基于边缘云的机器流量管理技术实战

企业边缘应用面临的挑战

cdn/' target='_blank'>CDN是通过在全球范围内分布式地部署边缘服务器将各类互联网内容缓存到靠近用户的边缘服务器上，从而降低用户访问时延并大幅减少穿越互联网核心网的流量。互联网业务使用CDN已经成为一种必然的选择。传统网站防护基本上都是保护源站，客户购买防火墙、WAF等产品就可以保护自己核心业务的内容不被恶意窃取。但传统防护方式并不能完全满足业务流量通过CDN分发的场景：

1. 部署位置在源站前，主要为了保护源站。在CDN架构中，页面基本都缓存在CDN上，爬虫可以直接从CDN上直接爬走用户敏感业务数据。

2. 识别手段主要依靠在用户页面中嵌入JS，这种方式本质上修改了用户的页面，有很强的侵入性，并且只能适配web业务，针对api业务不生效。

3. 处置手段一般通过频次控制，对高频的IP等特征进行限制，这种方式容易被绕过，现在爬虫基本都会采用IP代理池的方式，随机修改请求的header字端，这样很难找到特征进行频次控制。

CDN当前承接了主站大量业务，也必然要保证业务浏览和交易体验，防止内容不被恶意窃取。越来越多的业务数据缓存在CDN的边缘服务器上，边缘安全的权重越来越高。而基于边缘云的机器流量管理应运而生，应对CDN边缘安全隐患，实现用户应用数据安全保护。

边缘云的机器流量管理的实现及优势

基于CDN边缘节点的机器流量管理分析及处理流程如下图所示：

互联网访问一般分为用户正常，商业搜索引擎访问，恶意爬虫访问等，机器流量管理通过在边缘提取请求报文特征，基于报文特征识别请求类型，在边缘阻断恶意爬虫访问，保护CDN上缓存资源不被恶意爬取。

1. 基于CDN边缘网络架构实现机器流量管理能力，通过请求报文特征识别域名的请求类型，区分是正常的请求还是恶意的机器请求，帮助用户管理自己的请求，阻断恶意请求。
2. 通过识别域名的请求类型，实时标记出请求的报文类型，非常直观的展示出当前的业务请求中的报文类型，客户可以直观的感知到自己的网站的访问类型分布情况，针对异常的报文类型进行处置。

1. 通过处置报文类型而不是处置IP，只要恶意请求的报文类型不变，攻击者随机头部字段或者使用秒拨代理IP池都无法绕过。

机器流量管理实际结果验证

PS：如想了解更多关于阿里云边缘云的业务，可钉钉搜索加群35469210