動態、靜態、串流 CDN 服務選購攻略：CDN 廠商功能大不同（2）

稍為有找尋過 CDN 服務的你一定會知道 Akamai 這家公司。Akamai 可以說是一家針對企業而設的企業級數 CDN 服務供應商，因此對於中小型企業來說，Akamai 服務未必能切合你的預算。不過既然稱得上是針對企業用户，Akamai 提供的服務的確十分齊全，而且很多大型公司都是使用 Akamai，其中香港電視廣播有限公司 (TVB) 都是 Akamai 的客戶之一。

針對 DDoS 的防禦

– Kona Site Defender DDoS 攻擊緩解 (Kona Site Defender DDOS Mitigation) 。
– Kona Site Defender 應用層防禦 (Kona Site Defender Application-Layer Protection)。
– Kona Site Defender 條件設定(Kona Site Defender The Kona Rule Set)。
– Kona Site Defender 網絡層控管(Kona Site Defender Network Layer Controls)。
– Kona Site Defender 請求率控制(Kona Site Defender Rate Controls)。
– Kona Site Defender API 防禦(Kona Site Defender API Protections)。
– Kona Site Defender 網站屏蔽(Kona Site Defender Site Shield)。
– Kona Site Defender DNS 防禦(Kona Site Defender Fast Domain)。
– Kona DDoS Defender代管式 DDoS 防禦服務(Kona DDoS Defender – Managed DDoS protection)。

針對 Web 應用的防護

– 針對機械人流量進行管理(BOT MANAGER)。
– DNS DDoS 防禦功能(DNS DDoD Protection – Fast DNS)。
– 訪客信譽預報(Client Reputation)。

針對基建的防護

– 針對整個數據中心的 DDoS 攻擊管控 (PROLEXIC ROUTED)。
– 針對整個數據中心內的 Web 及基於 IP 的應用層 DDoS 防護 (PROLEXIC CONNECT)。
– 針對數據中心邊際路由器進行監控及預測 DDoS 攻擊流量的可能性 (Prolexic Flow-Based Monitoring)。
– 針對數據中心流量從而預測可能針對應用層的 DDoS 攻擊(APPLICATION-BASED MONITORING)。

4. CDN77

CDN77 主要為中小型網站提供 CDN 服務，亦可能是這原因，所以其本身提供的 CDN 服務當中只有略為提及 DDoS 的防護功能。而根據我們向有關方面詢問，她們提供的 DDoS 服務可支援到 Network Layer 防禦，並不提供 DNS DDoS 防禦；當然亦沒有提供 BGP DDoS 防禦功能。

儘管如此，但其於官方網站之中亦有提及支援基本的 DDoS 防禦功能以及其他防禦功能，以下將會列出。

針對 DDoS 的防禦

– DDOS 防禦功能 – 網絡層級 (DDoS Protection – Network Layer)。

其他官方列出之防禦功能

– 支援使用自己的SSL 證書(SSL Certificate)。
– 共享SSL 證書(SSL Certificate)。
– Secure Token URL。
– SSL origin。
– 針對不同地區的封鎖(Geoblocking)。
– 連結保護(Hotlinking Protection)。
– 針對 IP/域名 的黑名單。
– 備份及伺服器冗餘(Redundancy)。

5. Amazon CloudFront

Amazon CloudFront 是 AWS IaaS 下的 CDN 服務，此服務主要以提供 CDN 為主，至於防禦功能則需要配搭不同的服務。根據 Amazon 的建議，要構建一個能有效抵禦 DDoS 攻擊的架構，管理員需先縮窄入口範圍，例如通過 Amazon Virtual Private Cloud（VPC）並設定好路由表（Route Table）、網絡閘道（Network Gateways）以確保 Instances 在安全的環境下運行。

除此之外，Amazon 亦建議你配合不同的 Amazon 功能，以達到最佳的 DDoS 防禦能力，例如是做好橫向擴展、直向擴展的準備、Elastic Load Balancing、Auto Scaling 等等。

一般的 CDN 服務大多數都會將很多防禦功能整合在內，而不需要花太多時間逐一進行設定，然而 Amazon 本身由於是一個 IaaS（Infrastructure as a Service）供應商，因此在制定 CDN 服務時，會從一個 IaaS 運營商角度作考慮，因而令其提供的 CDN 服務只能提供到基本的 CDN 功能；換句話說，假如大家希望於 Amazon 之中部署比較完整的 DDoS 防禦方案，你必須配合其他 Amazon 獨立的方案才可實現。

針對 DDoS 的防禦

– Amazon CloudFront – 針對部份的應用層攻擊（Amazon CloudFront – Application Layer Protections.）。
– Amazon CloudFront – 針對部份的網絡層攻擊，例如是常見的 UDP floods, SYN floods 等（Amazon CloudFront – Network Layer Protections.）。

針對 Web 層面的防禦

– 針對 DNS DDoS 的防禦（Amazon Route 53）。
– 針對 Web 流量 – 機械人、XSS、SQL injection 等攻擊（AWS WAF）。

**Amazon 本身由於以提供 IaaS 架構為主，因此其單純提供的 CDN 服務並不會同時包含了像是 DNS DDoS 防禦、Web 應用防火牆等等，換句話說使用 Amazon CloudFront 你只有一部份的 DDoS 防禦功能，而進一步的，你便必須要通過採用 Amazon 提供的多種防禦方案，通過相互配合之下，才可令你的 Instances 更加安全。

待續……

相關文章：

切勿被美麗的服務名稱蒙蔽！動態、靜態、串流 CDN 服務選購攻略
動態、靜態、串流 CDN 服務選購攻略：六大 CDN 平台有那些？
動態、靜態、串流 CDN 服務選購攻略：CDN 廠商功能大不同（1）
動態、靜態、串流 CDN 服務選購攻略：CDN 廠商功能大不同（2）