1. 总体概述:何时选高防CDN,何时选高防IP
要点一:目标不同:高防CDN适合网站/静态资源分发与边缘缓解,能吸收大流量并隐蔽源站;高防IP适合需要固定公网IP或特殊协议(非HTTP/HTTPS)的场景。
要点二:可用性与成本:CDN通常按流量计费并自带缓存,成本随峰值和带宽而动;高防IP按带宽或防护峰值计费,适合持续高风险的服务器。
要点三:建议场景:Web业务优先用高防CDN;游戏、邮件、数据库等需要端口直连的用高防IP或在二者结合下使用。
2. 第一步:评估风险与需求清单(实操)
操作步骤:1) 列出业务协议(HTTP/HTTPS/TCP/UDP等)。2) 统计近90天正常峰值、突发峰值(单位Mbps/pps)。3) 记录源站IP与端口,是否允许接入代理。4) 明确RTO/RPO与合规要求。
输出物:风险评估表、带宽曲线、端口清单,这些是向云厂商报价和签SLA的必备资料。
3. 第二步:选择产品与组合策略
操作步骤:1) 在厂商控制台搜索“高防CDN”与“高防IP”产品页。2) 对比防护峰值、清洗触发阈值(Mbps/pps)、支持协议、计费方式。3) 若业务混合,选择“CDN+独享高防IP”或“高防IP前置 + CDN回源”。
小提示:优先选择支持X-Forwarded-For或真IP回传的CDN方案,以便日志和统计准确。
4. 第三步:购买与开通(控制台实操指南)
实操步骤(以常见云厂商为例):1) 登录控制台→安全产品→选择高防CDN/高防IP→填写业务域名或IP、回源地址、预估最大带宽与保底时长。2) 提交工单并完成实名认证/合同签署。3) 支付并等待厂商完成线路与黑洞/清洗链路配置(通常数分钟到数小时)。
注意项:购买时勾选“保留原始IP头”“日志导出”与“SLA等级”选项。
5. 第四步:DNS与网络接入配置(详细步骤)
配置步骤(
高防CDN):1) 在域名服务商处将A记录或CNAME指向厂商提供的加速域名。2) 配置DNS TTL为300或更低以便切换。3) 在CDN控制台配置回源域名/IP、端口、协议、证书。
配置步骤(高防IP):1) 将源站主机绑定到高防IP;2) 在骨干接入点或BGP信息填写实际回程路由;3) 配置安全组/防火墙只允许高防IP源或厂商回源IP段访问。
6. 第五步:WAF、访问控制与限流设置(操作详解)
步骤:1) 开启WAF并选择规则集(OWASP、Bot拦截、爬虫行为)。2) 配置黑白名单和地理封禁(国家/地区)。3) 为登录、支付等敏感接口设置速率限制(每IP/分钟阈值)。
验证方法:使用curl或ab进行压力测试,观察WAF日志与拦截规则是否生效;调整阈值避免误杀。
7. 第六步:监控、告警与演练(实操)
配置步骤:1) 在控制台绑定告警策略(流量/连接/错误率)。2) 配置Webhook、短信与邮件接收人并设置等级(警告/严重/紧急)。3) 定期做演练:模拟高并发与单源攻击(使用合规测试工具)并记录清洗时间。
要点:记录Mitigation Start/End时间、被清洗前后流量曲线和源站CPU/带宽使用情况。
8. 第七步:SLA条款解读与实操准备
关键条款:1) 防护容量(例:可防100Gbps/10Mpps),超过部分按最佳努力处理;2) 响应时长(例如15分钟内响应并开始清洗);3) 缺陷赔偿与信用机制(服务不可用则按小时或百分比返还费用)。
实操建议:在购买前索要SLA文本并确认“排除条款”(例如源站问题、第三方链路、恶劣天气)与证据要求(需要提供PCAP、服务器日志、时间戳)。
9. 第八步:发生事件时的操作流程(一步步)
处理步骤:1) 立刻提交厂商工单并选择紧急级别,附上攻击开始时间、受影响IP/域名、流量截图或监控曲线。2) 下载并保留源站日志、tcpdump/pcap、应用日志(包含时间同步为UTC)。3) 与厂商对接,按其要求提供证据并确认清洗节点与回源变化。
注意:时间同步(NTP)和日志完整性是后续索赔的关键。
10. 第九步:争议与索赔的标准模板(如何撰写)
模板要素:1) 事件描述(时间、影响范围、业务损失估算)。2) 附证据清单(监控图、pcap、服务器日志、工单响应记录)。3) 引用SLA条款(段落编号与原文)。4) 请求项(费用返还/服务延长/额外带宽)。
示例句式:”根据贵司SLA第3.2条,贵方应在15分钟内启动清洗。实际响应时间为XX分钟,故要求按SLA返还对应小时费用,详见附录证据。”
11. 问题1(问答)
(问)高防CDN和高防IP在日志与溯源上有什么差别?(请回答)
(答)高防CDN通常只保留边缘访问日志,需要开启回传真IP或X-Forwarded-For才能获取真实客户端IP;高防IP为公网直连,源站能直接记录真实客户端或清洗后IP,溯源时要同时保留厂商清洗日志与源站日志。
12. 问题2(问答)
(问)SLA中常见的免责条款有哪些,如何规避?(请回答)
(答)常见免责包括第三方链路故障、源站配置错误、行为异常的合法流量与不可抗力。规避办法:明确责任边界(回源白名单、链路监测)、做好源站冗余与路由策略、在合同中限制不可抗力定义并要求厂商透明告警。
13. 问题3(问答)
(问)发生大流量攻击后,我如何快速验证厂商是否按SLA处理并准备索赔?(请回答)
(答)验证步骤:1) 获取并保存开始时间的监控曲线;2) 要求厂商提供Mitigation Start/End时间、清洗节点和日志;3) 对照SLA响应时长与防护能力,收集pcap与应用日志,按SLA模板提交索赔并保留所有通信记录作为证据。