隨著信息技術(shù)快速發(fā)展與應(yīng)用，產(chǎn)業(yè)數(shù)字化和智能化趨勢(shì)正日益加深，企業(yè)信息安全與防護(hù)被提升到前所有未有的高度。阿里云CDN經(jīng)過10多年的技術(shù)發(fā)展時(shí)間，已逐步構(gòu)筑一個(gè)邊緣+云的安全網(wǎng)絡(luò)立體防護(hù)體系，包含了全鏈路安全傳輸、常見攻擊類型的邊緣防御、企業(yè)級(jí)獨(dú)享資源部署、運(yùn)維以及內(nèi)容安全保障機(jī)制，為企業(yè)打造安全出海的網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境。

在CDN安全防護(hù)存在兩個(gè)核心場(chǎng)景：擁塞帶寬和耗盡資源。

對(duì)于擁塞有限帶寬入口這類攻擊，本質(zhì)上要在流量上Hold住。CDN天然具有豐富的節(jié)點(diǎn)資源，使用分布式的網(wǎng)絡(luò)將攻擊分散到不同的邊緣節(jié)點(diǎn)，同時(shí)在近源清洗后返回服務(wù)端。
對(duì)于耗盡有限資源這類攻擊，本質(zhì)上要做到攻擊的快速可見，并且能夠把相應(yīng)特征進(jìn)行阻斷。單純依靠CDN不能特別有效的解決問題，需要通過CDN節(jié)點(diǎn)上的配置，完成智能精準(zhǔn)檢測(cè)DDoS攻擊，并自動(dòng)化調(diào)度攻擊到DDoS高防進(jìn)行流量清洗，這時(shí)候需要用戶購買高防抗DDoS的產(chǎn)品。

基于阿里云CDN+云安全構(gòu)建的邊緣安全體系

基于阿里云CDN構(gòu)建的邊緣安全體系，其核心能力仍是加速，但又不止于加速。加速是整體方案的基礎(chǔ)，依托于阿里云全站加速平臺(tái)，通過自動(dòng)化動(dòng)靜分離，智能路由選路，私有協(xié)議傳輸?shù)群诵募夹g(shù)，提升靜動(dòng)態(tài)混合站點(diǎn)的全站加速效果。在加速基礎(chǔ)之上，為客戶提供豐富的邊緣應(yīng)用層安全、網(wǎng)絡(luò)層DDoS防御、內(nèi)容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規(guī) 6大方面安全能力，從客戶業(yè)務(wù)流量進(jìn)入CDN產(chǎn)品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)的安全加速。

邊緣安全防護(hù)

阿里云CDN通過構(gòu)建完整的企業(yè)級(jí)邊緣安全能力，包括DDoS緩解，WAF，頻次控制，IP/區(qū)域封禁，機(jī)器流量管理，精準(zhǔn)訪問控制等，做到從網(wǎng)絡(luò)層到應(yīng)用層的全棧防護(hù)。在不犧牲網(wǎng)站加速性能的同時(shí)，全面保障客戶在線業(yè)務(wù)的穩(wěn)定性和安全性。

每年，阿里云安全監(jiān)測(cè)到云上DDoS攻擊發(fā)生近百萬次，應(yīng)用層DDoS（CC攻擊）成為常見的攻擊類型，攻擊手法也更為多變復(fù)雜；同時(shí)，Web應(yīng)用安全相關(guān)的問題依然占據(jù)非常大的比重，從用戶信息泄露到羊毛黨的狂歡，無時(shí)無刻不在考驗(yàn)著每一個(gè)行業(yè)、每一個(gè)Web應(yīng)用的安全水位。為了讓承載數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)平臺(tái)更加安全可靠，阿里云CDN一直不斷夯實(shí)安全上的能力。

1. DDoS緩解

CDN與DDoS高防產(chǎn)品可以實(shí)現(xiàn)聯(lián)動(dòng)，在分發(fā)場(chǎng)景中可以通過CDN進(jìn)行分發(fā)。在DDoS攻擊發(fā)生時(shí)，可以將發(fā)生DDoS攻擊區(qū)域的流量調(diào)度到DDoS高防去清洗，有效保護(hù)業(yè)務(wù)的服務(wù)質(zhì)量。通過聯(lián)動(dòng)方案可以有效清洗海量DDoS攻擊，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻擊。同時(shí)，基于阿里云飛天平臺(tái)的計(jì)算能力和深度學(xué)習(xí)算法，智能預(yù)判DDoS攻擊，平滑切換為DDoS高防，且不影響業(yè)務(wù)運(yùn)行。

2. 機(jī)器流量管理

面對(duì)網(wǎng)絡(luò)爬蟲的惡意爬取，CDN平臺(tái)基于阿里巴巴集團(tuán)業(yè)務(wù)沉淀的惡意IP庫、惡意指紋庫等，通過貼近業(yè)務(wù)風(fēng)險(xiǎn)的機(jī)器學(xué)習(xí)能力和定制化爬蟲模型進(jìn)行精準(zhǔn)對(duì)抗，降低爬蟲、自動(dòng)化工具對(duì)網(wǎng)站業(yè)務(wù)的影響，保障企業(yè)的數(shù)據(jù)安全，維護(hù)企業(yè)的核心商業(yè)價(jià)值。

3. 頻次控制 

當(dāng)網(wǎng)站遭受惡意CC攻擊并響應(yīng)緩慢時(shí)，通過頻次控制功能，可以秒級(jí)阻斷訪問該網(wǎng)站的請(qǐng)求，提升網(wǎng)站的安全性。頻次控制保護(hù)您的網(wǎng)站 URL免受超出設(shè)定閾值的可疑請(qǐng)求的影響。它支持豐富的監(jiān)測(cè)對(duì)象，并配以自定義規(guī)則，來定義合適的訪問閾值。一旦達(dá)到設(shè)定的請(qǐng)求閾值，就會(huì)觸發(fā)自定義響應(yīng)，通過多樣化的手段（如阻斷或者質(zhì)詢）來處理過于頻繁的訪問請(qǐng)求。

4. IP/區(qū)域封禁

配置IP黑白名單來實(shí)現(xiàn)對(duì)訪客身份的識(shí)別和過濾，從而限制訪問CDN資源的用戶，提升CDN的安全性。另外還能配置國(guó)家的黑白名單，幫助您一鍵阻斷來自指定區(qū)域的訪問請(qǐng)求，解決部分地區(qū)高發(fā)的惡意請(qǐng)求問題。

5. 精準(zhǔn)訪問控制

允許自定義匹配條件，實(shí)施精準(zhǔn)的訪問控制。匹配條件能夠檢查常見的HTTP字段（如IP、URL、header等），來滿足業(yè)務(wù)場(chǎng)景的定制化需求。該功能通過支持豐富的請(qǐng)求字段，定義多樣化的匹配條件，來描述所要捕獲的訪問請(qǐng)求。一旦請(qǐng)求被匹配，就會(huì)觸發(fā)規(guī)則所定義的操作，如質(zhì)詢、觀察、阻斷等，做到精準(zhǔn)的訪問準(zhǔn)入。

6. WAF

由于CDN的分布式架構(gòu)，用戶通過訪問就近邊緣節(jié)點(diǎn)獲取內(nèi)容，通過這樣的跳板，有效地隱藏源站IP，從而分解源站的訪問壓力。當(dāng)大規(guī)模惡意攻擊來襲時(shí)，邊緣節(jié)點(diǎn)可以做為第一道防線，不僅大大分散攻擊強(qiáng)度，還可以通過上述的多種安全能力完成邊緣的防護(hù)。

阿里云CDN 還集成云WAF能力，實(shí)現(xiàn)源站最后一層的防護(hù)。WAF 會(huì)對(duì)回源的業(yè)務(wù)流量進(jìn)行惡意特征識(shí)別及防護(hù)，將正常安全的流量回源到服務(wù)器，進(jìn)而避免網(wǎng)站服務(wù)器被惡意入侵，保障企業(yè)業(yè)務(wù)的核心數(shù)據(jù)安全，解決因惡意攻擊導(dǎo)致的服務(wù)器性能異常問題。CDN WAF提供虛擬補(bǔ)丁，針對(duì)網(wǎng)站被曝光的最新漏洞，最大可能地提供快速修復(fù)規(guī)則，并依托云安全，快速實(shí)現(xiàn)漏洞響應(yīng)和修復(fù)。

防篡改能力

阿里云CDN提供企業(yè)級(jí)全鏈路HTTPS+節(jié)點(diǎn)內(nèi)容防篡改能力，保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面，通過HTTPS協(xié)議保證鏈接不可被中間源劫持，在節(jié)點(diǎn)上可以對(duì)源站文件進(jìn)行一致性驗(yàn)證，如果發(fā)現(xiàn)內(nèi)容不一致會(huì)將內(nèi)容刪除，重新回源拉取，如果內(nèi)容一致才會(huì)進(jìn)行分發(fā)。整套解決方案能夠在源站、鏈路端、CDN節(jié)點(diǎn)、客戶端全鏈路保證內(nèi)容的安全性，提供更高的安全傳輸保障。

資源獨(dú)享 提升企業(yè)安全系數(shù)

針對(duì)大型企業(yè)等具有強(qiáng)安全需求的業(yè)務(wù)場(chǎng)景，阿里云CDN提供獨(dú)享資源方案：
支持客戶通過安全加速節(jié)點(diǎn)實(shí)現(xiàn)物理隔離，完全單獨(dú)構(gòu)建，深度集成安全功能，提供單節(jié)點(diǎn)高級(jí)高防能力；
提供獨(dú)享IP資源，保證業(yè)務(wù)安全風(fēng)險(xiǎn)隔離，不會(huì)在別人受到攻擊時(shí)被影響；
支持單用戶獨(dú)立調(diào)度域，用戶之間DNS攻擊互不影響，百萬QPS的DNS Flood防護(hù)。

堅(jiān)守內(nèi)容與平臺(tái)的“生產(chǎn)”安全底線

阿里云基于人工智能及海量樣本集，深度學(xué)習(xí)訓(xùn)練識(shí)別模型，精準(zhǔn)識(shí)別通過CDN加速的圖片中的涉黃場(chǎng)景，并可根據(jù)用戶實(shí)際的管控需求，提供多層次的識(shí)別與靈活管控方案。整體鑒黃準(zhǔn)確率超過99%，可替代90%以上的人工審核，大幅度降低違規(guī)風(fēng)險(xiǎn)。

通過簡(jiǎn)化安全加速架構(gòu)，讓運(yùn)維人員更便捷地進(jìn)行一站式自助配置與API管控，實(shí)現(xiàn)日常攻擊的監(jiān)控告警、全鏈路排查、自動(dòng)防護(hù)與實(shí)時(shí)全景數(shù)據(jù)日志查看。同時(shí)大型活動(dòng)期間的護(hù)航與重保響應(yīng)制度，可以輔助企業(yè)應(yīng)用一起抵御安全風(fēng)險(xiǎn)，保護(hù)系統(tǒng)平穩(wěn)。

阿里云CDN平臺(tái)還通過了國(guó)家信息安全等級(jí)保護(hù)2.0三級(jí)、ISO9001、PCI-DSS等合規(guī)認(rèn)證，在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、服務(wù)安全等方面測(cè)評(píng)獲得世界權(quán)威認(rèn)可。

行業(yè)應(yīng)用案例

企業(yè)網(wǎng)站——航空大促

亞洲某廉價(jià)航空公司，在每個(gè)季度會(huì)舉行一次大型機(jī)票促銷活動(dòng)，借助于阿里云CDN+WAF的架構(gòu)，可以實(shí)現(xiàn)對(duì)刷票類請(qǐng)求的快速封禁，通過長(zhǎng)期持續(xù)分析大促期間的占座情況，將占座率壓到了比較低的水平，保證業(yè)務(wù)營(yíng)收的穩(wěn)定。

游戲公司-游戲出海

中國(guó)游戲公司出海大軍中，有一匹脫穎而出的黑馬。這家企業(yè)使用阿里云DCDN來整合超大規(guī)模的用戶體驗(yàn)，允許用戶將其源服務(wù)器的所有邊界網(wǎng)關(guān)協(xié)議（BGP）網(wǎng)絡(luò)資源替換為單個(gè)操作網(wǎng)絡(luò)，將源服務(wù)器的帶寬成本降低了50%以上。