CDN 访问控制的那些事

网络已经成为生活中必不可少的一部分，不管是清早手机翻看的新闻八卦，仍是公交地铁里刷的停不下来的短视频，又或是你闲逛的购物网站，热追的电视剧，都与 CDN 有着密不可分的联系。不管你在互联网上作什么，或者消费什么类型的内容，其实每一个文本字符、每一帧图像背后都会有 CDN 的助力。

CDN（Content Delivery Network，即内容分发网络）主要经过将访问内容缓存在边缘节点，缩短用户与网站的距离，来提升站点渲染速度和性能。很显然，CDN 发挥的做用主要由边缘节点来呈现，边缘节点做为用户与源站的桥梁，其实不只仅只起到加速的做用，同时还能够做为恶意访问的“屏障”。这也就是咱们今天着重要讲的 —— 访问控制。

又拍云 CDN 访问控制包含访问限制、各类防盗链、安全防御等功能，全方位知足用户需求。

访问限制

访问限制分别包括 IP 黑白名单和地区访问限制，也是两种比较基础的访问控制功能。

IP 黑白名单

因为某些行业竞争激烈，所以经常会遇到一些竞争对手利用恶意 IP 占用网站资源，影响网站访问。为了可以保护站点数据和流量负载，须要网站运营者对这些恶意 IP 进行屏蔽。

若须要禁止某些 IP 或只容许某些 IP 访问，可使用 IP 黑白名单功能。而且在同一时间内，又拍云只支持生效一种规则，好比：要么禁止某些 IP 访问，要么容许某些 IP 访问。支持 通配符，如 10.11.12.，将禁止或只容许 10.11.12.0 ~ 10.11.12.255 范围的 IP 访问。

地区访问限制

地区访问限制是指根据加速网站的需求，容许或禁止特定区域的终端用户对网站资源的访问。即网站指定地区，容许该地区终端用户访问，而限制其余地区用户访问，或者相反。

防盗链

在讲防盗链以前，先来了解一下什么是盗链。

盗链是指服务提供商本身不提供服务的内容，经过技术手段绕过其它有利益的最终用户界面（如广告），直接在本身的网站上向终端用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。

简单来讲，就是其余网站上“盗”用了你网站的资源，去增长他的网站点击率，但最后流量却算在你身上，让你花“冤枉钱”。这个固然不能忍！怎么办？因为各网站性质不一样（游戏/新闻等），需求也是不尽相同的。因此又拍云提供多种防盗链功能，知足用户的须要。

Referer 防盗链

最经常使用的防盗链手段，就是经过对 HTTP 请求中的 Referer Header 进行判断，来决定用户是否能够访问该资源。

白名单：仅容许名单中的域名网站访问文件，其余域名网站都不容许访问。

黑名单：仅禁止名单中的域名网站访问文件，其余域名网站都容许访问。

Referer 为空：若禁止即不容许用户直接访问该资源，由于直接在浏览器的地址栏中输入一个资源的 URL 地址，请求是不会包含 Referer 字段的。

User-Agent 防盗链

HTTP 请求 Header 中的 User-Agent 字段，是一段浏览器或者设备标识的字符串。对于网站自己来讲，有时须要让一些资源只能在某些浏览器或者设备上才能访问。

又拍云 CDN 支持针对 HTTP 请求头中的 User-Agent 信息，禁止或者容许符合特定 User-Agent 规则的请求。具体的使用场景例如：某客户端拥有本身专属的客户端对资源进行下载，该下载工具在请求时，使用了定制的 User-Agent 名称，或只容许此类 User-Agent 请求资源，此时能够配置 User-Agent 白名单就能够实现。

Token 防盗链

Token 防盗链是提供时效性访问的。经过设置访问密钥和过时时间来达到加密文件的目的。只有按照算法成功计算出 Token 才能进行访问。好比网站有些内容，但愿付费才能访问，且规定访问有有效期，就能够经过 Token 防盗链来实现。

安全防御

又拍云针对恶意 IP 访问、CC 攻击、SQL 注入等安全问题提供了 IP 访问限制、CC 攻击、WAF 防御等功能。

IP 访问限制

能够针对单个 IP 在单位周期时间内的访问频率设置必定的阈值，将超过该阈值的 IP 的访问进行直接拦截，从而达到访问限制的目的。

当前的单 IP 访问频率只支持针对 CDN 单个边缘节点生效，当达到设定的阈值时，异常访问的客户端 IP 将加入黑名单中，并能够设定生效时间，在该时间周期内，全部该 IP 的访问都会被拦截。

CC 防御

攻击一直都是让网站管理者头疼的问题，特别面对恶意的 DDoS 攻击时。CC 攻击（Challenge Collapsar）是 DDoS的一种，也是一种常见的网站攻击方法，攻击者经过代理服务器或者肉鸡向受害网站不停地发大量数据包，形成对方服务器资源耗尽，一直到宕机崩溃。

CC 防御主要是针对 CC 攻击的一种应用层攻击防御，该功能经过自定义匹配规则对目标资源进行监控，当请求频率达到触发频率时，对疑似攻击请求进行校验，校验经过则容许访问；校验不经过，则直接禁止访问。

WAF 防御

WAF（Web Application Firewall）的中文名称叫作 Web 应用防火墙 ，是经过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一项功能。主要防御的是来自对网站源站的动态数据攻击，可防御的攻击类型包括 SQL 注入、XSS 攻击、CSRF 攻击、恶意爬虫、扫描器、远程文件包含等。

WAF 模块部署在又拍云 CDN 全部边缘节点上，提供了强大的网络和应用安全环境，WAF 模块经过对 HTTP 流量进行监测和实时分析。

WAF 的核心规则提供如下防御方式：

1. 能 HTTP 保护：HTTP 协议规范检测，并启用本地有效策略；
2. 通常 WEB 攻击保护：检测通常 WEB 应用的安全攻击；
3. 自动检测：检测机器人、爬虫、扫描器和其余的表面恶意行动；
4. 木马检测：检测木马程序进入；
5. 过失隐藏：假装服务器发出错误消息。

又拍云提供了丰富且强大的访问控制功能，让您在网站管理中遇到的头疼问题“迎刃而解”。不只能够根据需求针对各项来源进行限制，还能够预先配置防止盗刷流量，防范于未然。同时结合又拍云“统计分析”，分析异常流量缘由并进行封禁，让您脱离维护网站的苦海，夜晚安心入眠。

推荐阅读：

这样介绍 CDN，老司机也能听懂

Token 防盗链详解

聊聊 CDN 缓存与浏览器缓存