網(wǎng)絡(luò)的普及為生活帶來(lái)極大便利，民眾能夠在不出門的情況下透過網(wǎng)絡(luò)完成各種大小事務(wù)。線上服務(wù)已成為日常生活中不可或缺的一部分，提供線上服務(wù)的供應(yīng)商為了因應(yīng)龐大的客戶流量，會(huì)選擇部署CDN（Content Delivery Network，內(nèi)容傳遞網(wǎng)絡(luò)）來(lái)提升網(wǎng)站效能。然而，隨著網(wǎng)絡(luò)攻擊事件頻傳，網(wǎng)站安全問題日益受到重視。CDN作為加速網(wǎng)站的普遍被采用的服務(wù)，如何在提升網(wǎng)站速度的同時(shí)，實(shí)現(xiàn)基本的安全防御呢？本文將舉出幾個(gè)CDN的安全防護(hù)功能。

一、CDN的基本架構(gòu)

CDN（Content Delivery Network）是內(nèi)容傳遞網(wǎng)絡(luò)的縮寫，全球部屬多個(gè)節(jié)點(diǎn)服務(wù)器連接高速網(wǎng)絡(luò)，讓用戶連網(wǎng)時(shí)自動(dòng)選擇離使用者最近的節(jié)點(diǎn)，提供更快速的網(wǎng)站內(nèi)容遞送，并且可降低單一源站服務(wù)器的負(fù)擔(dān)，強(qiáng)化網(wǎng)站的穩(wěn)定性。

二、CDN的安全防護(hù)功能

CDN除了優(yōu)化網(wǎng)站傳遞的速度，并可以透過多重保護(hù)措施進(jìn)行網(wǎng)站安全防護(hù)：

1. CDN 節(jié)點(diǎn)服務(wù)器

CDN的多臺(tái)節(jié)點(diǎn)服務(wù)器不僅用于加速網(wǎng)站內(nèi)容傳遞，還可以避免單一服務(wù)器受到攻擊時(shí)整個(gè)網(wǎng)站服務(wù)癱瘓的風(fēng)險(xiǎn)，多節(jié)點(diǎn)的特性也緩解L3/L4的DDoS流量攻擊。此外，CDN服務(wù)器在源站前面，隱藏了源站的IP位置，大幅減低源站IP暴露在外而遭受攻擊的風(fēng)險(xiǎn)。

2. SSL 加密憑證驗(yàn)證

CDN傳輸過程中，可透過SSL加密憑證驗(yàn)證來(lái)源服務(wù)器的身份，建立安全的加密連線，可以有效確保用戶瀏覽的網(wǎng)站正確性，確保用戶與網(wǎng)站之間通信的安全性。

3. WAF 防火墻防御

CDN的WAF，即網(wǎng)頁(yè)應(yīng)用程式防火墻，透過監(jiān)控并過濾網(wǎng)站傳輸?shù)腍ttp/ Https請(qǐng)求，有效防止L7的網(wǎng)絡(luò)攻擊，部分CDN廠商防范像是機(jī)器人攻擊、OWASP Top 10等攻擊方式。

針對(duì)上述攻擊，WAF可自行設(shè)置防護(hù)規(guī)則，如建立黑/白名單、封鎖異常存取行為等，透過預(yù)先封鎖惡意請(qǐng)求，有效阻絕攻擊。此外WAF的速率控制(rate-limiting) 藉由限制特定IP或API，在一定時(shí)間范圍內(nèi)重復(fù)同個(gè)動(dòng)作的頻率，達(dá)到阻止某些類型的惡意存取行為。

機(jī)器人攻擊是指網(wǎng)站進(jìn)行大量自動(dòng)化請(qǐng)求，以消耗網(wǎng)站資源、降低網(wǎng)站效能或進(jìn)行其他惡意行為。部分CDN額外提供Bot功能，可機(jī)器學(xué)習(xí)偵測(cè)變型的攻擊、檢查節(jié)點(diǎn)的爬蟲流量并抵御惡意爬蟲，進(jìn)行有效防護(hù)策略。

三、火傘云 CDN

以火傘云CDN為例，支援SSL加密的網(wǎng)站傳遞，確保在資料傳輸過程中保有完整性和機(jī)密性。同時(shí)，火傘云CDN提供WAF防護(hù)，能夠有效地抵擋常見的網(wǎng)路攻擊，像是OWASP Top 10、XSS跨網(wǎng)站攻擊等，實(shí)現(xiàn)基礎(chǔ)的網(wǎng)站防護(hù)策略。中華CDN更擁有島內(nèi)Tb級(jí)的頻寬，提供無(wú)限量的L3,L4的DDoS緩解保護(hù)，抵御大量的流量攻擊。
CDN不僅僅是用來(lái)優(yōu)化網(wǎng)站效能的工具，同時(shí)也提供相當(dāng)程度的安全防護(hù)機(jī)制。透過節(jié)點(diǎn)伺服器、WAF，以及其他網(wǎng)站安全機(jī)制，CDN能夠有效地防止源站受到各種攻擊，提高網(wǎng)站的整體安全性。