答:首先要明白两者的职责分工:CDN负责全球内容分发与缓存、带宽卸载和基础的DDoS缓解;而安全狗(Web应用防火墙 WAF/云安全)负责深度应用层(第7层)安全检测与规则拦截。协同工作的核心是流量链路与回源策略。通常将域名解析指向CDN,CDN将流量先进行缓存与边缘清洗,恶意或未命中缓存的请求回源到源站或穿透到安全狗做二次检测。正确配置需要:
1)在DNS上把域名解析到CDN;2)在CDN上开启源站回源或接入安全狗的回源IP段;3)在安全狗侧绑定源站并配置回源白名单以允许CDN回源;4)同步WAF规则与IP黑白名单。
优先在CDN做静态加速与边缘防护(如速率限制、源站保护),再由安全狗做深层的SQL注入、XSS和复杂CC行为检测。
确保CDN回源头信息(如真实客户端IP)通过X-Forwarded-For或真实IP头传递给安全狗,否则WAF会误判。
答:错误的回源或IP配置会导致日志不一致、防护失效或误封。配置步骤如下。
把网站的A/ CNAME记录指向CDN提供的节点(通常为CNAME),确认证书与HTTPS在CDN层可用。
回源地址应指向安全狗提供的接入IP或直接源站。若采用“安全狗在源站前”模式,CDN回源至安全狗;若“安全狗在源站后”模式,则CDN回源至源站并保证安全狗能看到原始流量(不常见)。
启用CDN的X-Forwarded-For或True-Client-IP头,并在安全狗侧启用该头的解析,或者在安全狗与源站之间配置反向代理提取真实IP。
在源站或安全狗上添加CDN回源IP段为白名单,避免误拦截来自CDN的合法请求。
答:要构建多层联防策略,分别在CDN和安全狗上设置针对性的防护规则。
开启速率限制、地理封禁、HTTP头校验与基础DDoS清洗,优先拦截大量无效连接和层3/4攻击。
部署WAF策略,启用签名库、行为检测、黑白名单、会话关联与风险评分。针对SQL注入、XSS和文件上传做专门规则与正则拦截。
当CDN发现异常高并发IP时,可以先以挑战(如验证码、JS挑战)方式处理,确认恶意后将该IP送到安全狗做进一步检测与持久封禁。
定期根据误报率与命中率调整WAF规则,使用灰度释放或流量镜像先验证规则效果再全量生效。
答:排查思路分为流量链路、日志核对、规则调优和回放复现四步。
检查DNS、CDN、TLS证书、回源路径以及真实IP是否被正确传递,任何链路异常都会影响WAF判断。
同时收集CDN访问日志、安全狗的WAF日志和源站日志,通过时间戳关联请求,定位拦截点与误判原因。
对常见误报URL建立白名单或放宽特定参数的检测;对漏报可增强签名或启用行为检测模块。
使用流量回放或抓包工具将异常请求回放到测试环境,观察规则触发细节并修正正则或阈值。
答:建立监控告警、应急预案与演练机制,确保CDN与安全狗在攻击时按预期协同。
监控带宽、QPS、边缘命中率、WAF拦截率、异常请求来源国别和响应时延,设置阈值告警。
预先定义触发条件(如QPS激增或错误率上升),自动化切换策略(如全站缓存、下发防护黑名单、开启挑战模式)并通知运维与安全团队。
保存攻击期间的完整请求日志与WAF规则命中记录,用于溯源与后续规则优化。同时保持日志可导出以便法律取证。
定期进行演练(DDoS模拟、规则回放),并备份配置、证书与白名单,确保可在短时间内恢复服务。
