1
proxytoworld 309 天前
你 cdn 怎么可能部署在 waf 后面啊
|
2
MFcliff OP 那 CDN 配置在 WAF 前面,WAF 的防护功能还有用吗
|
3
ScotGu 309 天前
正常都是 CDN 在前 WAF 在后。
现在有新产品把这俩产品整合一起了。 最近接触到天翼云的 AccessOne |
4
proxytoworld 309 天前
你怎么让 waf 在 cdn 前面,用户请求先过你 waf ?然后你转发到 cdn ,那 cdn 作用是什么
回源的请求过 waf 不就行了 |
5
lambdaq 309 天前
cdn 自建的嘛?
不是自建的,你如何做到在前面套一层 waf ? |
6
coderxy 309 天前
你用 cdn 来做全球加速? cdn 应该在 waf 前面,waf 配置的时候注意修改一下根据请求 ip 限制的一些规则就行。
其实如果是拿来加速的,有 Anycast 这种加速方案的。 |
7
Tink 309 天前
cdn 还能在 waf 后面吗
|
9
guazao 309 天前
好巧
正在做 把 WAF 功能嵌入到 CDN 里 |
10
CurtisAsia 309 天前
@ScotGu
CDN+WAF: 正常请求 -> CDN 节点加速 -> WAF -> 源站/服务器 恶意请求 -> CDN 节点加速 -> WAF (拦截) -> DROP/记录 SCDN: 正常请求 -> SCDN (加速/拦截) -> 源站/服务器 恶意请求 -> SCDN (加速/拦截) -> DROP/记录 OP 说的 SCDN 一类的服务 就是把 WAF 边缘化了 把 WAF 和 CDN 整合到一起 可以理解成在离客户端很近的边缘就拦截了 如果把 WAF 丢到 CDN 前面 CDN 就没意义了 |
11
MFcliff OP @proxytoworld 回源的请求过 WAF ,如果遭受了大量的 CC 攻击请求,CDN 能抗的住吗?那不是会产生大量的请求费用?
|
15
assassins1234567 309 天前 via iPhone
我们用的 cdn 就是在 waf 后面,
|
16
uncleroot 309 天前
|
17
xmumiffy 309 天前
你这种得用带 waf 功能的 CDN 了
|
18
proxytoworld 309 天前
@MFcliff 站内很多 cdn 被 cc 刷账单的啊,cdn 都是大厂,先担心钱包在担心能不能扛得住把
|
19
liuhaidong 309 天前
大厂基本都支持 限制单个节点的访问频率设置,基本可以扛住 cc 。
但是扛不住刷流量,大部分的流量控制都有延迟,很容易被刷爆。 |
20
timochan 309 天前
正常情况下,CDN 应该在 WAF 之前(流量 -> CDN -> WAF ),不过也有带 WAF 功能的 CDN ,比如腾讯云的 EdgeOne ,个人测试后觉得还行。当然各类厂商都有类似的产品。我个人体验的是腾讯云 CDN & EdgeOne ,CDN 的节点比 EdgeOne 多得多,如果你在意这个的话,可以考虑别家的产品。
|
21
Atomo 308 天前 via Android
配置鉴权就 ok 了,国内 cdn 厂商都支持
|
22
pollux 308 天前
我觉得 WAF 和 CDN 谁在前在后,需要根据不同的情况做战术策略:
一看 CDN 和 WAF 的类型和收费模式,CDN 分拼节点数量型,Anycast 型(国外用得多),大带宽型,带宽+防御一体型等 ; WAF 分智能检测型,高防清洗型,硬件路由或交换机等,这个属于防御产品的选型和估算防攻击要付出的成本代价。 二看 WAF 防御和清洗有多强,很强的 WAF 可以向前靠,弱的 WAF 前置也是白瞎,一般强的 WAF 都是分布式>单机,硬件>软件,路由>交换。 三看攻击类型,如果攻击类型是大规模的 CC 攻击,中等数量的 CDN 和鉴权,白名单,防盗链也能胜任,放前面更有性价比,如果是流量型的 DDoS 攻击,如果 CDN 按带宽收费,不如直接上 WAF 高防清洁前置。 四看保服务可用性还是保服务可靠性。如果是服务可用性,清不清洗无所谓,那 CDN 胜在节点数量多,只要服务不全部挂,前置是良策; 如果是要求服务可靠性 ,那 WAF 清洗必须要前置,后面 CDN 再保护源站。 |