動態、靜態、串流 CDN 服務選購攻略：CDN 廠商功能大不同（1）

自從 DDoS 事件後，大家都會知道原來 CDN 可以對網站提供防禦工作，的而且確，現時的 CDN 由於背後擁有很強大的網絡基建，因此能抵擋到一些大型的 DDoS 攻擊。

由於現時的 CDN 於全球各地都會備有 PoPs，對於即使擁有一定規模的攻擊請求，亦可完全處理到，試想想 DDoS 攻擊的請求由全球數以百計、千計、萬計的 PoPs 完全吸收，你的伺服器從此不會輕易的被這些大量請求癱瘓，的確大快人心。

另一方面，有些 CDN 服務亦表明會提供不同的防護工作，例如前面都有提到的 Imperva incapsula 便是其中一個例子。此 CDN 服務供應商提供了由 Application 層面 (Layer 7) 到 Network 層面的 (Layers 3, 4) DDoS 保護功能。

以上只是其中一個例子，稍後將會列出這六家 CDN 服務供應商的一些防禦功能，讓大家參考。

在考慮到 CDN 附帶的 DDoS 功能上，就個人經驗而言大家可要留意一下該 CDN 服務是否有再詳細的說明當中包括了甚麼 DDoS 的防禦細節，事關部份的 CDN 服務供應商只會跟你說她們支援 DDoS 保護，但追問之下才發現，原來所謂的 DDoS 防護只不過是該公司提供了十分強大的基建以及極廣泛的 PoPs，因此她們自信地認為即使面對大規模攻擊亦沒有問題，事關她們的基建能應付得到，亦可吸收到這些大規模的 DDoS 請求，然而很明顯地，對於用户來說，這並非 DDoS 防護功能。

其實常見的 DDoS 防禦服務主要以提供針對 Layer 7, 3, 4 等進行防護為主，至於可否為 DNS 提供 DDoS 攻擊防禦則並非每一家都有明確列出；更進階一些的 BGP DDoS 防禦更並不是每一家 CDN 服務供應商都有提供到。

除了針對 DDoS 的防禦功能之外，很多 CDN 服務供應商都有提供了額外的防禦功能，例如是針對 Spam 提供防禦又或者是防止垃圾郵件、封鎖指定地區的 IP、防止 Scraping content 等。以下便列出上述 6 家 CDN 服務所支援的防禦功能。(*以下只列出筆者從有關 CDN 服務供應商網站上明顯找到的防禦功能，有些功能可能並未明確顯示於網站上，因而或會出現遺留情況，請大家在選購不同的 CDN 服務前，自行向不同服務供應商查詢，事關我們沒有辦法得知服務供應商何時會更改其服務內容，而以下提供的內容只供參考。)

1. MAXCDN

我們早前曾直接與 MAXCDN 的支援人員通話，並詢問有關 DDoS 服務。有關支援人員指出，她們公司本身主要提供 CDN 服務，因此針對 DDoS 攻擊提供了一般的防禦。

支援的安全功能

帳戶安全
– IP 白名單。
– 雙重認證。
– 詳細的帳戶日誌。
– 偵測可疑行為，並向帳戶擁有人發出警告。

2. Imperva incapsula

Imperva incapsula 是在今次眾多的廠商之中，提供較多防禦功能的 CDN 服務供應商。她除了提供 DDoS 防禦功能之外，更提供了針對 Web 的防禦功能，包括有網頁應用防火牆(Web Application Firewall)、緩解機械人流量的影響(Advanced Bot Mitigation)、針對管理者帳戶的雙重認證(Two-Factor Authentication)、網頁瀏覽限制(Granular Website Access Control)等，以下為 Imperva incapsula 提供的安全防禦功能。

支援的安全功能

針對 DDoS 的防禦
– 網絡層(Network Layer)的防禦，例如是可針對 SYN 或 UDP floods。
– 透明緩解 DDoS 攻擊(Transparent Mitigation)。
– 自動檢測和立即觸發(Automatic Detection and Immediate Triggering)。
– 自自緩解層級攻擊(Advanced Mitigation of Layer Attacks)。
– DNS 防禦功能(Name Server Protection)。
– 針對基建的 BGP 路由保護(BGP Routing-based Infrastructure Protection)。

針對 Web 應用的防護

– Web 應用防火牆 (Enterprise Grade Web Application Firewall (WAF))。
– 進階機械人流量緩解(Advanced Bot Mitigation)。
– 雙重認證(Two-Factor Authentication)。
– 網絡瀏覽限制(Granular Website Access Control)。

待續……

相關文章：

切勿被美麗的服務名稱蒙蔽！動態、靜態、串流 CDN 服務選購攻略
動態、靜態、串流 CDN 服務選購攻略：六大 CDN 平台有那些？
動態、靜態、串流 CDN 服務選購攻略：CDN 廠商功能大不同（1）