在过去两年中，与大流行相关的封锁增加了在线流量和云应用程序的采用。这种增长还吸引了对 Web 应用程序的网络攻击。根据 CDNetworks 安全报告，Web 应用程序攻击仅在过去一年就激增了 141.3%。随着许多公司继续增加对基于云的应用程序的投资以扩展业务，Web 攻击威胁只会增加。对于在线业务的公司而言，保护 Web 应用程序免受 Web 漏洞利用、危害和攻击从未如此重要。

CDNetworks 是云内容交付行业的领导者，于今年 9 月发布了其最新的网络安全解决方案 CDN Pro with Web Application Firewall (WAF)，以帮助客户保护其在线业务免受互联网 Web 应用程序攻击的浪潮。

CDN Pro 是 CDNetworks 的 Edge Cloud 产品，用于全球内容交付。 Edge Cloud 是从头开始构建的，具有可防止安全漏洞的强大功能。到2022年，仅CDN Pro就已经成功应对了一些世界上最残酷的DDoS攻击，带宽达到1.2Tbps，请求速率高达35Mrps。

CDNetworks’ WAF 是一种基于云的服务保护解决方案。 CDNetworks 的 WAF 使用智能自动化和无与伦比的功能，在合格的网络安全专家和高级扫描仪的支持下，在攻击者获得访问权限之前修补安全漏洞，在攻击者可以利用它们之前消除漏洞。

通过将 CDN Pro 与 CDNetworks 的 WAF 捆绑在一起，使 CDN Pro WAF 解决方案能够在不牺牲性能的情况下高效且有效地防御 Web 应用程序攻击。

CDN Pro 安全

CDN Pro 平台的设计考虑到了安全性。它拥有内置的安全功能以及可编程的安全功能。

第 4 层 DDoS 缓解

CDN Pro 建立在边缘云计算平台上。在每个边缘的入口点，存在点 (PoP) 是高性能第 4 层分布式拒绝服务 (DDoS) 防火墙。防火墙由一组以线速分析传入流量的机器组成。基于定期更新的规则，防火墙拒绝可能使 Web 应用程序服务面临风险的可疑数据包，并仅将“安全”数据包转发到防火墙后面的源服务器。防火墙默认为所有边缘服务启用，并且对所有 CDN Pro 客户透明。

第 7 层保护

对于网络 OSI 模型第 7 层流量，CDN Pro 配备实时监控以检测传入流量的异常行为。一旦识别出攻击，就会在第 4 层和第 7 层部署防御策略，以减轻对正常 Web 应用程序流量的影响。

使用 CDN Pro 编程进行访问控制

CDN Pro 凭借其 Edge Cloud 态势，成为一个可编程的内容交付平台。它使用具有增强和专有指令的开源 NGINX 脚本语言。客户可以使用其集成编程接口 Edge Logic 配置访问控制规则，以保护内容免受未经授权的用户访问并减轻常见的第 7 层攻击。

以下是CDN Pro编程设置访问控制规则的几个例子：

使用“允许”和“拒绝”指令限制客户端 IP：

基于带有’valid_referers’的’Referer’请求头进行检查和控制：

使用专有指令“eval_func”通过 SHA-256 验证 HMAC 身份验证以进行访问控制：

WAF防御

CDNetworks 的 WAF 是一种基于云的 Web 应用程序防火墙，可保护 Web 应用程序免受常见的 Web 攻击和危害。它支持托管规则和自定义规则。 WAF 采用中央云防御引擎构建，不断学习并保护 Web 应用程序免受新的恶意行为者和攻击媒介的侵害，从而在日益严重的网络威胁带来的持续威胁中保持企业安全和可用。

OWASP 十大威胁

CDNetworks 的 WAF 是一个功能齐全的威胁防御解决方案。它包括数百个签名和策略来防御 OWASP 前 10 大威胁，例如注入、目录遍历和 XSS。

调用次数限制

WAF 支持速率限制功能，该功能通过限制在固定时间段内允许对 Web 应用程序源服务器的 HTTP 请求数量来降低暴力攻击和其他自动攻击的风险。

客户规则

为了最大程度地保护客户资产，WAF 支持灵活的客户规则、多种策略执行模式和自定义策略，以涵盖对 Web 应用程序的任何潜在威胁。

访问控制

客户可以在 WAF 配置门户上设置访问控制规则，通过 IP 地址、HTTP 标头和其他参数来阻止不需要的用户和潜在的不良流量，从而避免 Web 应用程序攻击。

控制和监测

基于云的 WAF 平台允许几乎即时部署策略更改。此外，实时门户仪表板使客户能够立即直观地了解安全状态。

使用 CDN Pro 和 WAF 增强安全性

带有 WAF 解决方案的 CDN Pro 为您的 Web 应用程序提供集中式和多级保护。它可以保护您的 Web 应用程序免受常见攻击和漏洞的侵害，同时为您的客户提高可用性。

部署在其全球边缘服务器上的 CDN Pro with WAF 解决方案可在攻击源接近您的原始 Web 应用程序之前阻止恶意攻击。因此，您可以在不牺牲性能的情况下获得全局保护。

下图是一个典型的源站应用的 CDN Pro WAF 增强方案：

以下步骤描述了该解决方案的工作原理：

1. 最终用户从您的 Web 应用程序发起内容请求。
2. CDN Pro 全球服务负载均衡器 (GSLB) 根据预定义的第 4 层和第 7 层策略检查请求流量是否存在任何安全风险。如果请求不构成威胁，GSLB 会将请求路由到最能满足请求的边缘位置——通常是距离最终用户最近的 CDN Pro 边缘位置。
3. 在边缘站点，CDN Pro 检查请求的内容是否缓存在边缘站点。如果内容被缓存，CDN Pro 会将缓存的副本返回给最终用户。
4. 如果内容没有被缓存，CDN Pro根据边缘逻辑编程、安全策略或访问控制规则来处理请求，以决定如何处理请求。如果在 CDN Pro 级别违反了任何规则，CDN Pro 会丢弃请求并以错误状态回复最终用户。
5. 如果CDN Pro决定继续前行到源头获取内容，它可以添加带有真实客户端IP的自定义头部X-Forwarded-For或CDN Pro和WAF之间约定的其他头部，然后转发到 WAF 的请求流量。
6. WAF 检查传入请求流量以检查 WAF 配置和预定义策略。如果请求违反 WAF 策略，WAF 会阻止它并以错误状态响应 CDN Pro 以返回给最终用户。
7. 如果请求没有违反WAF规则，WAF允许请求去源，抓取内容，并将响应转发回CDN Pro和最终用户。

结论

利用全面的安全功能和高性能的全球基础架构，CDN Pro 和 WAF 无缝协作，创建灵活的分层安全边界，保护您的 Web 应用程序免受 Internet 威胁和攻击。

开始保护您的 Web 应用程序并详细了解 CDN Pro 和 WAF 产品，请联系 CDNetworks销售.