网络的普及为生活带来极大便利,民众能够在不出门的情况下透过网络完成各种大小事务。线上服务已成为日常生活中不可或缺的一部分,提供线上服务的供应商为了因应庞大的客户流量,会选择部署CDN(Content Delivery Network,内容传递网络)来提升网站效能。然而,随著网络攻击事件频传,网站安全问题日益受到重视。CDN作为加速网站的普遍被采用的服务,如何在提升网站速度的同时,实现基本的安全防御呢?本文将举出几个CDN的安全防护功能。
一、CDN的基本架构
CDN(Content Delivery Network)是内容传递网络的缩写,全球部属多个节点服务器连接高速网络,让用户连网时自动选择离使用者最近的节点,提供更快速的网站内容递送,并且可降低单一源站服务器的负担,强化网站的稳定性。
二、CDN的安全防护功能
CDN除了优化网站传递的速度,并可以透过多重保护措施进行网站安全防护:
1. CDN 节点服务器
CDN的多台节点服务器不仅用于加速网站内容传递,还可以避免单一服务器受到攻击时整个网站服务瘫痪的风险,多节点的特性也缓解L3/L4的DDoS流量攻击。此外,CDN服务器在源站前面,隐藏了源站的IP位置,大幅减低源站IP暴露在外而遭受攻击的风险。
2. SSL 加密凭证验证
CDN传输过程中,可透过SSL加密凭证验证来源服务器的身份,建立安全的加密连线,可以有效确保用户浏览的网站正确性,确保用户与网站之间通信的安全性。
3. WAF 防火墙防御
CDN的WAF,即网页应用程式防火墙,透过监控并过滤网站传输的Http/ Https请求,有效防止L7的网络攻击,部分CDN厂商防范像是机器人攻击、OWASP Top 10等攻击方式。
针对上述攻击,WAF可自行设置防护规则,如建立黑/白名单、封锁异常存取行为等,透过预先封锁恶意请求,有效阻绝攻击。此外WAF的速率控制(rate-limiting) 藉由限制特定IP或API,在一定时间范围内重复同个动作的频率,达到阻止某些类型的恶意存取行为。
机器人攻击是指网站进行大量自动化请求,以消耗网站资源、降低网站效能或进行其他恶意行为。部分CDN额外提供Bot功能,可机器学习侦测变型的攻击、检查节点的爬虫流量并抵御恶意爬虫,进行有效防护策略。
三、火伞云 CDN
以火伞云CDN为例,支援SSL加密的网站传递,确保在资料传输过程中保有完整性和机密性。同时,火伞云CDN提供WAF防护,能够有效地抵挡常见的网路攻击,像是OWASP Top 10、XSS跨网站攻击等,实现基础的网站防护策略。中华CDN更拥有岛内Tb级的频宽,提供无限量的L3,L4的DDoS缓解保护,抵御大量的流量攻击。
CDN不仅仅是用来优化网站效能的工具,同时也提供相当程度的安全防护机制。透过节点伺服器、WAF,以及其他网站安全机制,CDN能够有效地防止源站受到各种攻击,提高网站的整体安全性。
