怎样用CDN防篡改、抗攻击、控内容？一份安全指南请查收

阿里云安全月专题页链接：https://developer.aliyun.com/topic/securityapril

阿里云CDN经过10多年的技术沉淀和实践，已经从传统的加速，逐渐构筑起一个边缘+云的安全网络立体防护体系，从全链路安全传输、常见攻击类型的边缘防御、企业级独享资源部署、运维以及内容安全保障机制几个维度，为企业通向网络提供安全可靠的桥梁。

基础安全能力 保障全链路安全传输

一、源站保护

由于CDN的分布式架构，用户通过访问就近边缘节点获取内容，通过这样的跳板，有效地隐藏源站IP，从而分解源站的访问压力。当大规模恶意攻击来袭时，边缘点节可以做为第一道防线进行防护，大大分散攻击强度，即使是针对动态内容的的恶意请求，阿里云CDN的智能调度系统还可以卸载源站压力，维护系统平稳。

二、防篡改能力

阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力，保证客户从源站到客户端全链路的传输安全。在链路传输层面，通过HTTPS协议保证链接不可被中间源劫持，在节点上可以对源站文件进行一致性验证，如果发现内容不一致会将内容删除，重新回源拉取，如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性，提供更高的安全传输保障。

三、访问和认证安全

扫描二维码关注公众号，回复： 11111880 查看本文章

阿里云CDN可以通过配置访问的referer、User-Agent以及IP黑白名单等多种方式，来对访问者身份进行识别和过滤，从而限制资源被访问的情况；并且设置鉴权Key对URL进行加密实现高级防盗链，保护源站资源。同时通过构建IP信誉库，加强对黑名单IP的访问限制。

企业级边缘安全能力 全面抵御常见攻击类型

2019年, 阿里云云安全监测到云上DDoS攻击发生近百万次，应用层DDoS（CC攻击）成为常见的攻击类型，攻击手法也更为多变复杂；同时，Web应用安全相关的问题依然占据非常大的比重，从用户信息泄露到羊毛党的狂欢，无时无刻不在考验着每一个行业、每一个Web应用的安全水位。为了让承载数据传输的网络平台更加安全可靠，阿里云CDN一直不断夯实安全上的能力。

一、 DDoS清洗

CDN面向企业提供边缘化的应用层DDoS，即CC防护能力，可以通过IP，Header参数，URL参数等多个维度进行监控，并可以通过次数，状态码，请求方法进行数据统计，并最终进行恶意访问的安全拦截，有效保证正常业务量的访问。面对网络层DDoS攻击，CDN产品与DDoS产品可以实现联动，在分发场景中可以通过CDN进行分发，在DDoS攻击发生时，可以探测攻击的区域，并有效的将攻击调度到DDoS进行防护清洗，有效保护源站。

通过联动方案可以有效利用海量DDoS清洗，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同时，基于阿里云飞天平台的计算能力和深度学习算法，智能预判DDoS攻击，平滑切换高防IP，不影响业务运行。

二、WAF

CDN结合WAF能力，形成边缘的应用层防护能力，将业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障企业业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则。并且依托云安全，快速的漏洞响应速度，及时的漏洞修复能力。

三、防刷防爬

面对网络爬虫的恶意爬取，CDN平台基于阿里巴巴集团业务沉淀的恶意IP库、恶意指纹库等，通过贴近业务风险的机器学习能力和定制化爬虫模型进行精准对抗，降低爬虫、自动化工具对网站业务的影响，保障企业的数据安全，维护企业的核心商业价值。

CDN资源独享 提升企业安全系数

针对如数字政务、大型企业等具有强安全需求的业务场景，阿里云CDN也提供独享资源方案。首先，CDN支持客户通过安全加速节点实现物理隔离，完全单独构建，深度集成安全功能，提供单节点高级高防能力。其次，CDN提供独享IP资源，保证业务安全风险隔离，不会在别人受到攻击时被影响。第三，CDN支持单用户独立调度域，用户之间DNS攻击互不影响，百万QPS的DNS Flood防护。

坚守内容与平台的“生产”安全底线

一、平台内容健康合规

阿里云基于人工智能及海量样本集，深度学习训练识别模型，精准识别通过CDN加速的图片中的涉黄场景，并可根据用户实际的管控需求，提供多层次的识别与灵活管控方案。整体鉴黄准确率超过99%，可替代90%以上的人工审核，大幅度降低违规风险。

二、运维便捷与安全性

通过简化安全加速架构，让运维人员更便捷地进行一站式自助配置与API管控，实现日常攻击的监控告警、全链路排查、自动防护与实时全景数据日志查看。同时大型活动期间的护航与重保响应制度，可以辅助企业应用一起抵御安全风险，保护系统平稳。

除了在上述技术，阿里云CDN平台也通过了国家信息安全等级保护2.0三级、ISO9001、PCI-DSS等合规认证，在网络安全、数据安全、服务安全等方面测评获得世界权威认可。

行业应用案例

电商——双11全球狂欢节

在2019年双11当日，阿里云CDN为淘宝拦截恶意爬取商品 5100万个，拦截恶意请求8.5亿次，节省峰值带宽超过65%。

企业网站——亚洲航空大促

亚航是亚洲最大的廉价航空公司，连续11年获得“世界最佳低成本航空公司”称号。亚航在每个季度会举行一次大型机票促销活动，借助于阿里云CDN+WAF（Anti-Bot）的架构，可以实现对刷票类请求的快速封禁，通过长期持续分析大促期间的占座情况，将占座率压到了比较低的水平，保证亚航业务营收的稳定。

为了满足更多企业的安全性与业务稳定需求，阿里云面向政府、金融、传媒以及传统企业客户推出政企安全加速解决方案，基于全球分布的2800+CDN边缘加速节点与全球领先的云安全技术，实现加速和安全两者兼得，帮助其更便捷、稳定、安全地使用互联网进行用户交互，拥抱数字化、在线化红利。