百度云内容分发网络CDN安全类问题

使用CDN后,网站的安全性会受到威胁吗?
答:事实上,使用CDN后,网站的安全性与稳定性会增强,原因如下:

当使用了CDN服务后,用户访问网站时得到的是CDN加速节点的IP地址,而源站的真实IP地址不会暴露在公网上,从而减少了被攻击的可能性。
CDN网络具有节点间的服务器备份以及带宽备份,即使一个节点发生故障,访问也会被自动指向到其他的一个正常节点,从而保证了加速服务不会中断。
CDN网络具有流量均衡系统,即使在访问高峰期,也不会因为网络拥塞导致服务中断。

 

访问CDN资源有时报504?
504是请求超时,一般是源站返回的。您检查下源站服务器的物理负载和内存网络是否正常。同时检查源站日志是否有504的请求记录。还有检查下源站证书和CDN证书是否过期或者有不匹配的问题。如还有问题请提交内容分发网络CDN工单。

 

如何防止cc攻击?
答:您可以通过单IP限频设置防止cc攻击。

 

网站是否有QPS防护?
答:您可以通过 设置IP访问限频实现网站的QPS防护。

 

CDN如何限制ip访问次数?
CDN可以通过设置控制台-内容分发网络CDN-域名管理-点击对应域名-点击访问控制修改-IP访问限频。来通过限制IP单节点的每秒访问次数,可抵御部分CC攻击,也可能影响网站的正常访问,请合理设置。百度智能云CDN不承诺DDOS防御流量,如果攻击影响了CDN产品工作,这里会进行封禁处理。如果是针对于web层面攻击建议您可以结合cdnwaf来抵挡防御,具体参考应用安全防护。

 

CDN是全程还是半程加密?
答:由您的配置决定。若您未开启HTTPS配置,且用户通过HTTP协议访问,则全程不加密;若您开启HTTPS回源,且您通过HTTP协议访问,则半程加密;若您开启HTTPS配置和HTTPS回源,则全程加密。

 

 

如何防止恶意多次访问CDN网站?
CDN可以通过限制IP单节点的每秒访问次数,抵御部分CC攻击,可能会影响网站的正常访问,请合理设置。百度智能云CDN不承诺DDOS防御流量,如果攻击影响了CDN产品工作,这里会进行封禁处理。如果是针对于web层面攻击建议您可以结合cdnwaf来抵挡防御,具体参考 CDN WAF。

 

为什么被黑名单挡在外面的403状态也会在日志中出现?
CDN日志中会记录各种访问的状态,被黑名单屏蔽的IP访问会消耗少量流量,因为只有请求到才可以返回403状态码; 所以403状态码的出现是正常的。

 

CDN被盗刷流量或者遭遇类似CC、DDOS、SYN等攻击怎么办?
如果您认为业务访问量并非可能达到这么大,可以下载日志根据您的业务访问情况,来做出相关访问限制。CDN并不清楚您的业务逻辑,所以默认不会对访问作出限制,需要您自行按照业务情况去配置,详情请参见 日志下载。

为避免您的站点被盗刷流量或者遭遇类似CC、DDOS等攻击,强烈建议做如下配置:

设置Referer黑白名单:对业务资源的访问来源进行控制,通过对用户 HTTP Request Header 中 referer 字段的值设置访问控制策略,从而限制访问来源,避免恶意用户盗刷。详情请参见 设置Referer黑白名单。

设置IP黑白名单:您可以根据业务需要对用户请求的源 IP 配置过滤策略,帮助您解决恶意 IP 盗刷、攻击等问题,详情请参见 设置IP黑白名单。

设置IP访问限频:通过对客户端 IP 在每一个节点每一秒钟访问次数进行限制,进行 CC 攻击的抵御。配置开启后,超出QPS限制的请求会直接返回514,设置较低频次限制可能会影响您的正常高频用户的使用,请根据业务情况、使用场景合理设置阈值,详情请参见 设置IP访问限频。

设置带宽阈值:您可以对域名设置带宽封顶阈值,当域名在一个统计周期(5分钟)内产生的带宽超过指定阈值时,为了保护您的域名安全,会自动进行回源,或直接关闭 CDN 服务,所有访问均返回 404,详情请参见 带宽阈值设置。

设置监控报警:您可以直接在云监控控制台设置带宽/流量、请求数阈值等报警规则。当报警规则被触发时,云监控会根据您设置的短信、邮件等通知方式给您发送报警信息。

 

百度智能云CDN会不会自动屏蔽百度蜘蛛IP?
百度智能云CDN是不会自动屏蔽百度蜘蛛ip的,如果您没有设置黑白名单的话,我们这边默认是不会限制任何ip访问您CDN的。