)，強化網(wǎng)站的穩(wěn)定性。

二、CDN的安全防護功能

CDN除了優(yōu)化網(wǎng)站傳遞的速度，并可以透過多重保護措施進(jìn)行網(wǎng)站安全防護：

1. CDN 節(jié)點服務(wù)器

CDN的多臺節(jié)點服務(wù)器不僅用于加速網(wǎng)站內(nèi)容傳遞，還可以避免單一服務(wù)器受到攻擊時整個網(wǎng)站服務(wù)癱瘓的風(fēng)險，多節(jié)點的特性也緩解L3/L4的DDoS流量攻擊。此外，CDN服務(wù)器在源站前面，隱藏了源站的IP位置，大幅減低源站IP暴露在外而遭受攻擊的風(fēng)險。

2. SSL 加密憑證驗證

CDN傳輸過程中，可透過SSL加密憑證驗證來源服務(wù)器的身份，建立安全的加密連線，可以有效確保用戶瀏覽的網(wǎng)站正確性，確保用戶與網(wǎng)站之間通信的安全性。

3. WAF 防火墻防御

CDN的WAF，即網(wǎng)頁應(yīng)用程式防火墻，透過監(jiān)控并過濾網(wǎng)站傳輸?shù)腍ttp/ Https請求，有效防止L7的網(wǎng)絡(luò)攻擊，部分CDN廠商防范像是機器人攻擊、OWASP Top 10等攻擊方式。

針對上述攻擊，WAF可自行設(shè)置防護規(guī)則，如建立黑/白名單、封鎖異常存取行為等，透過預(yù)先封鎖惡意請求，有效阻絕攻擊。此外WAF的速率控制(rate-limiting) 藉由限制特定IP或API，在一定時間范圍內(nèi)重復(fù)同個動作的頻率，達(dá)到阻止某些類型的惡意存取行為。

機器人攻擊是指網(wǎng)站進(jìn)行大量自動化請求，以消耗網(wǎng)站資源、降低網(wǎng)站效能或進(jìn)行其他惡意行為。部分CDN額外提供Bot功能，可機器學(xué)習(xí)偵測變型的攻擊、檢查節(jié)點的爬蟲流量并抵御惡意爬蟲，進(jìn)行有效防護策略。

三、火傘云 CDN

以火傘云CDN為例，支援SSL加密的網(wǎng)站傳遞，確保在資料傳輸過程中保有完整性和機密性。同時，火傘云CDN提供WAF防護，能夠有效地抵擋常見的網(wǎng)路攻擊，像是OWASP Top 10、XSS跨網(wǎng)站攻擊等，實現(xiàn)基礎(chǔ)的網(wǎng)站防護策略。中華CDN更擁有島內(nèi)Tb級的頻寬，提供無限量的L3,L4的DDoS緩解保護，抵御大量的流量攻擊。
CDN不僅僅是用來優(yōu)化網(wǎng)站效能的工具，同時也提供相當(dāng)程度的安全防護機制。透過節(jié)點伺服器、WAF，以及其他網(wǎng)站安全機制，CDN能夠有效地防止源站受到各種攻擊，提高網(wǎng)站的整體安全性。