V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
MFcliff
V2EX  ›  云计算

如果又要防 CC 攻击、又要保障用户使用 CDN 加速, CDN 到底是应该配置在 WAF 前面好还是配置在 WAF 后面好?

  •  1
     
  •   MFcliff · 357 天前 · 2506 次点击
    这是一个创建于 357 天前的主题,其中的信息可能已经有所发展或是发生改变。
    22 条回复    2024-01-04 08:33:15 +08:00
    proxytoworld
        1
    proxytoworld  
       357 天前
    你 cdn 怎么可能部署在 waf 后面啊
    MFcliff
        2
    MFcliff  
    OP
       357 天前
    那 CDN 配置在 WAF 前面,WAF 的防护功能还有用吗
    ScotGu
        3
    ScotGu  
       357 天前
    正常都是 CDN 在前 WAF 在后。
    现在有新产品把这俩产品整合一起了。
    最近接触到天翼云的 AccessOne
    proxytoworld
        4
    proxytoworld  
       357 天前
    你怎么让 waf 在 cdn 前面,用户请求先过你 waf ?然后你转发到 cdn ,那 cdn 作用是什么

    回源的请求过 waf 不就行了
    lambdaq
        5
    lambdaq  
       357 天前
    cdn 自建的嘛?

    不是自建的,你如何做到在前面套一层 waf ?
    coderxy
        6
    coderxy  
       357 天前
    你用 cdn 来做全球加速? cdn 应该在 waf 前面,waf 配置的时候注意修改一下根据请求 ip 限制的一些规则就行。

    其实如果是拿来加速的,有 Anycast 这种加速方案的。
    Tink
        7
    Tink  
       357 天前
    cdn 还能在 waf 后面吗
    MFcliff
        8
    MFcliff  
    OP
       357 天前
    @coderxy 像阿里或者腾讯的安全加速 SCDN 这种是什么原理呢?和 Anycast 一样吗?
    guazao
        9
    guazao  
       357 天前
    好巧
    正在做 把 WAF 功能嵌入到 CDN 里
    CurtisAsia
        10
    CurtisAsia  
       357 天前
    @ScotGu
    CDN+WAF:
    正常请求 -> CDN 节点加速 -> WAF -> 源站/服务器
    恶意请求 -> CDN 节点加速 -> WAF (拦截) -> DROP/记录

    SCDN:
    正常请求 -> SCDN (加速/拦截) -> 源站/服务器
    恶意请求 -> SCDN (加速/拦截) -> DROP/记录

    OP 说的 SCDN 一类的服务 就是把 WAF 边缘化了 把 WAF 和 CDN 整合到一起 可以理解成在离客户端很近的边缘就拦截了 如果把 WAF 丢到 CDN 前面 CDN 就没意义了
    MFcliff
        11
    MFcliff  
    OP
       357 天前
    @proxytoworld 回源的请求过 WAF ,如果遭受了大量的 CC 攻击请求,CDN 能抗的住吗?那不是会产生大量的请求费用?
    MFcliff
        12
    MFcliff  
    OP
       357 天前
    @lambdaq 不自建的,找 CDN 厂商
    abonan
        13
    abonan  
       357 天前
    @MFcliff CDN 只是转发不处理内容,肯定可以。增加费用是没办法的,或者就是找类似 CF 那种有 WAF 的 CDN
    kris0502
        14
    kris0502  
       357 天前
    @Tink CDN 怎么放 waf 前面,放 waf 后面 cdn 的意义是啥
    assassins1234567
        15
    assassins1234567  
       357 天前 via iPhone
    我们用的 cdn 就是在 waf 后面,
    uncleroot
        16
    uncleroot  
       357 天前
    https://cloud.tencent.com/product/teo
    你看看是不是这种。
    xmumiffy
        17
    xmumiffy  
       357 天前
    你这种得用带 waf 功能的 CDN 了
    proxytoworld
        18
    proxytoworld  
       357 天前
    @MFcliff 站内很多 cdn 被 cc 刷账单的啊,cdn 都是大厂,先担心钱包在担心能不能扛得住把
    liuhaidong
        19
    liuhaidong  
       357 天前
    大厂基本都支持 限制单个节点的访问频率设置,基本可以扛住 cc 。

    但是扛不住刷流量,大部分的流量控制都有延迟,很容易被刷爆。
    timochan
        20
    timochan  
       357 天前
    正常情况下,CDN 应该在 WAF 之前(流量 -> CDN -> WAF ),不过也有带 WAF 功能的 CDN ,比如腾讯云的 EdgeOne ,个人测试后觉得还行。当然各类厂商都有类似的产品。我个人体验的是腾讯云 CDN & EdgeOne ,CDN 的节点比 EdgeOne 多得多,如果你在意这个的话,可以考虑别家的产品。
    Atomo
        21
    Atomo  
       356 天前 via Android
    配置鉴权就 ok 了,国内 cdn 厂商都支持
    pollux
        22
    pollux  
       356 天前
    我觉得 WAF 和 CDN 谁在前在后,需要根据不同的情况做战术策略:

    一看 CDN 和 WAF 的类型和收费模式,CDN 分拼节点数量型,Anycast 型(国外用得多),大带宽型,带宽+防御一体型等 ; WAF 分智能检测型,高防清洗型,硬件路由或交换机等,这个属于防御产品的选型和估算防攻击要付出的成本代价。

    二看 WAF 防御和清洗有多强,很强的 WAF 可以向前靠,弱的 WAF 前置也是白瞎,一般强的 WAF 都是分布式>单机,硬件>软件,路由>交换。

    三看攻击类型,如果攻击类型是大规模的 CC 攻击,中等数量的 CDN 和鉴权,白名单,防盗链也能胜任,放前面更有性价比,如果是流量型的 DDoS 攻击,如果 CDN 按带宽收费,不如直接上 WAF 高防清洁前置。

    四看保服务可用性还是保服务可靠性。如果是服务可用性,清不清洗无所谓,那 CDN 胜在节点数量多,只要服务不全部挂,前置是良策; 如果是要求服务可靠性 ,那 WAF 清洗必须要前置,后面 CDN 再保护源站。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3037 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:32 · PVG 22:32 · LAX 06:32 · JFK 09:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.