如果又要防 CC 攻击、又要保障用户使用 CDN 加速, CDN 到底是应该配置在 WAF 前面好还是配置在 WAF 后面好?

353 天前
 MFcliff
2501 次点击
所在节点    云计算
22 条回复
proxytoworld
353 天前
你 cdn 怎么可能部署在 waf 后面啊
MFcliff
353 天前
那 CDN 配置在 WAF 前面,WAF 的防护功能还有用吗
ScotGu
353 天前
正常都是 CDN 在前 WAF 在后。
现在有新产品把这俩产品整合一起了。
最近接触到天翼云的 AccessOne
proxytoworld
353 天前
你怎么让 waf 在 cdn 前面,用户请求先过你 waf ?然后你转发到 cdn ,那 cdn 作用是什么

回源的请求过 waf 不就行了
lambdaq
353 天前
cdn 自建的嘛?

不是自建的,你如何做到在前面套一层 waf ?
coderxy
353 天前
你用 cdn 来做全球加速? cdn 应该在 waf 前面,waf 配置的时候注意修改一下根据请求 ip 限制的一些规则就行。

其实如果是拿来加速的,有 Anycast 这种加速方案的。
Tink
353 天前
cdn 还能在 waf 后面吗
MFcliff
353 天前
@coderxy 像阿里或者腾讯的安全加速 SCDN 这种是什么原理呢?和 Anycast 一样吗?
guazao
353 天前
好巧
正在做 把 WAF 功能嵌入到 CDN 里
CurtisAsia
353 天前
@ScotGu
CDN+WAF:
正常请求 -> CDN 节点加速 -> WAF -> 源站/服务器
恶意请求 -> CDN 节点加速 -> WAF (拦截) -> DROP/记录

SCDN:
正常请求 -> SCDN (加速/拦截) -> 源站/服务器
恶意请求 -> SCDN (加速/拦截) -> DROP/记录

OP 说的 SCDN 一类的服务 就是把 WAF 边缘化了 把 WAF 和 CDN 整合到一起 可以理解成在离客户端很近的边缘就拦截了 如果把 WAF 丢到 CDN 前面 CDN 就没意义了
MFcliff
353 天前
@proxytoworld 回源的请求过 WAF ,如果遭受了大量的 CC 攻击请求,CDN 能抗的住吗?那不是会产生大量的请求费用?
MFcliff
353 天前
@lambdaq 不自建的,找 CDN 厂商
abonan
353 天前
@MFcliff CDN 只是转发不处理内容,肯定可以。增加费用是没办法的,或者就是找类似 CF 那种有 WAF 的 CDN
kris0502
353 天前
@Tink CDN 怎么放 waf 前面,放 waf 后面 cdn 的意义是啥
assassins1234567
353 天前
我们用的 cdn 就是在 waf 后面,
uncleroot
353 天前
https://cloud.tencent.com/product/teo
你看看是不是这种。
xmumiffy
352 天前
你这种得用带 waf 功能的 CDN 了
proxytoworld
352 天前
@MFcliff 站内很多 cdn 被 cc 刷账单的啊,cdn 都是大厂,先担心钱包在担心能不能扛得住把
liuhaidong
352 天前
大厂基本都支持 限制单个节点的访问频率设置,基本可以扛住 cc 。

但是扛不住刷流量,大部分的流量控制都有延迟,很容易被刷爆。
timochan
352 天前
正常情况下,CDN 应该在 WAF 之前(流量 -> CDN -> WAF ),不过也有带 WAF 功能的 CDN ,比如腾讯云的 EdgeOne ,个人测试后觉得还行。当然各类厂商都有类似的产品。我个人体验的是腾讯云 CDN & EdgeOne ,CDN 的节点比 EdgeOne 多得多,如果你在意这个的话,可以考虑别家的产品。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1005537

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX