互聯(lián)網(wǎng)瞬息萬(wàn)變,現(xiàn)代企業(yè)的性質(zhì)也隨之改變��。伴隨數(shù)字化轉(zhuǎn)型�����,企業(yè)面臨著新的挑戰(zhàn)和增長(zhǎng)機(jī)會(huì)—從預(yù)測(cè)客戶的數(shù)字化需求并加以滿足���,到建立強(qiáng)大的防線來(lái)抵御基于 Web 的攻擊�、克服延遲問(wèn)題、防止網(wǎng)站中斷�����,并維持網(wǎng)絡(luò)連接和性能����。
互聯(lián)網(wǎng)瞬息萬(wàn)變�,現(xiàn)代企業(yè)的性質(zhì)也隨之改變。伴隨數(shù)字化轉(zhuǎn)型��,企業(yè)面臨著新的挑戰(zhàn)和增長(zhǎng)機(jī)會(huì)—從預(yù)測(cè)客戶的數(shù)字化需求并加以滿足����,到建立強(qiáng)大的防線來(lái)抵御基于 Web 的攻擊、克服延遲問(wèn)題���、防止網(wǎng)站中斷���,并維持網(wǎng)絡(luò)連接和性能。
在優(yōu)化在線客戶體驗(yàn)時(shí)���,企業(yè)需采取一種可將強(qiáng)大的站點(diǎn)安全性�、性能和可靠性集于一體的策略。盡管該策略涉及許多組成部分�,但此處的五個(gè)關(guān)鍵因素可以幫助企業(yè)滿足客戶需求并提供安全無(wú)縫的用戶體驗(yàn)。
利用 DNS 和 DNSSEC 支持來(lái)最大化可用性和正常運(yùn)行時(shí)間
DNS(域名系統(tǒng))通常被稱為“互聯(lián)網(wǎng)電話簿”,它將域名轉(zhuǎn)換為數(shù)字 IP 地址��,并使瀏覽器能夠加載互聯(lián)網(wǎng)資源����。由于 DNS 旨在接受為其分配的任何地址,因此選擇正確的DNS 安全策略至關(guān)重要����。如果缺乏正確的 DNS 安全策略,企業(yè)將面臨多種風(fēng)險(xiǎn)�,包括 DNS 劫持、中間人攻擊��、敏感用戶信息暴露和丟失�����、網(wǎng)絡(luò)釣魚(yú)以及其他主要威脅�。隨著 DNS 攻擊變得越來(lái)越普遍,企業(yè)開(kāi)始意識(shí)到缺乏有韌性的 DNS 會(huì)在其整體安全策略中造成薄弱環(huán)節(jié)��。
公司可以采用多種方法來(lái)部署韌性 DNS 策略。他們可以使用托管 DNS 提供商來(lái)托管所有 DNS 記錄����,在全球多個(gè)節(jié)點(diǎn)提供查詢解析,并提供集成的 DNSSEC 支持��。通過(guò)向現(xiàn)有的 DNS 記錄添加加密簽名��,DNSSEC 為域名系統(tǒng)增加了一層安全保護(hù)�。公司還可以通過(guò)部署多 DNS 策略來(lái)建立額外的冗余—即使主 DNS 出現(xiàn)故障��,輔助 DNS 仍可以使應(yīng)用程序保持在線狀態(tài)��。希望維護(hù)自有 DNS 基礎(chǔ)設(shè)施的大型企業(yè)可以將 DNS 防火墻與輔助 DNS 結(jié)合使用��。此設(shè)置為本地 DNS 基礎(chǔ)設(shè)施增加一層安全性����,并有助于確保總體 DNS 冗余��。
客戶成功案例
一家加密貨幣公司提供一種開(kāi)源的客戶端工具來(lái)與區(qū)塊鏈進(jìn)行交互���,由于一次復(fù)雜的 DNS 攻擊將所有查詢重新路由到了假冒網(wǎng)站�����,該公司需要提高其 DNS 安全性����。黑客設(shè)法讓其中一臺(tái)權(quán)威服務(wù)器相信,對(duì)公司網(wǎng)站的所有查詢都應(yīng)定向到一個(gè)新的目的地�����。假冒網(wǎng)站看上去與公司的網(wǎng)站一模一樣���,但是利用欺騙手段將用戶的私鑰轉(zhuǎn)移給了黑客��,使攻擊者獲得大量的加密貨幣�。
像互聯(lián)網(wǎng)上的許多網(wǎng)站一樣���,他們成為攻擊目標(biāo)的原因在于互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施中的一個(gè)重大漏洞���,并因此失去了客戶的信任。為了確保這種情況不再發(fā)生���,他們采用了 Cloudflare DNS����。遷移到 Cloudflare 是實(shí)施 DNSSEC 的最直接方法,因?yàn)樗麄兡軌驈慕y(tǒng)一���、易用的儀表板中配置和管理協(xié)議—不僅提高了安全環(huán)境的韌性�,還確保了依賴他們來(lái)保護(hù)其加密資產(chǎn)的客戶享受到更安全���、更高效的用戶體驗(yàn)�����。
通過(guò)最不擁塞的路線 路由流量來(lái)加速內(nèi)容交付
如今,大多數(shù) Web 流量都通過(guò) Content Delivery Network (CDN) 傳送�,包括來(lái)自 Amazon 和 Facebook 等主要網(wǎng)站的流量。CDN 是一組地理位置分散的服務(wù)器��,可幫助將互聯(lián)網(wǎng)內(nèi)容快速交付給遍布全球的用戶�,還可以降低帶寬成本。
通過(guò)分布全球多個(gè)位置的服務(wù)器�,CDN 能夠在更接近網(wǎng)站訪問(wèn)者的位置分發(fā)內(nèi)容,從而減少任何固有的網(wǎng)絡(luò)延遲并縮短頁(yè)面加載時(shí)間�����。CDN 還通過(guò)其網(wǎng)絡(luò)中的緩存?zhèn)鬏旍o態(tài)資產(chǎn),從而減少了對(duì)托管 Web 服務(wù)器的請(qǐng)求數(shù)量�����,并降低了帶寬和托管成本����。
客戶成功案例
這是世界最大按需送餐服務(wù)公司曾經(jīng)面臨的一個(gè)困擾。該公司的合作伙伴遍布美國(guó)數(shù)千個(gè)城市,而且門到門服務(wù)依賴于其在線平臺(tái)和智能手機(jī)應(yīng)用程序����,故始終提供快速、可靠的用戶體驗(yàn)對(duì)其至關(guān)重要����。這不僅有助于為不斷增長(zhǎng)的用戶群提供支持,而且還加強(qiáng)了與當(dāng)?shù)夭宛^和商人的合作關(guān)系�����。
最初��,該公司面臨一些性能方面的挑戰(zhàn)��。他們?nèi)狈哂许g性的 CDN 以及圖像大小調(diào)整解決方案��,后者是提供流暢用戶體驗(yàn)的關(guān)鍵。訪問(wèn)該站點(diǎn)的客戶需要瀏覽不同食物選項(xiàng)的高分辨率照片����,并且隨著公司的發(fā)展,向用戶展示的菜單項(xiàng)目數(shù)量也會(huì)隨之增加�����。由于需要通過(guò)其平臺(tái)提供大量高質(zhì)量的圖像�,因此找到一種解決方案以優(yōu)化圖像交付并減少延遲非常重要,尤其是因?yàn)橐郧暗膱D像大小調(diào)整解決方案每月要花費(fèi)數(shù)千美元��。
Cloudflare 通過(guò) Cloudflare 內(nèi)容交付網(wǎng)絡(luò) (CDN) 幫助送 餐服務(wù)提供商提升其用戶體驗(yàn)�����。在擁有超過(guò) 2500 萬(wàn)互聯(lián)網(wǎng)資產(chǎn)的全球網(wǎng)絡(luò)支持下��,Cloudflare CND 可在盡可能靠近最終用戶的位置緩存靜態(tài)內(nèi)容�����,并與 Argo Smart Routing 協(xié)同工作����,通過(guò)最快路徑智能路由內(nèi)容請(qǐng)求。并且����,借助 Cloudflare Image Resizing (圖像大小調(diào)整 解決方案),該公司可緩存圖像并減少延遲�,使其 CPU 利用率降低了 20%。
通過(guò)全局負(fù)載均衡流量來(lái)最大程度地降低站點(diǎn)中斷的風(fēng)險(xiǎn)
最大化服務(wù)器資源和效率可能是一種微妙的平衡行為��。服務(wù)器過(guò)載或與最終用戶在地理位置上相距太遠(yuǎn),可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生不利影響�,因?yàn)檠舆t增加和服務(wù)器故障會(huì)導(dǎo)致收入損失、客戶信任度下降和品牌退化���。
基于云的負(fù)載平衡器可在多個(gè)服務(wù)器之間分配請(qǐng)求�,以處理流量高峰����。負(fù)載平衡決策發(fā)生在靠近用戶的網(wǎng)絡(luò)邊緣,因此企業(yè)可以縮短響應(yīng)時(shí)間并有效優(yōu)化其基礎(chǔ)設(shè)施�����, 同時(shí)最大程度地降低服務(wù)器故障的風(fēng)險(xiǎn)�。即使單個(gè)服務(wù)器發(fā)生故障����,負(fù)載平衡器也可以在其余服務(wù)器之間重定向和重新分配流量��,從而確?�?蛻粲肋h(yuǎn)不會(huì)遇到明顯的延遲或發(fā)生站點(diǎn)中斷��。利用負(fù)載平衡器�,企業(yè)還可以主動(dòng)運(yùn)行狀況檢查,從而找出性能不佳的服務(wù)器并在實(shí)際發(fā)生故障之前采取預(yù)防措施��。
客戶成功案例
一家總部位于加拿大的大型電子商務(wù)平臺(tái)(在全球 175 個(gè)國(guó)家/地區(qū)運(yùn)營(yíng))需要一個(gè)集成的性能和安全解決方案��,于是他們開(kāi)始尋找一個(gè)能夠確保方案易于實(shí)施并有助于降低基礎(chǔ)設(shè)施成本的提供商����。依賴其平臺(tái)的企業(yè)超過(guò) 100 萬(wàn)家,該公司要求遷移到 Cloudflare 的過(guò)程無(wú)縫平滑���,以免任何一家的業(yè)務(wù)遭到中斷�����。通過(guò)將每個(gè)站點(diǎn)都放置在 Cloudflare 的全球網(wǎng)絡(luò)上�����,這家電子商務(wù)公司為客戶提供了更快的體驗(yàn)�����,進(jìn)而推動(dòng)整個(gè)平臺(tái)銷售的增長(zhǎng)�����。
這些性能效益的一個(gè)核心部分在于 Cloudflare 負(fù)載平衡,使該公司能夠利用動(dòng)態(tài)轉(zhuǎn)向��,換句話說(shuō)��,為特定用戶將流量定向到最快的源服務(wù)器池�,從而減少延遲并進(jìn)一步加速流量?��,F(xiàn)在���,該公司可以精確控制其流量在源服務(wù)器之間的分布,并獲得在網(wǎng)絡(luò)邊緣進(jìn)行這些決策的額外性能和準(zhǔn)確性效益�。
保護(hù)應(yīng)用程序免受惡意攻擊
在互聯(lián)網(wǎng)上,基于 Web 的企業(yè)可能受到來(lái)自不同位置�、具有不同復(fù)雜程度的廣泛攻擊�����。在保護(hù) Web 應(yīng)用程序和其他業(yè)務(wù)關(guān)鍵型資產(chǎn)的安全時(shí)�����,分層安全策略可以幫助防御多種威脅�。
A. Web 應(yīng)用程序防火墻保護(hù)
Web 應(yīng)用程序防火墻簡(jiǎn)稱 WAF,通過(guò)過(guò)濾和監(jiān)控 HTTP 流量來(lái)保護(hù) Web 應(yīng)用程序����。有了 WAF,企業(yè)可以防御零日攻擊,并使應(yīng)用程序免受常見(jiàn)威脅的侵害����,例如跨站點(diǎn)請(qǐng)求偽造 (CSRF)、跨站點(diǎn)腳本 (XSS) 和 SQL 注入攻擊 ——這些攻擊可能會(huì)使服務(wù)器受損并導(dǎo)致數(shù)據(jù)遭到盜竊或篡改��。
通過(guò) WAF ,企業(yè)還可以設(shè)置規(guī)則保護(hù)其應(yīng)用程序中的漏洞并防御新出現(xiàn)的威脅�����,對(duì)企業(yè)的安全策略保持精細(xì)控制�����。基于云的 WAF 通常是最靈活�、最具成本效益的解決方案,因?yàn)樗鼈兛梢猿掷m(xù)更新以防御新的威脅�,而無(wú)需在用戶端增加大量工作或成本。
B. DDoS 攻擊防護(hù)
對(duì)于大多數(shù)網(wǎng)站而言�,網(wǎng)絡(luò)流量高可能是一件好事,因?yàn)檫@可以帶來(lái)更多的轉(zhuǎn)化�、客戶和銷售。但是��,Web 流量激增也可能源于旨在破壞網(wǎng)絡(luò)連接���、讓服務(wù)器無(wú)法應(yīng)付并阻止合法用戶訪問(wèn)站點(diǎn)的網(wǎng)絡(luò)攻擊����。
DDoS 攻擊是一種用大量非法互聯(lián)網(wǎng)流量使服務(wù)器�,設(shè)備、網(wǎng)絡(luò)或周圍基礎(chǔ)設(shè)施不堪重負(fù)的惡意嘗試�����。通過(guò)消耗目標(biāo)設(shè)備和互聯(lián)網(wǎng)之間的所有可用帶寬��,這些攻擊不僅會(huì)造成嚴(yán)重的服務(wù)中斷,而且還會(huì)導(dǎo)致客戶無(wú)法訪問(wèn)企業(yè)的資源�����、從而給企業(yè)帶來(lái)明顯的負(fù)面影響���。
C.惡意機(jī)器人防護(hù)
除了其他常見(jiàn)的網(wǎng)絡(luò)安全威脅外���,惡意機(jī)器人活動(dòng)的攻擊也會(huì)導(dǎo)致網(wǎng)站受損——惡意機(jī)器人可能使 Web 服務(wù)器不堪重負(fù),扭曲分析��、阻止用戶訪問(wèn)網(wǎng)頁(yè)����、竊取用戶數(shù)據(jù)并危及業(yè)務(wù)關(guān)鍵型功能。
善意機(jī)器人是指經(jīng)過(guò)編程可執(zhí)行有用任務(wù)的軟件應(yīng)用程序,例如掃描網(wǎng)頁(yè)上的內(nèi)容和響應(yīng)網(wǎng)站上的客戶查詢����。但是,機(jī)器人也可能會(huì)受到黑客的利用���,被用于執(zhí)行惡意活動(dòng)�,包括憑據(jù)填充和破壞敏感數(shù)據(jù)�,以及竊取 SEO 內(nèi)容和破壞業(yè)務(wù)運(yùn)營(yíng)。通過(guò)實(shí)施機(jī)器人管理解決方案,企業(yè)可以區(qū)分有用和有害的機(jī)器人活動(dòng)�����,并防止惡意行為影響用戶體驗(yàn)���。
保持網(wǎng)絡(luò)正常運(yùn)行
A.保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施
僅僅保護(hù) Web 服務(wù)器并不足夠。企業(yè)通常在公共或私有數(shù)據(jù)中心中托管本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施��,這些基礎(chǔ)設(shè)施也需要防御 DDoS 攻擊��。許多 DDoS 緩解提供商依靠?jī)煞N方法來(lái)阻止攻擊:清洗中心,或通過(guò)硬件盒進(jìn)行本地掃描和過(guò)濾����。兩種方法都會(huì)帶來(lái)可能對(duì)業(yè)務(wù)造成不利影響的延遲。清洗要求將網(wǎng)絡(luò)流量重新路由到指定地理位置的集中式清洗服務(wù)器��,以嘗試從非惡意流量中過(guò)濾或“清除”惡意流量�。將所有流量重新路由到地理位置較遠(yuǎn)的清洗中心會(huì)導(dǎo)致額外的延遲,這對(duì)于大多數(shù)應(yīng)用程序而言通常是不可接受的。
另一種 DDoS 防護(hù)技術(shù)使用本地硬件盒來(lái)掃描流量并濾出惡意請(qǐng)求��。與清洗類似�,由于通過(guò)盒子重新路由網(wǎng)絡(luò)流量以完成掃描過(guò)程的瓶頸性質(zhì),掃描硬件會(huì)導(dǎo)致網(wǎng)絡(luò)延遲并抑制性能�。默認(rèn)情況下,本地 DDoS 防護(hù)設(shè)備通常具有帶寬限制,這個(gè)限制由組織的網(wǎng)絡(luò)容量和設(shè)備的硬件容量決定����。
檢測(cè)和防護(hù) DDoS 攻擊的更好方法是在網(wǎng)絡(luò)邊緣靠近源的位置進(jìn)行。通過(guò)在全球分布式網(wǎng)絡(luò)中最近的數(shù)據(jù)中心掃描流量,即使在發(fā)生嚴(yán)重的 DDoS 攻擊時(shí)�,也可以確保高服務(wù)可用性。這種方法可減少將可疑流量路由到地理位置較遠(yuǎn)的清洗中心所帶來(lái)的延遲��。它還可以縮短攻擊響應(yīng)時(shí)間��。
B.保護(hù) TCP/UDP 應(yīng)用程序
在傳輸層����,攻擊者可能會(huì)淹沒(méi)服務(wù)器上所有可用的端口,從而攻擊企業(yè)的服務(wù)器資源��。這些DDoS 攻擊可能導(dǎo)致服務(wù)器對(duì)合法請(qǐng)求的響應(yīng)緩慢����,或者根本不響應(yīng)。在傳輸層防止攻擊需要可以自動(dòng)檢測(cè)攻擊模式并阻止攻擊流量的安全解決方案�����。
結(jié)論
創(chuàng)造卓越的在線體驗(yàn)需要正確的安全性和性能策略���,從而不僅使企業(yè)加快內(nèi)容交付的速度�,而且確保網(wǎng)絡(luò)的可靠性,并保護(hù)其 Web 資產(chǎn)免受站點(diǎn)中斷���,數(shù)據(jù)盜竊和其他嚴(yán)重攻擊的侵害���。
Cloudflare 的網(wǎng)絡(luò)遍布全球 95 個(gè)國(guó)家/地區(qū)的 200 多個(gè)城市,提供可擴(kuò)展的集成全球云平臺(tái)�����,可幫助企業(yè)為其本地�����、云端和 SaaS 應(yīng)用程序提供安全性����、性能和可靠性�。要了解如何保護(hù)在線業(yè)務(wù),請(qǐng)?jiān)L問(wèn) Cloudflare.com。
立即登錄���,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
