在过去两年中,与大流行相关的封锁增加了在线流量和云应用程序的采用。这种增长还吸引了对 Web 应用程序的网络攻击。根据 CDNetworks 安全报告,Web 应用程序攻击仅在过去一年就激增了 141.3%。随着许多公司继续增加对基于云的应用程序的投资以扩展业务,Web 攻击威胁只会增加。对于在线业务的公司而言,保护 Web 应用程序免受 Web 漏洞利用、危害和攻击从未如此重要。
CDNetworks 是云内容交付行业的领导者,于今年 9 月发布了其最新的网络安全解决方案 CDN Pro with Web Application Firewall (WAF),以帮助客户保护其在线业务免受互联网 Web 应用程序攻击的浪潮。
CDN Pro 是 CDNetworks 的 Edge Cloud 产品,用于全球内容交付。 Edge Cloud 是从头开始构建的,具有可防止安全漏洞的强大功能。到2022年,仅CDN Pro就已经成功应对了一些世界上最残酷的DDoS攻击,带宽达到1.2Tbps,请求速率高达35Mrps。
CDNetworks' WAF 是一种基于云的服务保护解决方案。 CDNetworks 的 WAF 使用智能自动化和无与伦比的功能,在合格的网络安全专家和高级扫描仪的支持下,在攻击者获得访问权限之前修补安全漏洞,在攻击者可以利用它们之前消除漏洞。
通过将 CDN Pro 与 CDNetworks 的 WAF 捆绑在一起,使 CDN Pro WAF 解决方案能够在不牺牲性能的情况下高效且有效地防御 Web 应用程序攻击。
CDN Pro 安全
CDN Pro 平台的设计考虑到了安全性。它拥有内置的安全功能以及可编程的安全功能。
第 4 层 DDoS 缓解
CDN Pro 建立在边缘云计算平台上。在每个边缘的入口点,存在点 (PoP) 是高性能第 4 层分布式拒绝服务 (DDoS) 防火墙。防火墙由一组以线速分析传入流量的机器组成。基于定期更新的规则,防火墙拒绝可能使 Web 应用程序服务面临风险的可疑数据包,并仅将“安全”数据包转发到防火墙后面的源服务器。防火墙默认为所有边缘服务启用,并且对所有 CDN Pro 客户透明。
第 7 层保护
对于网络 OSI 模型第 7 层流量,CDN Pro 配备实时监控以检测传入流量的异常行为。一旦识别出攻击,就会在第 4 层和第 7 层部署防御策略,以减轻对正常 Web 应用程序流量的影响。
使用 CDN Pro 编程进行访问控制
CDN Pro 凭借其 Edge Cloud 态势,成为一个可编程的内容交付平台。它使用具有增强和专有指令的开源 NGINX 脚本语言。客户可以使用其集成编程接口 Edge Logic 配置访问控制规则,以保护内容免受未经授权的用户访问并减轻常见的第 7 层攻击。
以下是CDN Pro编程设置访问控制规则的几个例子:
使用“允许”和“拒绝”指令限制客户端 IP:
基于带有'valid_referers'的'Referer'请求头进行检查和控制:
使用专有指令“eval_func”通过 SHA-256 验证 HMAC 身份验证以进行访问控制:
WAF防御
CDNetworks 的 WAF 是一种基于云的 Web 应用程序防火墙,可保护 Web 应用程序免受常见的 Web 攻击和危害。它支持托管规则和自定义规则。 WAF 采用中央云防御引擎构建,不断学习并保护 Web 应用程序免受新的恶意行为者和攻击媒介的侵害,从而在日益严重的网络威胁带来的持续威胁中保持企业安全和可用。
OWASP 十大威胁
CDNetworks 的 WAF 是一个功能齐全的威胁防御解决方案。它包括数百个签名和策略来防御 OWASP 前 10 大威胁,例如注入、目录遍历和 XSS。
调用次数限制
WAF 支持速率限制功能,该功能通过限制在固定时间段内允许对 Web 应用程序源服务器的 HTTP 请求数量来降低暴力攻击和其他自动攻击的风险。
客户规则
为了最大程度地保护客户资产,WAF 支持灵活的客户规则、多种策略执行模式和自定义策略,以涵盖对 Web 应用程序的任何潜在威胁。
访问控制
客户可以在 WAF 配置门户上设置访问控制规则,通过 IP 地址、HTTP 标头和其他参数来阻止不需要的用户和潜在的不良流量,从而避免 Web 应用程序攻击。
控制和监测
基于云的 WAF 平台允许几乎即时部署策略更改。此外,实时门户仪表板使客户能够立即直观地了解安全状态。
使用 CDN Pro 和 WAF 增强安全性
带有 WAF 解决方案的 CDN Pro 为您的 Web 应用程序提供集中式和多级保护。它可以保护您的 Web 应用程序免受常见攻击和漏洞的侵害,同时为您的客户提高可用性。
部署在其全球边缘服务器上的 CDN Pro with WAF 解决方案可在攻击源接近您的原始 Web 应用程序之前阻止恶意攻击。因此,您可以在不牺牲性能的情况下获得全局保护。
下图是一个典型的源站应用的 CDN Pro WAF 增强方案:
以下步骤描述了该解决方案的工作原理:
1. 最终用户从您的 Web 应用程序发起内容请求。
2. CDN Pro 全球服务负载均衡器 (GSLB) 根据预定义的第 4 层和第 7 层策略检查请求流量是否存在任何安全风险。如果请求不构成威胁,GSLB 会将请求路由到最能满足请求的边缘位置——通常是距离最终用户最近的 CDN Pro 边缘位置。
3. 在边缘站点,CDN Pro 检查请求的内容是否缓存在边缘站点。如果内容被缓存,CDN Pro 会将缓存的副本返回给最终用户。
4. 如果内容没有被缓存,CDN Pro根据边缘逻辑编程、安全策略或访问控制规则来处理请求,以决定如何处理请求。如果在 CDN Pro 级别违反了任何规则,CDN Pro 会丢弃请求并以错误状态回复最终用户。
5.如果CDN Pro决定继续前行到源头获取内容,它可以添加带有真实客户端IP的自定义头部X-Forwarded-For或CDN Pro和WAF之间约定的其他头部,然后转发到 WAF 的请求流量。
6. WAF 检查传入请求流量以检查 WAF 配置和预定义策略。
如果请求违反 WAF 策略,WAF 会阻止它并以错误状态响应 CDN Pro 以返回给最终用户。
7. 如果请求没有违反WAF规则,WAF允许请求去源,抓取内容,并将响应转发回CDN Pro和最终用户。
结论
利用全面的安全功能和高性能的全球基础架构,CDN Pro 和 WAF 无缝协作,创建灵活的分层安全边界,保护您的 Web 应用程序免受 Internet 威胁和攻击。
