pollux
361 天前
我觉得 WAF 和 CDN 谁在前在后,需要根据不同的情况做战术策略:
一看 CDN 和 WAF 的类型和收费模式,CDN 分拼节点数量型,Anycast 型(国外用得多),大带宽型,带宽+防御一体型等 ; WAF 分智能检测型,高防清洗型,硬件路由或交换机等,这个属于防御产品的选型和估算防攻击要付出的成本代价。
二看 WAF 防御和清洗有多强,很强的 WAF 可以向前靠,弱的 WAF 前置也是白瞎,一般强的 WAF 都是分布式>单机,硬件>软件,路由>交换。
三看攻击类型,如果攻击类型是大规模的 CC 攻击,中等数量的 CDN 和鉴权,白名单,防盗链也能胜任,放前面更有性价比,如果是流量型的 DDoS 攻击,如果 CDN 按带宽收费,不如直接上 WAF 高防清洁前置。
四看保服务可用性还是保服务可靠性。如果是服务可用性,清不清洗无所谓,那 CDN 胜在节点数量多,只要服务不全部挂,前置是良策; 如果是要求服务可靠性 ,那 WAF 清洗必须要前置,后面 CDN 再保护源站。