1) 多层防护理念:CDN高防负责L3/L4大流量清洗,CDN云盾负责L7应用层识别与WAF规则。
2) 风险隔离:高防在边缘清洗后再回源,云盾进一步过滤恶意请求,减少源站压力。
3) 缓解指标互补:高防容量以Gbps/Tbps计,云盾以RPS和规则命中率衡量并阻断异常流量。
4) 降低带宽成本:边缘清洗减少原始带宽回源,节省主机及带宽费用。
5) 提升可用性:避免单点故障,Anycast + 多点回源提高容灾能力。
6) 运维协同:日志同步后可联合告警、联合规则下发,提高响应速度。
1) 流程概述:客户端→Anycast边缘(CDN高防)→云盾WAF→回源到源站。
2) 边缘清洗:例如遇到200 Gbps SYN/UDP洪泛,高防在边缘清洗降至10 Gbps合规流量。
3) 应用识别:云盾对HTTP/HTTPS进行RPS级别分析,拦截爬虫与攻击请求。
4) 回源保护:合法流量经云盾白名单/限流后回源,避免源站过载。
5) 数据示例表:比较攻击量、边缘清洗与源站剩余流量。
| 指标 | 攻击峰值 | 边缘清洗后 | 回源到源站 |
|---|---|---|---|
| 数值 | 200 Gbps / 30 Mpps | 15 Gbps / 1.5 Mpps | 5 Gbps / 0.2 Mpps |
1) 源站服务器配置示例:8核CPU、16GB内存、500 Mbps带宽(或1 Gbps按需)。
2) Web服务建议:Nginx + keepalive_timeout=65,worker_connections=65535,开启proxy_buffer和gzip。
3) 连接数控制:使用conntrack或iptables限制每IP并发,例如--connlimit-above 200。
4) TCP优化:net.core.somaxconn=65535,net.ipv4.tcp_tw_reuse=1,减少TIME_WAIT占用。
5) 缓存策略:静态资源走CDN缓存,减少回源频次,设置合理Cache-Control。
6) 日志与监控:部署Prometheus+Grafana及实时流量告警,记录所有云盾/高防日志用于回溯。
1) 背景:旺季某电商遇到180 Gbps L3/L4攻击并发发起,伴随5M RPS的L7请求洪水。
2) 初期响应:启用CDN高防Anycast清洗,边缘清洗能力峰值投入200 Gbps,瞬时阻断大流量。
3) 二次防护:CDN云盾启用WAF规则集与行为识别,拦截95%恶意HTTP请求(约4.75M RPS被拦)。
4) 源站状态:回源仅剩约6%合法流量,源站配置为8vCPU/16GB/500Mbps,CPU峰值保持在40%以内,无服务中断。
5) 成果:整套方案在30分钟内恢复稳定,业务无明显宕机,损失降到最低。
6) 经验教训:预置防护策略与演练、准备备用回源点与DNS快速切换机制至关重要。
1) 评估防护需求:根据业务峰值带宽、并发请求数与SLA选择高防容量与云盾并发处理能力。
2) SLA与计费:关注清洗带宽与RPS计费模式,预算中预留峰值2-3倍缓冲。
3) DNS与加速:将域名CNAME到CDN,设置合适TTL以便切换和回滚。
4) 预置规则库:结合应用特点预置WAF规则、速率限制与黑白名单。
5) 联合演练:定期做压测与演练验证高防清洗和云盾规则效果。
6) 监控与报警:统一日志、指标与告警策略,确保在攻击初期即可自动触发应急流程。
