阿里云国际版CDN 安全保护指南：管理篡改、攻击和内容

经过十多年的技术演进和实践经验，阿里云内容分发网络
（CDN）从传统的加速，逐步构建了基于边云安全网络的立体防护体系。该系统包括端到端的安全传输、边缘节点常见攻击防御、企业级专属资源部署、运维、内容安全保护。CDN在企业和互联网之间建立了一个安全可靠的通道。

更多有关阿里云国际CDN的内容知识：87cloud

基础安全能力保障端到端传输安全

源站服务器保护

由于CDN的分布式架构，用户可以通过访问就近的边缘节点获取内容，有效隐藏了源站IP地址，缓解了源站的访问压力。在发生大规模网络攻击时，边缘节点作为第一道防线，可以显着分散攻击强度。即使在恶意请求动态内容的情况下，CDN 的智能调度系统也可以卸载源站的压力，保证系统的稳定性。

防篡改能力

CDN为HTTPS链接和节点内容提供企业级端到端的防篡改能力，保障源站与客户端之间的传输安全。HTTPS用于保护链接不被中间源劫持，而节点验证源文件的一致性。如果发现源文件的内容不一致，则删除该文件，并在分发之前再次从源中提取其原始副本。这套完整的解决方案提供了更高的传输安全性，保证了源站、链路、CDN节点和客户端的内容安全。

访问和身份验证安全

CDN可以通过配置referer、User-Agent、IP地址黑名单或白名单来识别和过滤访问者。这有助于清理对资源的访问。您还可以设置密钥对URL进行加密，实现高级盗链保护，保护源站资源。同时建立IP信誉数据库，加强对黑名单IP地址的访问限制。

企业级边缘安全防护常见攻击

2019 年，阿里云安全检测到近百万次异地分布式拒绝服务
(DDoS) 攻击事件。应用层 DDoS 攻击，如 HTTP Flood 攻击，已经成为一种常见的攻击类型，攻击方式也变得更加多样化和复杂。同时，与 Web 应用安全相关的问题仍然占攻击的很大比例。通过用户数据泄露、利益猎手或其他攻击，每个行业和 Web 应用程序的安全性一直在受到考验。为了提高承载数据传输的网络平台的安全性和可靠性，CDN 不断努力提高其安全能力。

DDoS 清理

CDN为企业提供边缘节点的应用层抗DDoS防护能力（HTTP洪水攻击防护能力）。
该能力可以监控 IP 地址、标头和 URL 参数，统计发生次数、状态码和请求方法，并拦截恶意访问请求。在此基础上，CDN可以有效保证正常的业务流量不受影响。为防御网络层 DDoS 攻击，CDN 可以与 DDoS 防护产品联动。在分发场景中，可以使用CDN进行分发。当DDoS攻击发生时，检测到目标区域，将攻击流量调度到Anti-DDoS清洗中心，有效保护源站。

该联动方案能够有效清洗大流量DDoS流量，防御SYN、ACK、ICMP、UDP、NTP、SSDP、DNS、HTTP等泛洪型攻击。基于阿里云飞天平台的计算能力和深度学习算法，通过智能DDoS攻击预测，在不影响日常业务流程的情况下，将流量平滑切换到DDoS高防。

WAF

CDN集成Web应用防火墙
（WAF）能力，在边缘节点部署应用层保护能力。这允许它过滤掉恶意请求并将安全请求重新路由到源服务器。WAF保护Web服务器免受入侵，保护核心数据，防止攻击导致服务器性能下降。CDN/WAF 提供虚拟补丁，快速修复新发现的漏洞。它依靠云安全通过及时修补漏洞来快速响应漏洞。

点击耕作和爬行预防

针对网络爬虫的恶意爬取，CDN使用了阿里巴巴集团自建的恶意IP地址库和指纹库。它使用针对业务风险量身定制的机器学习功能和定制的爬虫模型来减轻网络爬虫和自动化工具对网站业务的影响。这保证了数据的安全，保护了企业的核心业务价值。

独家使用 CDN 资源提升企业安全性

CDN还为数字政务、大型企业等安全要求高的场景提供专属资源组。首先，CDN 允许您在物理上隔离安全加速节点并独立构建它们。高度集成安全功能，提供单节点高级DDoS防护。其次，CDN提供专用IP资源，保护您的业务免受安全风险，防止对一个用户的攻击影响其他用户的业务。第三，CDN支持单个用户独立调度域。这意味着对一个用户的 DNS 攻击不会影响其他用户。这使得 CDN 可以防御具有数百万 QPS 的 DNS 洪水攻击。

内容和平台的生产级安全性

平台内容合规

阿里云基于人工智能（AI）和大量样本集，通过深度学习训练出一个识别模型，可以准确识别出CDN加速的图片中的色情内容。这使其能够根据您的需求提供多层次的识别和灵活的管控解决方案。CDN 的整体色情检测准确率超过 99%，这使其能够取代仅提供 90% 准确率的人工审核，并大大降低违规风险。

方便和安全

CDN通过简化安全加速架构，让运维人员可以轻松实现一站式、自助配置和API控制。这使他们能够实施例行的攻击监控和警报、端到端的故障排除、自动保护以及完整数据日志的实时显示。同时，针对大型促销活动设计的保驾护航和重大事件响应系统，可以帮助企业保护其应用免受安全风险，保障系统稳定性。

除上述技术外，CDN 还获得了等级保护 2.0 3 级、ISO 9001、PCI-DSS 等认证。全球领先权威机构对其网络安全、数据安全和服务安全能力的认可。

行业应用案例

电商：双十一（11/11）购物节

2019双11
期间，阿里云CDN拦截淘宝恶意爬虫5100万条，拦截恶意请求8.5亿条，峰值带宽使用率降低65%以上。

企业网站：主要的亚航促销活动

亚航
是亚洲最大的低成本航空公司。它已连续 11 年被评为世界最佳低成本航空公司。亚航每个季度都会举办大型机票促销活动。借助阿里云CDN/WAF（Anti-Bot）架构，可以快速拦截恶意工单请求。通过对促销期间座位占用率的长期持续分析，将座位占用率压力降低到相对较低的水平，确保亚航收入稳定。

为满足更多企业的安全和业务稳定性需求，阿里云发布了面向政府、金融、媒体、传统企业客户的政企安全加速解决方案。
该解决方案基于我们分布在全球的 2,800 多个 CDN 边缘节点和世界领先的云安全技术。它可以实现加速和安全并重，让企业使用互联网更加方便、稳定、安全。它可以更好地与用户互动，并享受数字化和在线商业模式的好处。