使用CDN安全吗？CDN如何达到基本防护功能呢?

网络的普及为生活带来极大便利，民众能够在不出门的情况下透过网络完成各种大小事务。线上服务已成为日常生活中不可或缺的一部分，提供线上服务的供应商为了因应庞大的客户流量，会选择部署CDN（Content Delivery Network，内容传递网络）来提升网站效能。然而，随著网络攻击事件频传，网站安全问题日益受到重视。CDN作为加速网站的普遍被采用的服务，如何在提升网站速度的同时，实现基本的安全防御呢？本文将举出几个CDN的安全防护功能。

一、CDN的基本架构

CDN（Content Delivery Network）是内容传递网络的缩写，全球部属多个节点服务器连接高速网络，让用户连网时自动选择离使用者最近的节点，提供更快速的网站内容递送，并且可降低单一源站服务器的负担，强化网站的稳定性。

二、CDN的安全防护功能

CDN除了优化网站传递的速度，并可以透过多重保护措施进行网站安全防护：

1. CDN 节点服务器

CDN的多台节点服务器不仅用于加速网站内容传递，还可以避免单一服务器受到攻击时整个网站服务瘫痪的风险，多节点的特性也缓解L3/L4的DDoS流量攻击。此外，CDN服务器在源站前面，隐藏了源站的IP位置，大幅减低源站IP暴露在外而遭受攻击的风险。

2. SSL 加密凭证验证

CDN传输过程中，可透过SSL加密凭证验证来源服务器的身份，建立安全的加密连线，可以有效确保用户浏览的网站正确性，确保用户与网站之间通信的安全性。

3. WAF 防火墙防御

CDN的WAF，即网页应用程式防火墙，透过监控并过滤网站传输的Http/ Https请求，有效防止L7的网络攻击，部分CDN厂商防范像是机器人攻击、OWASP Top 10等攻击方式。

针对上述攻击，WAF可自行设置防护规则，如建立黑/白名单、封锁异常存取行为等，透过预先封锁恶意请求，有效阻绝攻击。此外WAF的速率控制(rate-limiting) 藉由限制特定IP或API，在一定时间范围内重复同个动作的频率，达到阻止某些类型的恶意存取行为。

机器人攻击是指网站进行大量自动化请求，以消耗网站资源、降低网站效能或进行其他恶意行为。部分CDN额外提供Bot功能，可机器学习侦测变型的攻击、检查节点的爬虫流量并抵御恶意爬虫，进行有效防护策略。

三、火伞云 CDN

以火伞云CDN为例，支援SSL加密的网站传递，确保在资料传输过程中保有完整性和机密性。同时，火伞云CDN提供WAF防护，能够有效地抵挡常见的网路攻击，像是OWASP Top 10、XSS跨网站攻击等，实现基础的网站防护策略。中华CDN更拥有岛内Tb级的频宽，提供无限量的L3,L4的DDoS缓解保护，抵御大量的流量攻击。
CDN不仅仅是用来优化网站效能的工具，同时也提供相当程度的安全防护机制。透过节点伺服器、WAF，以及其他网站安全机制，CDN能够有效地防止源站受到各种攻击，提高网站的整体安全性。