滿滿干貨|Cloudflare助力在線業(yè)務(wù)提高安全性、性能和可靠性的5種方法

互聯(lián)網(wǎng)瞬息萬變，現(xiàn)代企業(yè)的性質(zhì)也隨之改變。伴隨數(shù)字化轉(zhuǎn)型，企業(yè)面臨著新的挑戰(zhàn)和增長機會—從預(yù)測客戶的數(shù)字化需求并加以滿足，到建立強大的防線來抵御基于 Web 的攻擊、克服延遲問題、防止網(wǎng)站中斷，并維持網(wǎng)絡(luò)連接和性能。

在優(yōu)化在線客戶體驗時，企業(yè)需采取一種可將強大的站點安全性、性能和可靠性集于一體的策略。盡管該策略涉及許多組成部分，但此處的五個關(guān)鍵因素可以幫助企業(yè)滿足客戶需求并提供安全無縫的用戶體驗。

利用 DNS 和 DNSSEC 支持來最大化可用性和正常運行時間

DNS（域名系統(tǒng)）通常被稱為“互聯(lián)網(wǎng)電話簿”,它將域名轉(zhuǎn)換為數(shù)字 IP 地址，并使瀏覽器能夠加載互聯(lián)網(wǎng)資源。由于 DNS 旨在接受為其分配的任何地址，因此選擇正確的DNS 安全策略至關(guān)重要。如果缺乏正確的 DNS 安全策略，企業(yè)將面臨多種風(fēng)險，包括 DNS 劫持、中間人攻擊、敏感用戶信息暴露和丟失、網(wǎng)絡(luò)釣魚以及其他主要威脅。隨著 DNS 攻擊變得越來越普遍，企業(yè)開始意識到缺乏有韌性的 DNS 會在其整體安全策略中造成薄弱環(huán)節(jié)。

公司可以采用多種方法來部署韌性 DNS 策略。他們可以使用托管 DNS 提供商來托管所有 DNS 記錄，在全球多個節(jié)點提供查詢解析，并提供集成的 DNSSEC 支持。通過向現(xiàn)有的 DNS 記錄添加加密簽名，DNSSEC 為域名系統(tǒng)增加了一層安全保護。公司還可以通過部署多 DNS 策略來建立額外的冗余—即使主 DNS 出現(xiàn)故障，輔助 DNS 仍可以使應(yīng)用程序保持在線狀態(tài)。希望維護自有 DNS 基礎(chǔ)設(shè)施的大型企業(yè)可以將 DNS 防火墻與輔助 DNS 結(jié)合使用。此設(shè)置為本地 DNS 基礎(chǔ)設(shè)施增加一層安全性，并有助于確保總體 DNS 冗余。

客戶成功案例

一家加密貨幣公司提供一種開源的客戶端工具來與區(qū)塊鏈進行交互，由于一次復(fù)雜的 DNS 攻擊將所有查詢重新路由到了假冒網(wǎng)站，該公司需要提高其 DNS 安全性。黑客設(shè)法讓其中一臺權(quán)威服務(wù)器相信，對公司網(wǎng)站的所有查詢都應(yīng)定向到一個新的目的地。假冒網(wǎng)站看上去與公司的網(wǎng)站一模一樣，但是利用欺騙手段將用戶的私鑰轉(zhuǎn)移給了黑客，使攻擊者獲得大量的加密貨幣。

像互聯(lián)網(wǎng)上的許多網(wǎng)站一樣，他們成為攻擊目標(biāo)的原因在于互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施中的一個重大漏洞，并因此失去了客戶的信任。為了確保這種情況不再發(fā)生，他們采用了 Cloudflare DNS。遷移到 Cloudflare 是實施 DNSSEC 的最直接方法，因為他們能夠從統(tǒng)一、易用的儀表板中配置和管理協(xié)議—不僅提高了安全環(huán)境的韌性，還確保了依賴他們來保護其加密資產(chǎn)的客戶享受到更安全、更高效的用戶體驗。

通過最不擁塞的路線 路由流量來加速內(nèi)容交付

如今，大多數(shù) Web 流量都通過 Content Delivery Network (CDN) 傳送，包括來自 Amazon 和 Facebook 等主要網(wǎng)站的流量。CDN 是一組地理位置分散的服務(wù)器，可幫助將互聯(lián)網(wǎng)內(nèi)容快速交付給遍布全球的用戶，還可以降低帶寬成本。

通過分布全球多個位置的服務(wù)器，CDN 能夠在更接近網(wǎng)站訪問者的位置分發(fā)內(nèi)容，從而減少任何固有的網(wǎng)絡(luò)延遲并縮短頁面加載時間。CDN 還通過其網(wǎng)絡(luò)中的緩存?zhèn)鬏旍o態(tài)資產(chǎn)，從而減少了對托管 Web 服務(wù)器的請求數(shù)量，并降低了帶寬和托管成本。

客戶成功案例

這是世界最大按需送餐服務(wù)公司曾經(jīng)面臨的一個困擾。該公司的合作伙伴遍布美國數(shù)千個城市,而且門到門服務(wù)依賴于其在線平臺和智能手機應(yīng)用程序，故始終提供快速、可靠的用戶體驗對其至關(guān)重要。這不僅有助于為不斷增長的用戶群提供支持，而且還加強了與當(dāng)?shù)夭宛^和商人的合作關(guān)系。

最初，該公司面臨一些性能方面的挑戰(zhàn)。他們?nèi)狈哂许g性的 CDN 以及圖像大小調(diào)整解決方案，后者是提供流暢用戶體驗的關(guān)鍵。訪問該站點的客戶需要瀏覽不同食物選項的高分辨率照片，并且隨著公司的發(fā)展，向用戶展示的菜單項目數(shù)量也會隨之增加。由于需要通過其平臺提供大量高質(zhì)量的圖像，因此找到一種解決方案以優(yōu)化圖像交付并減少延遲非常重要，尤其是因為以前的圖像大小調(diào)整解決方案每月要花費數(shù)千美元。

Cloudflare 通過 Cloudflare 內(nèi)容交付網(wǎng)絡(luò) (CDN) 幫助送 餐服務(wù)提供商提升其用戶體驗。在擁有超過 2500 萬互聯(lián)網(wǎng)資產(chǎn)的全球網(wǎng)絡(luò)支持下，Cloudflare CND 可在盡可能靠近最終用戶的位置緩存靜態(tài)內(nèi)容，并與 Argo Smart Routing 協(xié)同工作，通過最快路徑智能路由內(nèi)容請求。并且，借助 Cloudflare Image Resizing (圖像大小調(diào)整 解決方案)，該公司可緩存圖像并減少延遲，使其 CPU 利用率降低了 20%。

通過全局負(fù)載均衡流量來最大程度地降低站點中斷的風(fēng)險 

最大化服務(wù)器資源和效率可能是一種微妙的平衡行為。服務(wù)器過載或與最終用戶在地理位置上相距太遠(yuǎn)，可能會對業(yè)務(wù)產(chǎn)生不利影響，因為延遲增加和服務(wù)器故障會導(dǎo)致收入損失、客戶信任度下降和品牌退化。

基于云的負(fù)載平衡器可在多個服務(wù)器之間分配請求，以處理流量高峰。負(fù)載平衡決策發(fā)生在靠近用戶的網(wǎng)絡(luò)邊緣，因此企業(yè)可以縮短響應(yīng)時間并有效優(yōu)化其基礎(chǔ)設(shè)施， 同時最大程度地降低服務(wù)器故障的風(fēng)險。即使單個服務(wù)器發(fā)生故障，負(fù)載平衡器也可以在其余服務(wù)器之間重定向和重新分配流量，從而確保客戶永遠(yuǎn)不會遇到明顯的延遲或發(fā)生站點中斷。利用負(fù)載平衡器，企業(yè)還可以主動運行狀況檢查，從而找出性能不佳的服務(wù)器并在實際發(fā)生故障之前采取預(yù)防措施。

客戶成功案例

一家總部位于加拿大的大型電子商務(wù)平臺（在全球 175 個國家/地區(qū)運營）需要一個集成的性能和安全解決方案，于是他們開始尋找一個能夠確保方案易于實施并有助于降低基礎(chǔ)設(shè)施成本的提供商。依賴其平臺的企業(yè)超過 100 萬家，該公司要求遷移到 Cloudflare 的過程無縫平滑，以免任何一家的業(yè)務(wù)遭到中斷。通過將每個站點都放置在 Cloudflare 的全球網(wǎng)絡(luò)上，這家電子商務(wù)公司為客戶提供了更快的體驗，進而推動整個平臺銷售的增長。

這些性能效益的一個核心部分在于 Cloudflare 負(fù)載平衡,使該公司能夠利用動態(tài)轉(zhuǎn)向，換句話說，為特定用戶將流量定向到最快的源服務(wù)器池，從而減少延遲并進一步加速流量?，F(xiàn)在，該公司可以精確控制其流量在源服務(wù)器之間的分布，并獲得在網(wǎng)絡(luò)邊緣進行這些決策的額外性能和準(zhǔn)確性效益。

保護應(yīng)用程序免受惡意攻擊

在互聯(lián)網(wǎng)上，基于 Web 的企業(yè)可能受到來自不同位置、具有不同復(fù)雜程度的廣泛攻擊。在保護 Web 應(yīng)用程序和其他業(yè)務(wù)關(guān)鍵型資產(chǎn)的安全時，分層安全策略可以幫助防御多種威脅。

A. Web 應(yīng)用程序防火墻保護

Web 應(yīng)用程序防火墻簡稱 WAF,通過過濾和監(jiān)控 HTTP 流量來保護 Web 應(yīng)用程序。有了 WAF,企業(yè)可以防御零日攻擊，并使應(yīng)用程序免受常見威脅的侵害，例如跨站點請求偽造 (CSRF)、跨站點腳本 (XSS) 和 SQL 注入攻擊 ——這些攻擊可能會使服務(wù)器受損并導(dǎo)致數(shù)據(jù)遭到盜竊或篡改。 

通過 WAF ,企業(yè)還可以設(shè)置規(guī)則保護其應(yīng)用程序中的漏洞并防御新出現(xiàn)的威脅，對企業(yè)的安全策略保持精細(xì)控制。基于云的 WAF 通常是最靈活、最具成本效益的解決方案，因為它們可以持續(xù)更新以防御新的威脅，而無需在用戶端增加大量工作或成本。

B. DDoS 攻擊防護

對于大多數(shù)網(wǎng)站而言，網(wǎng)絡(luò)流量高可能是一件好事，因為這可以帶來更多的轉(zhuǎn)化、客戶和銷售。但是，Web 流量激增也可能源于旨在破壞網(wǎng)絡(luò)連接、讓服務(wù)器無法應(yīng)付并阻止合法用戶訪問站點的網(wǎng)絡(luò)攻擊。

DDoS 攻擊是一種用大量非法互聯(lián)網(wǎng)流量使服務(wù)器，設(shè)備、網(wǎng)絡(luò)或周圍基礎(chǔ)設(shè)施不堪重負(fù)的惡意嘗試。通過消耗目標(biāo)設(shè)備和互聯(lián)網(wǎng)之間的所有可用帶寬，這些攻擊不僅會造成嚴(yán)重的服務(wù)中斷，而且還會導(dǎo)致客戶無法訪問企業(yè)的資源、從而給企業(yè)帶來明顯的負(fù)面影響。

C.惡意機器人防護

除了其他常見的網(wǎng)絡(luò)安全威脅外，惡意機器人活動的攻擊也會導(dǎo)致網(wǎng)站受損——惡意機器人可能使 Web 服務(wù)器不堪重負(fù)，扭曲分析、阻止用戶訪問網(wǎng)頁、竊取用戶數(shù)據(jù)并危及業(yè)務(wù)關(guān)鍵型功能。

善意機器人是指經(jīng)過編程可執(zhí)行有用任務(wù)的軟件應(yīng)用程序,例如掃描網(wǎng)頁上的內(nèi)容和響應(yīng)網(wǎng)站上的客戶查詢。但是，機器人也可能會受到黑客的利用，被用于執(zhí)行惡意活動，包括憑據(jù)填充和破壞敏感數(shù)據(jù)，以及竊取 SEO 內(nèi)容和破壞業(yè)務(wù)運營。通過實施機器人管理解決方案，企業(yè)可以區(qū)分有用和有害的機器人活動，并防止惡意行為影響用戶體驗。

保持網(wǎng)絡(luò)正常運行

A.保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施

僅僅保護 Web 服務(wù)器并不足夠。企業(yè)通常在公共或私有數(shù)據(jù)中心中托管本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施也需要防御 DDoS 攻擊。許多 DDoS 緩解提供商依靠兩種方法來阻止攻擊:清洗中心,或通過硬件盒進行本地掃描和過濾。兩種方法都會帶來可能對業(yè)務(wù)造成不利影響的延遲。清洗要求將網(wǎng)絡(luò)流量重新路由到指定地理位置的集中式清洗服務(wù)器，以嘗試從非惡意流量中過濾或“清除”惡意流量。將所有流量重新路由到地理位置較遠(yuǎn)的清洗中心會導(dǎo)致額外的延遲,這對于大多數(shù)應(yīng)用程序而言通常是不可接受的。

另一種 DDoS 防護技術(shù)使用本地硬件盒來掃描流量并濾出惡意請求。與清洗類似，由于通過盒子重新路由網(wǎng)絡(luò)流量以完成掃描過程的瓶頸性質(zhì)，掃描硬件會導(dǎo)致網(wǎng)絡(luò)延遲并抑制性能。默認(rèn)情況下，本地 DDoS 防護設(shè)備通常具有帶寬限制，這個限制由組織的網(wǎng)絡(luò)容量和設(shè)備的硬件容量決定。

檢測和防護 DDoS 攻擊的更好方法是在網(wǎng)絡(luò)邊緣靠近源的位置進行。通過在全球分布式網(wǎng)絡(luò)中最近的數(shù)據(jù)中心掃描流量,即使在發(fā)生嚴(yán)重的 DDoS 攻擊時，也可以確保高服務(wù)可用性。這種方法可減少將可疑流量路由到地理位置較遠(yuǎn)的清洗中心所帶來的延遲。它還可以縮短攻擊響應(yīng)時間。

B.保護 TCP/UDP 應(yīng)用程序

在傳輸層，攻擊者可能會淹沒服務(wù)器上所有可用的端口，從而攻擊企業(yè)的服務(wù)器資源。這些DDoS 攻擊可能導(dǎo)致服務(wù)器對合法請求的響應(yīng)緩慢，或者根本不響應(yīng)。在傳輸層防止攻擊需要可以自動檢測攻擊模式并阻止攻擊流量的安全解決方案。

結(jié)論

創(chuàng)造卓越的在線體驗需要正確的安全性和性能策略，從而不僅使企業(yè)加快內(nèi)容交付的速度，而且確保網(wǎng)絡(luò)的可靠性，并保護其 Web 資產(chǎn)免受站點中斷，數(shù)據(jù)盜竊和其他嚴(yán)重攻擊的侵害。

Cloudflare 的網(wǎng)絡(luò)遍布全球 95 個國家/地區(qū)的 200 多個城市，提供可擴展的集成全球云平臺，可幫助企業(yè)為其本地、云端和 SaaS 應(yīng)用程序提供安全性、性能和可靠性。要了解如何保護在線業(yè)務(wù),請訪問 Cloudflare.com。