CDN 訪問控制的那些事

網絡已經成爲生活中必不可少的一部分，不管是清早手機翻看的新聞八卦，仍是公交地鐵裏刷的停不下來的短視頻，又或是你閒逛的購物網站，熱追的電視劇，都與 CDN 有着密不可分的聯繫。不管你在互聯網上作什麼，或者消費什麼類型的內容，其實每一個文本字符、每一幀圖像背後都會有 CDN 的助力。

CDN（Content Delivery Network，即內容分發網絡）主要經過將訪問內容緩存在邊緣節點，縮短用戶與網站的距離，來提升站點渲染速度和性能。很顯然，CDN 發揮的做用主要由邊緣節點來呈現，邊緣節點做爲用戶與源站的橋樑，其實不只僅只起到加速的做用，同時還能夠做爲惡意訪問的「屏障」。這也就是咱們今天着重要講的 —— 訪問控制。

又拍雲 CDN 訪問控制包含訪問限制、各類防盜鏈、安全防禦等功能，全方位知足用戶需求。

訪問限制

訪問限制分別包括 IP 黑白名單和地區訪問限制，也是兩種比較基礎的訪問控制功能。

IP 黑白名單

因爲某些行業競爭激烈，所以經常會遇到一些競爭對手利用惡意 IP 佔用網站資源，影響網站訪問。爲了可以保護站點數據和流量負載，須要網站運營者對這些惡意 IP 進行屏蔽。

若須要禁止某些 IP 或只容許某些 IP 訪問，可使用 IP 黑白名單功能。而且在同一時間內，又拍雲只支持生效一種規則，好比：要麼禁止某些 IP 訪問，要麼容許某些 IP 訪問。支持 * 通配符，如 10.11.12.*，將禁止或只容許 10.11.12.0 ~ 10.11.12.255 範圍的 IP 訪問。

地區訪問限制

地區訪問限制是指根據加速網站的需求，容許或禁止特定區域的終端用戶對網站資源的訪問。即網站指定地區，容許該地區終端用戶訪問，而限制其餘地區用戶訪問，或者相反。

防盜鏈

在講防盜鏈以前，先來了解一下什麼是盜鏈。

盜鏈是指服務提供商本身不提供服務的內容，經過技術手段繞過其它有利益的最終用戶界面（如廣告），直接在本身的網站上向終端用戶提供其它服務提供商的服務內容，騙取最終用戶的瀏覽和點擊率。

簡單來講，就是其餘網站上「盜」用了你網站的資源，去增長他的網站點擊率，但最後流量卻算在你身上，讓你花「冤枉錢」。這個固然不能忍！怎麼辦？因爲各網站性質不一樣（遊戲/新聞等），需求也是不盡相同的。因此又拍雲提供多種防盜鏈功能，知足用戶的須要。

Referer 防盜鏈

最經常使用的防盜鏈手段，就是經過對 HTTP 請求中的 Referer Header 進行判斷，來決定用戶是否能夠訪問該資源。

白名單：僅容許名單中的域名網站訪問文件，其餘域名網站都不容許訪問。

黑名單：僅禁止名單中的域名網站訪問文件，其餘域名網站都容許訪問。

Referer 爲空：若禁止即不容許用戶直接訪問該資源，由於直接在瀏覽器的地址欄中輸入一個資源的 URL 地址，請求是不會包含 Referer 字段的。

User-Agent 防盜鏈

HTTP 請求 Header 中的 User-Agent 字段，是一段瀏覽器或者設備標識的字符串。對於網站自己來講，有時須要讓一些資源只能在某些瀏覽器或者設備上才能訪問。

又拍雲 CDN 支持針對 HTTP 請求頭中的 User-Agent 信息，禁止或者容許符合特定 User-Agent 規則的請求。具體的使用場景例如：某客戶端擁有本身專屬的客戶端對資源進行下載，該下載工具在請求時，使用了定製的 User-Agent 名稱，或只容許此類 User-Agent 請求資源，此時能夠配置 User-Agent 白名單就能夠實現。

Token 防盜鏈

Token 防盜鏈是提供時效性訪問的。經過設置訪問密鑰和過時時間來達到加密文件的目的。只有按照算法成功計算出 Token 才能進行訪問。好比網站有些內容，但願付費才能訪問，且規定訪問有有效期，就能夠經過 Token 防盜鏈來實現。

安全防禦

又拍雲針對惡意 IP 訪問、CC 攻擊、SQL 注入等安全問題提供了 IP 訪問限制、CC 攻擊、WAF 防禦等功能。

IP 訪問限制

能夠針對單個 IP 在單位週期時間內的訪問頻率設置必定的閾值，將超過該閾值的 IP 的訪問進行直接攔截，從而達到訪問限制的目的。

當前的單 IP 訪問頻率只支持針對 CDN 單個邊緣節點生效，當達到設定的閾值時，異常訪問的客戶端 IP 將加入黑名單中，並能夠設定生效時間，在該時間週期內，全部該 IP 的訪問都會被攔截。

CC 防禦

攻擊一直都是讓網站管理者頭疼的問題，特別面對惡意的 DDoS 攻擊時。CC 攻擊（Challenge Collapsar）是 DDoS的一種，也是一種常見的網站攻擊方法，攻擊者經過代理服務器或者肉雞向受害網站不停地發大量數據包，形成對方服務器資源耗盡，一直到宕機崩潰。

CC 防禦主要是針對 CC 攻擊的一種應用層攻擊防禦，該功能經過自定義匹配規則對目標資源進行監控，當請求頻率達到觸發頻率時，對疑似攻擊請求進行校驗，校驗經過則容許訪問；校驗不經過，則直接禁止訪問。

WAF 防禦

WAF（Web Application Firewall）的中文名稱叫作 Web 應用防火牆 ，是經過執行一系列針對 HTTP/HTTPS 的安全策略來專門爲 Web 應用提供保護的一項功能。主要防禦的是來自對網站源站的動態數據攻擊，可防禦的攻擊類型包括 SQL 注入、XSS 攻擊、CSRF 攻擊、惡意爬蟲、掃描器、遠程文件包含等。

WAF 模塊部署在又拍雲 CDN 全部邊緣節點上，提供了強大的網絡和應用安全環境，WAF 模塊經過對 HTTP 流量進行監測和實時分析。

WAF 的核心規則提供如下防禦方式：

1. 能 HTTP 保護：HTTP 協議規範檢測，並啓用本地有效策略；
2. 通常 WEB 攻擊保護：檢測通常 WEB 應用的安全攻擊；
3. 自動檢測：檢測機器人、爬蟲、掃描器和其餘的表面惡意行動；
4. 木馬檢測：檢測木馬程序進入；
5. 過失隱藏：假裝服務器發出錯誤消息。

又拍雲提供了豐富且強大的訪問控制功能，讓您在網站管理中遇到的頭疼問題「迎刃而解」。不只能夠根據需求針對各項來源進行限制，還能夠預先配置防止盜刷流量，防範於未然。同時結合又拍雲「統計分析」，分析異常流量緣由並進行封禁，讓您脫離維護網站的苦海，夜晚安心入眠。

 

推薦閱讀：

這樣介紹 CDN，老司機也能聽懂

 防盜鏈詳解 - 又拍雲

聊聊 CDN 緩存與瀏覽器緩存