午夜伦欧美理片848

<progress id="oz9ra"><track id="oz9ra"></track></progress>

    1. <em id="oz9ra"><acronym id="oz9ra"></acronym></em>
    2. <progress id="oz9ra"></progress>

      <rp id="oz9ra"><object id="oz9ra"><input id="oz9ra"></input></object></rp>
      <th id="oz9ra"><pre id="oz9ra"></pre></th><em id="oz9ra"><object id="oz9ra"><input id="oz9ra"></input></object></em>
      1. 當前位置:高防服務器 > 高防CDN加速 > 如何防止免備案高防CDN防護被繞過

        如何防止免備案高防CDN防護被繞過

        來源:未知 編輯:admin 2018-11-21 21049

        摘要:  當發現目標站點存在CDN防護的時候,我們會嘗試通過查找站點的真實IP,從而繞過CDN防護。   我們來看一個比較常見的基于公有云的高可用架構,即:

          當發現目標站點存在CDN防護的時候,我們會嘗試通過查找站點的真實IP,從而繞過CDN防護。

          我們來看一個比較常見的基于公有云的高可用架構,即:

          域名-->CDN,CDN-->WAF,WAF-->SLB,SLB-->ECS。

         

          我們重點來關注一下CDN-->WAF-->SLB-->ECS這幾層服務之間的關系吧。

          假設,攻擊者知道SLB的真實IP地址,就可以直接訪問SLB的ip地址,從而輕易繞過CDN+WAF的安全防護。

          如何防止CDN被繞過呢?

          這里分享一個免備案高防CDN防護技巧,通過中間件配置只允許域名訪問,禁止ip訪問。

          這樣處理的話,所有直接訪問站點真實IP的請求將會被拒絕,任何用戶只能通過域名訪問站點,通過預先設定的網絡鏈路,從DNS→CDN→waf防護→源站,所有的域名訪問請求都必須經過WAF檢測。

          Nginx參考配置:

          #添加一個server,在原server里綁定域名server { listen 80 default; server_name _; return 403; }server { listen 80; server_name www.demo.com; .........

          Apache參考配置:

          #在httpd.conf最后面加上 ServerName 此處填寫IP Order Allow,Deny Deny from all DocumentRoot /var/www/html ServerName 此處填寫域名

          我們再來思考一個問題?

          如果攻擊者有了真實IP地址,修改本地hosts文件,強行將域名與IP解析,從而本地訪問請求是無需經過DNS解析,還是可以繞過CDN加速服務防護。

          這個策略,本質上是一個減緩措施,增加了尋找真實IP的難度。

        相關文章

        關注我們

        版權所有:Copyright @ 2016-2017 深圳市銳速云計算有限公司 增值電信業務經營許可證
        粵B1-20171508
        粵ICP備16119720號-1 粵公網安備11010802009023號