三者无法同时联动
CDN可以跟WAF联动:浏览器 -> CDN-> WAF ->源站服务器
WAF可以跟DDoS高防联动:浏览器 -> DDoS高防-> WAF ->源站服务器
CDN不能接在DDoS高防前面或后面,但是可以进行并行联动配置
CDN+WAF
CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。
WAF+DDos高防
WAF+DDoS高防的联动防护,可以同时防御DDoS攻击(NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击等),以及Web应用攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)
WAF+DDoS高防配置后,流量被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
DDos高防+CDN
DDos高防与CDN的联动防护,其实就是将访问资源分开,静态资源调用CDN加速,动态资源调用DDos高防进行流量清洗。
类别 | 定义 | 举例 | 防护措施 |
---|---|---|---|
动态资源 | 服务器端在应答客户请求前需要和数据库进行交互的业务。 | 支付、登录 | 动态资源的域名解析到高防的CNAME。高防防护能够保证登录、支付等功能平台稳定运行不中断。 |
静态资源 | 客户端可以直接在对象存储中获取的固定资源。 | 图片、视频 | 静态资源的域名解析到CDN的CNAME。CDN加速能够快速获取视频、图片等资源,提升访问体验。 |
或者,不考虑动静态资源分离,当业务遭受大流量DDoS攻击时,可以通过配置高防IP,将攻击流量引流到高防IP清洗,确保源站业务稳定可靠。没有攻击时,可以通过CDN加速提高访问体验。
-
误区一:流量先经过CDN再经过高防,即高防串联在CDN后面
解释:高防的DDoS防护功能失去意义。攻击流量先到达CDN,CDN被攻击用户无法访问,攻击流量不会到达高防,高防没有做流量清洗的机会。 -
误区二:流量先经过高防再经过CDN,即CDN串联在高防后面
解释:CDN的加速功能失去意义。CDN加速能力的工作原理是使用户可以就近访问分散在各地的CDN节点,客户端直接访问高防则无法使用CDN就近访问的加速能力。
参考:https://support.huaweicloud.com/bestpractice-waf/waf_06_0022.html