隨著信息技術快速發(fā)展與應用，產業(yè)數(shù)字化和智能化趨勢正日益加深，企業(yè)信息安全與防護被提升到前所有未有的高度。阿里云CDN經過10多年的技術發(fā)展時間，已逐步構筑一個邊緣+云的安全網絡立體防護體系，包含了全鏈路安全傳輸、常見攻擊類型的邊緣防御、企業(yè)級獨享資源部署、運維以及內容安全保障機制，為企業(yè)打造安全出海的網絡運營環(huán)境。

在CDN安全防護存在兩個核心場景：擁塞帶寬和耗盡資源。

對于擁塞有限帶寬入口這類攻擊，本質上要在流量上Hold住。CDN天然具有豐富的節(jié)點資源，使用分布式的網絡將攻擊分散到不同的邊緣節(jié)點，同時在近源清洗后返回服務端。
對于耗盡有限資源這類攻擊，本質上要做到攻擊的快速可見，并且能夠把相應特征進行阻斷。單純依靠CDN不能特別有效的解決問題，需要通過CDN節(jié)點上的配置，完成智能精準檢測DDoS攻擊，并自動化調度攻擊到DDoS高防進行流量清洗，這時候需要用戶購買高防抗DDoS的產品。

基于阿里云CDN+云安全構建的邊緣安全體系

基于阿里云CDN構建的邊緣安全體系，其核心能力仍是加速，但又不止于加速。加速是整體方案的基礎，依托于阿里云全站加速平臺，通過自動化動靜分離，智能路由選路，私有協(xié)議傳輸?shù)群诵募夹g，提升靜動態(tài)混合站點的全站加速效果。在加速基礎之上，為客戶提供豐富的邊緣應用層安全、網絡層DDoS防御、內容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規(guī) 6大方面安全能力，從客戶業(yè)務流量進入CDN產品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業(yè)互聯(lián)網業(yè)務的安全加速。

邊緣安全防護

阿里云CDN通過構建完整的企業(yè)級邊緣安全能力，包括DDoS緩解，WAF，頻次控制，IP/區(qū)域封禁，機器流量管理，精準訪問控制等，做到從網絡層到應用層的全棧防護。在不犧牲網站加速性能的同時，全面保障客戶在線業(yè)務的穩(wěn)定性和安全性。

每年，阿里云安全監(jiān)測到云上DDoS攻擊發(fā)生近百萬次，應用層DDoS（CC攻擊）成為常見的攻擊類型，攻擊手法也更為多變復雜；同時，Web應用安全相關的問題依然占據(jù)非常大的比重，從用戶信息泄露到羊毛黨的狂歡，無時無刻不在考驗著每一個行業(yè)、每一個Web應用的安全水位。為了讓承載數(shù)據(jù)傳輸?shù)木W絡平臺更加安全可靠，阿里云CDN一直不斷夯實安全上的能力。

1. DDoS緩解

CDN與DDoS高防產品可以實現(xiàn)聯(lián)動，在分發(fā)場景中可以通過CDN進行分發(fā)。在DDoS攻擊發(fā)生時，可以將發(fā)生DDoS攻擊區(qū)域的流量調度到DDoS高防去清洗，有效保護業(yè)務的服務質量。通過聯(lián)動方案可以有效清洗海量DDoS攻擊，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS等Flood 型攻擊。同時，基于阿里云飛天平臺的計算能力和深度學習算法，智能預判DDoS攻擊，平滑切換為DDoS高防，且不影響業(yè)務運行。

2. 機器流量管理

面對網絡爬蟲的惡意爬取，CDN平臺基于阿里巴巴集團業(yè)務沉淀的惡意IP庫、惡意指紋庫等，通過貼近業(yè)務風險的機器學習能力和定制化爬蟲模型進行精準對抗，降低爬蟲、自動化工具對網站業(yè)務的影響，保障企業(yè)的數(shù)據(jù)安全，維護企業(yè)的核心商業(yè)價值。

3. 頻次控制 

當網站遭受惡意CC攻擊并響應緩慢時，通過頻次控制功能，可以秒級阻斷訪問該網站的請求，提升網站的安全性。頻次控制保護您的網站 URL免受超出設定閾值的可疑請求的影響。它支持豐富的監(jiān)測對象，并配以自定義規(guī)則，來定義合適的訪問閾值。一旦達到設定的請求閾值，就會觸發(fā)自定義響應，通過多樣化的手段（如阻斷或者質詢）來處理過于頻繁的訪問請求。

4. IP/區(qū)域封禁

配置IP黑白名單來實現(xiàn)對訪客身份的識別和過濾，從而限制訪問CDN資源的用戶，提升CDN的安全性。另外還能配置國家的黑白名單，幫助您一鍵阻斷來自指定區(qū)域的訪問請求，解決部分地區(qū)高發(fā)的惡意請求問題。

5. 精準訪問控制

允許自定義匹配條件，實施精準的訪問控制。匹配條件能夠檢查常見的HTTP字段（如IP、URL、header等），來滿足業(yè)務場景的定制化需求。該功能通過支持豐富的請求字段，定義多樣化的匹配條件，來描述所要捕獲的訪問請求。一旦請求被匹配，就會觸發(fā)規(guī)則所定義的操作，如質詢、觀察、阻斷等，做到精準的訪問準入。

6. WAF

由于CDN的分布式架構，用戶通過訪問就近邊緣節(jié)點獲取內容，通過這樣的跳板，有效地隱藏源站IP，從而分解源站的訪問壓力。當大規(guī)模惡意攻擊來襲時，邊緣節(jié)點可以做為第一道防線，不僅大大分散攻擊強度，還可以通過上述的多種安全能力完成邊緣的防護。

阿里云CDN 還集成云WAF能力，實現(xiàn)源站最后一層的防護。WAF 會對回源的業(yè)務流量進行惡意特征識別及防護，將正常安全的流量回源到服務器，進而避免網站服務器被惡意入侵，保障企業(yè)業(yè)務的核心數(shù)據(jù)安全，解決因惡意攻擊導致的服務器性能異常問題。CDN WAF提供虛擬補丁，針對網站被曝光的最新漏洞，最大可能地提供快速修復規(guī)則，并依托云安全，快速實現(xiàn)漏洞響應和修復。

防篡改能力

阿里云CDN提供企業(yè)級全鏈路HTTPS+節(jié)點內容防篡改能力，保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面，通過HTTPS協(xié)議保證鏈接不可被中間源劫持，在節(jié)點上可以對源站文件進行一致性驗證，如果發(fā)現(xiàn)內容不一致會將內容刪除，重新回源拉取，如果內容一致才會進行分發(fā)。整套解決方案能夠在源站、鏈路端、CDN節(jié)點、客戶端全鏈路保證內容的安全性，提供更高的安全傳輸保障。

資源獨享 提升企業(yè)安全系數(shù)

針對大型企業(yè)等具有強安全需求的業(yè)務場景，阿里云CDN提供獨享資源方案：
支持客戶通過安全加速節(jié)點實現(xiàn)物理隔離，完全單獨構建，深度集成安全功能，提供單節(jié)點高級高防能力；
提供獨享IP資源，保證業(yè)務安全風險隔離，不會在別人受到攻擊時被影響；
支持單用戶獨立調度域，用戶之間DNS攻擊互不影響，百萬QPS的DNS Flood防護。

堅守內容與平臺的“生產”安全底線

阿里云基于人工智能及海量樣本集，深度學習訓練識別模型，精準識別通過CDN加速的圖片中的涉黃場景，并可根據(jù)用戶實際的管控需求，提供多層次的識別與靈活管控方案。整體鑒黃準確率超過99%，可替代90%以上的人工審核，大幅度降低違規(guī)風險。

通過簡化安全加速架構，讓運維人員更便捷地進行一站式自助配置與API管控，實現(xiàn)日常攻擊的監(jiān)控告警、全鏈路排查、自動防護與實時全景數(shù)據(jù)日志查看。同時大型活動期間的護航與重保響應制度，可以輔助企業(yè)應用一起抵御安全風險，保護系統(tǒng)平穩(wěn)。

阿里云CDN平臺還通過了國家信息安全等級保護2.0三級、ISO9001、PCI-DSS等合規(guī)認證，在網絡安全、數(shù)據(jù)安全、服務安全等方面測評獲得世界權威認可。

行業(yè)應用案例

企業(yè)網站——航空大促

亞洲某廉價航空公司，在每個季度會舉行一次大型機票促銷活動，借助于阿里云CDN+WAF的架構，可以實現(xiàn)對刷票類請求的快速封禁，通過長期持續(xù)分析大促期間的占座情況，將占座率壓到了比較低的水平，保證業(yè)務營收的穩(wěn)定。

游戲公司-游戲出海

中國游戲公司出海大軍中，有一匹脫穎而出的黑馬。這家企業(yè)使用阿里云DCDN來整合超大規(guī)模的用戶體驗，允許用戶將其源服務器的所有邊界網關協(xié)議（BGP）網絡資源替換為單個操作網絡，將源服務器的帶寬成本降低了50%以上。