引言
在数字化转型的浪潮中,网站性能和安全性已成为企业生存和发展的两个核心支柱。一方面,用户期望网页能在毫秒级内完成加载;另一方面,日益频繁的网络攻击威胁着业务的安全稳定运行。据统计,约75%的信息安全攻击都是针对Web应用的。
内容分发网络(CDN)和Web应用防火墙(WAF)分别解决了性能和安全的诉求------CDN通过全球分布的边缘节点加速内容分发,WAF则对HTTP/HTTPS请求进行深度检测,识别并阻断各类Web攻击。然而,在传统架构中,两者往往是独立部署的,形成"加速不设防、安全不加速"的局面。
CDN与WAF的联合部署,实现了"加速与防护双协同、性能与安全双提升"。流量先经过CDN加速,再由WAF进行安全过滤,最后将干净的流量转发到源站服务器。这种"边云协同"的架构,不仅保障了网站的访问速度,更构筑了一道坚不可摧的安全防线。
核心概念
CDN
内容分发网络(Content Delivery Network,简称CDN)是构建在现有互联网基础之上的一层智能虚拟网络。它通过在网络各处部署节点服务器,将源站内容分发至所有CDN节点,使用户可以就近获取所需内容,从而显著减少加载时间。
CDN的核心能力:
- 加速访问:用户请求从最近的CDN节点响应,降低网络延迟
- 分担源站压力:缓存静态资源,减少源站负载
- 提升可用性:通过多节点冗余,避免单点故障
WAF
Web应用防火墙(Web Application Firewall,简称WAF)是一种专门为Web应用提供安全防护的产品。它通过对HTTP(S)请求进行深度检测,识别并阻断各类Web攻击。
WAF的核心能力:
为什么需要CDN+WAF联动
单独部署CDN或WAF都存在明显短板:
| 部署方式 | 优势 | 短板 |
|---|---|---|
| 仅CDN | 访问速度快,源站负载低 | 无安全防护,易被攻击 |
| 仅WAF | 安全防护强,攻击拦截率高 | 无加速能力,单点性能瓶颈 |
| CDN+WAF联动 | 加速与安全兼顾,多层防护 | 配置相对复杂 |
CDN+WAF联动架构的核心价值在于:在享受CDN加速能力的同时,获得WAF的安全防护,实现"1+1>2"的效果。
完整流量走向与架构图
完整流量走向图
时序图:完整请求响应流程
架构分层图
部署方案详解
接入方式选择
WAF支持两种与CDN集成的方式,可根据基础设施情况选择:
| 对比维度 | CNAME接入模式 | 透明代理模式 |
|---|---|---|
| 工作原理 | CDN将流量发送到WAF的CNAME地址,WAF将干净流量转发到源站 | CDN直接发送流量到源站IP,WAF通过SLB或ECS透明拦截 |
| CDN配置 | 设置CDN源站为WAF的CNAME | 设置CDN源站为源站服务器IP |
| 适用场景 | 大多数部署场景,基于DNS路由更简单 | 不希望改变DNS源站设置的场景 |
| 配置复杂度 | 相对简单 | 相对复杂 |
CNAME接入模式
这是最常用的部署方式,适用于大多数业务场景。
步骤1:将域名接入WAF
配置以下关键参数:
| 配置项 | 说明 | 示例值 |
|---|---|---|
| 域名 | 需要防护的网站域名 | www.example.com |
| 协议类型 | 网站支持的协议类型 | HTTP/HTTPS |
| 端口 | 服务器地址的端口 | 80/443 |
| WAF前是否有七层代理 | 因为前面有CDN | 是 |
| 客户端IP判定方式 | 推荐从X-Forwarded-For头获取真实IP | 取指定Header字段中的第一个IP |
步骤2:将CDN回源地址指向WAF
新增或修改源站信息:
| 配置项 | 说明 |
|---|---|
| 源站信息 | 选择"源站域名",填写WAF生成的CNAME地址 |
| 优先级 | 设置为主源站 |
| 端口 | 填写源站服务端口(与WAF配置保持一致) |
步骤3:配置DNS解析
将域名的DNS解析指向CDN分配的CNAME地址,完成最终接入。
客户端真实IP获取
当CDN和WAF串联部署时,WAF接收到的是CDN节点的IP,而非用户的真实IP。要获取客户端真实IP,需要正确配置X-Forwarded-For(XFF)头。
配置要点:
- 在WAF接入配置中,"WAF前是否有七层代理"选择"是"
- "客户端IP判定方式"选择"取指定Header字段中的第一个IP作为客户端源IP"
- 指定的Header字段通常为
X-Forwarded-For
CDN节点会在转发请求时,将客户端真实IP附加到X-Forwarded-For头的第一位。WAF配置为取第一个IP后,即可正确识别客户端来源。