WAF、CDN、DDOS高防产品联动

最新推荐文章于 2023-09-13 09:55:26 发布
最新推荐文章于 2023-09-13 09:55:26 发布
阅读量1.1k 收藏 6
点赞数 2
分类专栏: 企业安全建设 文章标签: 安全 WAF CDN DDOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M110K/article/details/119040478
版权

三者无法同时联动
CDN可以跟WAF联动:浏览器 -> CDN-> WAF ->源站服务器
WAF可以跟DDoS高防联动:浏览器 -> DDoS高防-> WAF ->源站服务器
CDN不能接在DDoS高防前面或后面,但是可以进行并行联动配置

CDN+WAF

CDN+WAF配置后,流量被CDN加速后转发到WAF,WAF再将流量转到源站,在提升访问网站的响应速度与网站的可用性的同时,实现网站流量检测和攻击拦截。
在这里插入图片描述

WAF+DDos高防

WAF+DDoS高防的联动防护,可以同时防御DDoS攻击(NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击等),以及Web应用攻击(SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等)

WAF+DDoS高防配置后,流量被DDoS高防转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
在这里插入图片描述

DDos高防+CDN

DDos高防与CDN的联动防护,其实就是将访问资源分开,静态资源调用CDN加速,动态资源调用DDos高防进行流量清洗。
在这里插入图片描述

类别定义举例防护措施
动态资源服务器端在应答客户请求前需要和数据库进行交互的业务。支付、登录动态资源的域名解析到高防的CNAME。高防防护能够保证登录、支付等功能平台稳定运行不中断。
静态资源客户端可以直接在对象存储中获取的固定资源。图片、视频静态资源的域名解析到CDN的CNAME。CDN加速能够快速获取视频、图片等资源,提升访问体验。

或者,不考虑动静态资源分离,当业务遭受大流量DDoS攻击时,可以通过配置高防IP,将攻击流量引流到高防IP清洗,确保源站业务稳定可靠。没有攻击时,可以通过CDN加速提高访问体验。

  • 误区一:流量先经过CDN再经过高防,即高防串联在CDN后面
    解释:高防的DDoS防护功能失去意义。攻击流量先到达CDN,CDN被攻击用户无法访问,攻击流量不会到达高防,高防没有做流量清洗的机会。

  • 误区二:流量先经过高防再经过CDN,即CDN串联在高防后面
    解释:CDN的加速功能失去意义。CDN加速能力的工作原理是使用户可以就近访问分散在各地的CDN节点,客户端直接访问高防则无法使用CDN就近访问的加速能力。

参考:https://support.huaweicloud.com/bestpractice-waf/waf_06_0022.html

KEY0NE
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
阿里云如何将CDNWAF共同使用
Amazing__M的博客
09-23 3171
今天弄了一波阿里云的CDNWAF如何同时使用的问题。 思路是这个样子的: 1.配置CDN,将域名接入CDN。(此时的域名解析的CNAME类型值是CDN的,这个很重要) 2.在Web应用防火墙中创建网站配置(这个地方在创建的时候需要注意“WAF前是否有七层代理(高防/CDN等)” 这一项一定要勾选“是”)。 3.查看WAF CNAME地址。 4.将CDN配置的源站改为WAF CNAME地址。 ...
利用阿里云 DDoSWAFCDN 和云防火墙为在线业务赋能
九河云的创作之路
12-06 1685
CDN)时,阿里云CDN会验证域名的所有权。至此,我们完成了这款多层防护方案的配置,该方案同时使用云防火墙、WAFCDN和Anti-DDoS。由于我们将在下一步中配置 DDoS 高防来连接 DDoS 高防服务,因此在验证 CDN 功能后,我们不需要更改此 DNS。如果您的源站使用阿里云服务,如弹性公网、CDN,您可以在需要时使用Sec-Traffic Manger进行DDoS防自动防护。在本说明中,我们选择使用DDoS高防服务,因为我们的网站源站位于中国大陆的VPC中,并且大多数最终用户来自中国大陆。
华为云CDN加速WAF防护资源实践
HWCloudDeveloper的博客
03-24 5285
前提条件 已经按照域名准入要求准备好需要接入的域名和华为云账号。 已购买WAF。 已开通CDN服务。 背景信息 CDN是构建在现有互联网基础之上的一层智能虚拟网络,通过在网络各处部署节点服务器,实现将源站内容分发至所有CDN节点,使用户可以就近获得所需的内容,所以接入CDN的网站都能有比较快的响应速度。 Web应用防火墙(WAF:Web Application Firewall),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、
CDN是否可以抵御DDOS攻击
m0_70655343的博客
01-10 1311
它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将 DNS 解析请求解析到用户所属网络的服务器上,同时智能 DNS 解析系统还有宕机检测功能,随时可将瘫痪的服务器 IP 智能更换成正常服务器 IP,为企业的网络保持一个永不宕机的服务状态。同时还能够增强网站被黑客攻击的难度,真正帮助服务管理人员提供更多的时间。攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
web页面解析流程及其相关知识(http、https、cdnwaf
iO快到碗里来
07-30 2003
Web 页面解析的流程 理解 web 页面解析的过程,总结其中涉及的基础知识和可能存在的安全问题。 Web 页面解析的总体流程 客户端(浏览器)发起页面请求,主机对 地址中的DNS 域名进行解析,找到对应的 IP 地址,请求发送到 服务端,服务器根据请求内容发送响应给客户端,客户端收到响应,将内容渲染成网页。 Apache请求处理循环讲解: 1、Post-Read-Request阶段: 在正常请求处理流程中,这是模块可以插入钩子的第一个阶段。对于那些想很早进入处理请求的模块来说,这个阶段可以被利用。 2、
25-24.渗透测试-指纹识别、WAFCDN识别.mp4
05-10
25-24.渗透测试-指纹识别、WAFCDN识别.mp4
2020年FreeBuf企业安全系列之国内WAF产品研究报告.pdf
04-19
第二部分,国内主流WAF产品名录。第三部分,国内WAF产品现状分析。第四部分,附录。近年来,针对Web应用的攻击已成为企业面临的主要安全问题之一。Gartner的数据显示,网络安全攻击有75%都是发生在Web应用层 而非...
项目方式讲解WAF建设.pdf
08-08
目录 需求 方案设计 技术实现 WAF基础功能 WAF拓展功能 WAF运营后台 功能和性能测试 经验总结
WAF产品经理眼中比较理想的WAF.pdf
07-23
WAF产品经理眼中比较理想的WAF.pdf
天融信WAF安装和用户手册
03-16
天融信官方WEB防护系统的用户手册和安装手册
腾讯云CDN产品介绍.pptx
10-13
腾讯云CDN产品介绍 CDN(Content Delivery Network,内容分发网络)是将服务端的内容发布到最接近用户的边缘节点,使用户可以就近取得所需的内容,解决Internet网络拥塞状况,提高用户访问网站的响应速度。腾讯云...
HUAWEI WAF5000 V200R001C00 产品文档(chm)
06-25
HUAWEI WAF5000 V200R001C00 产品文档(chm)
HUAWEI WAF5000 V200R001C00 产品文档(hdx)
06-25
HUAWEI WAF5000 V200R001C00 产品文档(hdx)
关注五大功能,选择更适用的WAF产品
10-19
WAF,Web应用防火墙,SQL注入攻击,Web应用,能才能满足国内客户对Web服务器防护的需求?事实上,无论是国内还是国外的WAF产品,功能的诉求点概括起来不外乎五个方面。
雷池waf配置手册大全
最新发布
05-16
保姆式教学,手把手学习,让你清晰认识waf设备
阿里云CDN架构接入WAF应用防火墙案例实践
热门推荐
江晓龙的博客
09-13 4万+
KodCloud是以HTTPS方式访问的,因此CDNWAF、SLB都需要配置HTTPS,如果网站部署强转HTTPS,那么WAF回源SLB的端口号可以使用80。配置完WAF网站接入后,在第二步会提供出WAF的CNAME地址,我们要将CNAME地址配置在CDN加速器中,此时先不进行配置。目前网站接入WAF防火墙是可以正常访问的,但是我们并不能看出与之前有什么效果,我们现在来模拟网站共计,观察WAF的作用。紧接着点击下一步完成网站接入WAF防火墙的配置,第三步会提示我们将WAF的地址加入到白名单,避免误拦。
信息收集-端口扫描+CDN+负载均衡+WAF
xiaoheizi的博客
06-25 253
这样作为一个攻击者,我们可能会遇到 明明这个网站的80端口是开放的,但就是探测不到,因为我们探测的是外网的端口,而目标网站是布置在内网的。学校或者企业内部的机房一般会用内网去架构一台服务器,攻击者访问网站,但网站真实环境是布置在内网的,上面做了一些数据的转发和代理,然后使数据很够出网,攻击者扫描探针的时候,不能探测到网站真实信息。当我们对测试目标没有安全头绪时,可以拿下目标同网段服务器的权限,然后进行内网攻击安全测试。waf:web应用防火墙,单纯拦截的系统,能拦截部分东西,对安全测试会有影响。
DDOSCDN
小柒的前端之旅
01-28 1186
前面的话 在前一篇文章提到,DDOS攻击可能造成域名解析瘫痪,下面来说一下DDOSDDOS 阮一峰老师的文章中举了餐厅容量的例子来解释DDOS: 举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅, 找一张桌子坐下点餐,马上就可以吃到东西。很不幸,我得罪了一个流氓。他派出300个人同 时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容...
阿里云高可用架构之“CDN+WAF+SLB+ECS
weixin_38920945的博客
06-04 831
【企业实战】:阿里云高可用架构之“CDN+WAF+SLB+ECS”  相信有些朋友看过笔者之前写的这篇文章《如何为企业快速设计高可用的阿里云架构》,并对阿里云的一些服务和产品的选型有了初步的了解,其实这篇文章写得比较粗,只是对企业选型描述大概的框架,并没有用太多笔墨来描述具体实现过程、配置操作。而导致有些博友看了也不过瘾。 所以,笔者这就要和大家一起来讨论一下《 阿里云高可...
CDN + Ddos + WAF +SLB
09-13
WAFDDoS高防CDN一起接入时,只需将WAF提供的CNAME地址配置为DDoS高防CDN的源站即可。这样流量会先经过DDoS高防CDN,然后被转发到WAF进行安全防护,最后再转发至源站。这种配置可以实现对源站的全面安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值