WAF、CDN、DDOS高防产品联动

三者无法同时联动
CDN可以跟WAF联动:浏览器 -> CDN-> WAF ->源站服务器
WAF可以跟DDoS高防联动:浏览器 -> DDoS高防-> WAF ->源站服务器
CDN不能接在DDoS高防前面或后面,但是可以进行并行联动配置

CDN+WAF

CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。
在这里插入图片描述

WAF+DDos高防

WAF+DDoS高防的联动防护,可以同时防御DDoS攻击(NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击等),以及Web应用攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)

WAF+DDoS高防配置后,流量被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
在这里插入图片描述

DDos高防+CDN

DDos高防与CDN的联动防护,其实就是将访问资源分开,静态资源调用CDN加速,动态资源调用DDos高防进行流量清洗。
在这里插入图片描述

类别定义举例防护措施
动态资源服务器端在应答客户请求前需要和数据库进行交互的业务。支付、登录动态资源的域名解析到高防的CNAME。高防防护能够保证登录、支付等功能平台稳定运行不中断。
静态资源客户端可以直接在对象存储中获取的固定资源。图片、视频静态资源的域名解析到CDN的CNAME。CDN加速能够快速获取视频、图片等资源,提升访问体验。

或者,不考虑动静态资源分离,当业务遭受大流量DDoS攻击时,可以通过配置高防IP,将攻击流量引流到高防IP清洗,确保源站业务稳定可靠。没有攻击时,可以通过CDN加速提高访问体验。

  • 误区一:流量先经过CDN再经过高防,即高防串联在CDN后面
    解释:高防的DDoS防护功能失去意义。攻击流量先到达CDN,CDN被攻击用户无法访问,攻击流量不会到达高防,高防没有做流量清洗的机会。

  • 误区二:流量先经过高防再经过CDN,即CDN串联在高防后面
    解释:CDN的加速功能失去意义。CDN加速能力的工作原理是使用户可以就近访问分散在各地的CDN节点,客户端直接访问高防则无法使用CDN就近访问的加速能力。

参考:https://support.huaweicloud.com/bestpractice-waf/waf_06_0022.html

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值