CDN架構:從三大需求解析,認識不同CDN架構原理與優勢

Back
2022-05-09

你知道各大串流平台、醫療、金融、遊戲等產業的網站速度都與 CDN 有關嗎?CDN 在基本架構下,因應不同網站需求,發展成數種不同的產品樣貌。以下將從 CDN 的三大主要需求:網站加速、資安防禦與中國地區加速說明 CDN 的優勢,並回應幾個關鍵問題。

  • CDN 的網站加速架構為何?
  • 配置「DDoS 防禦」的 CDN 架構為何?
  • 網站用戶在中國時,需要採用特別的 CDN 嗎?

CDN 架構與實現網站加速的基本原理:節點與緩存

為了更快將網站內容傳遞至用戶,產生了 CDN 的需求,其原理是利用遍佈全球的 CDN 節點,作為用戶端與伺服器端的中介,「縮短」需求者與服務提供者的距離。原理是,當用戶對網站發出請求時, CDN 可以透過計算找出最適合(接近)用戶的節點,將緩存於節點上的內容傳遞至用戶端,使內容傳遞速度更快,優化使用者體驗。

CDN 緩存的流程為:

1. 用戶對某網站發出請求

用戶對網站發出請求後,DNS 解析用戶請求的網站域名,並且回覆一 IP 位址(節點的 IP 位址)。

2. 獲得網站的 IP 位址(CDN 的 IP 位址)

DNS 告知用戶該網站的 IP 位址(實際上是節點的 IP 位址)後,用戶將會請求 DNS 給的 IP,讓請求知道要去哪個地方。

3. CDN 節點上的緩存回應用戶請求

請求到了節點後,節點確認當前請求的內容是否已經緩存在節點上。
若有: 將節點緩存的內容回應給用戶,流程結束。
若沒有:向源伺服器請求該物件,得到響應後,節點判斷是否要進行緩存後,回應給客戶,流程結束。

CDN架構與運作方式為藉由遍佈全球的節點,縮短內容與用戶的距離。
 CDN 架構與運作方式為藉由遍佈全球的節點,縮短內容與用戶的距離。

🔗延伸閱讀:CDN(內容傳遞網路)是什麼?為何電商網站需求大增?

「配置 DDoS 防禦」的 CDN 架構與服務

DDoS 攻擊日益頻繁且樣式多變,是每個企業都可能遭遇的威脅。CDN 作為用戶與源伺服器端的中介,具備隱藏源伺服器的優勢,是建置 DDoS 防禦的絕佳守備位置,因此,越來越多的網站採用具有高階防禦策略的 CDN 服務,其中包括 DDoS 清洗中心、WAF 防護、24/7 監控與真人技術客服、一站式 CDN 管理平台等。

1. 24/7監控中心,真人即時回覆、遭受攻擊立即反應

以 ApeiroCDN 為例,24/7 維運團隊提供代操作、代管客戶域名服務。如果網站遭遇問題,隨時有專人處理,在遭受攻擊時,也能即時阻攔,保護企業網站源伺服器。

  • 監控網站是否有異常請求,配置適當的防禦規則
  • 協助配置域名
  • 協助申請域名憑證
  • 協助配置 CDN 防禦功能

ApeiroCDN的 CDN 服務架構提供良好的使用者體驗,及客戶能夠自定義加速條件,如下圖。客戶透過配置 FQDN 後,其設定會部署在平台節點上,並且將域名指向平台後,即可使用 ApeiroCDN 服務。最終用戶能透過 DNS 系統解析到負載均衡 IP 後進行訪問,若請求物件有緩存,將會直接回應給最終用戶。

ApeiroCDN架構與運作方式使客戶能夠自定義加速條件。
ApeiroCDN 架構與運作方式使客戶能夠自定義加速條件。

2. 多層DDoS防禦機制保護源伺服器

ApeiroCDN 的 DDoS 防禦服務能自動偵測異常流量,並將其轉移至清洗中心,防止惡意流量影響正常用戶。此外,ApeiroCDN 能夠無痛轉移流量。雖然進來的流量是走 HK 線路,但還是能透過後端操作將 HK 流量換到 TW 節點去,具堅強備援模式。針對因攻擊量過大,導致其中線路異常的情況時,能夠彈性的切換線路,保持用戶服務正常。

  • 清洗中心
    ApeiroCDN 使用的線路支持清洗中心,因此當用戶的網站受到攻擊時,若觸發清洗中心的閥值,會將流量導入清洗中心進行過濾,將緩解CDN節點及源伺服器在同一時間承受的大量攻擊。
  • 完整請求日誌、彈性 WAF 規則
    當攻擊流量並未觸發清洗中心閥值,或是攻擊型態特殊並未被清洗時,ApeiroCDN 提供完整請求紀錄,讓網站管理員能在分析異常流量後,於受到攻擊的域名上套用自定義的 WAF 防禦機制來過濾異常流量。
  • 乾淨流量,加速服務
    最後到源站的流量,即為乾淨流量,確保網站用戶有最佳的服務體驗。
ApeiroCDN架構多層DDoS防禦機制保護源伺服器
ApeiroCDN架構多層DDoS防禦機制保護源伺服器

🔗延伸閱讀:CDN 教學:不只是網站加速,資安不可缺!了解反向代理伺服器

3. 靈活的 WAF 設置,實現多變防禦

面對攻擊多樣化的惡意攻擊,企業該怎麼防護?除了以單一 IP 做大量請求外,當今的攻擊有多 IP 單 User_Agent、多 IP 多 User_agent、多 IP 單一特定 Header 內容等類型,因此需要有能夠彈性配置的防禦 CDN。

ApeiroCDN 讓網站管理者能自行定義防禦規則,透過設置阻擋 IP、表頭、請求方式等條件,讓防禦策略更加精確,減少誤擋的情況。除此之外,還能夠設置觀察模式,在不確定該如何阻擋攻擊的情況下,透過該功能進行測試,模擬設置後的結果,可過濾90%的異常流量。

當攻擊的特性過於明顯時,例如:請求時帶了獨特的表頭、表頭內容與協議有落差、固定來源、訪問的 IP 固定、請求方法與實際不符時,能夠過 CDN 上的 WAF 進行精確阻擋,不僅不會影響到正常使用者,並且能夠將攻擊完全阻攔,來達成防護效果。

ApeiroCDN 的 CDN 架構中,WAF 具備多樣防禦模式:

  • Speed Limit 限速模式
    保持請求量在合理範圍內,防止單一 IP 請求較大量造成服務異常。
  • Smart Captcha 圖形驗證
    利用多樣的圖形驗證來過濾機器人。
  • Log Only 觀察模式
    當其結果符合期望即可改變模式。如 Log only 觀察目前設置的規則是否有成功讓異常流量命中,當異常流量大多都有命中此規則時,即可把模式改為 Deny。
  • Allow 白名單
  • Deny 黑名單
  • Redirect 重新導向
  • Js Challenge 防止機器人
  • Gesture Challenge 圖形驗證,抵擋肉機
  • Block Period 期間封鎖
  • Set Request Header 設置請求源伺服器表頭
  • Set Response Header 設置回應給用戶的表頭
  • Custom Page 客製化頁面
  • Origin Policy 回源策略(提供 IP hash/Round Robin/Weight 回源模式)
「沒有特別厲害的防禦,只有厲害的配置者,彈性高的 WAF 需要各個模式互相配合,即能達到高效益。」

深入中國市場的 CDN 架構,提供更多元化的中國加速線路,達到多線路服務不間斷

中國的 CN2 線路較昂貴,並非所有企業都能夠負擔,但中國的使用者若走境外線路,訪問網站的速度會慢許多。中國人較多,市場較大,若中國用戶使用境外線路需繞一圈到境外再回境內,體驗較差,因此需要中國線路來支持這個需求,加速請求速度,減少因速度慢而造成人潮流失、抱怨連連。ApeiroCDN 節點提供中國線路,讓境內用戶有優質的體驗。

🔗延伸閱讀:境外網站進軍中國該使用中國CDN嗎?

Share this post

Blog