在现有的服务器的基础上,域名解析使用带有CDN的IP,在服务器上的子域名以及部署使用的域名都换成带有CDN的IP,所有用户的访问流量将会通过CDN节点的形式进行访问转发。通过不使用真实IP的形式,将源站隐藏起来。
cdn就是将多个建设的网络节点一起组成一层互联网络,来对你的web服务器进行内容分发缓存,为您进行加速服务,而高防cdn就是在节点上增加防御功能。使您的网站不怕攻击。
对于用户而言,当他访问您的网站的时候,cdn内部的智能分配机制就会分配离他最近的节点为他进行服务,节点就会像您的web服务器一样来响应用户的请求,因为距离较近,所以这个时候响应时间和速度相比于您的web服务器会有明显的提升。
给自己的服务器套cdn并没有想象中那么难,可能有些人会觉得肯定需要操作代码命令啥的,但是为了受众广大用户群体,cdn服务厂商都会让这个过程变得更加的简单好上手。
给服务器加cdn的注意点:
当你选择好了cdn相应的套餐之后,您只需要将您的网站域名解析到运营商提供的cname记录值即可,其他的地方不需要做任何修改。
然后再根据您自己的爱好需要,在您的控制台设置一下你想要的流量访问规则等参数。就大功告成了,以后您的网站就多了一个金钟罩来抵御各种网络流量攻击。
一、如何禁止访问,先了解下常见的3种网站访问模式:
①、用户直接访问对外服务的普通网站
浏览器 -->DNS解析 -->WEB数据处理 -->数据吐到浏览器渲染展示
②、用户访问使用了CDN的网站
浏览器 -->DNS解析 -->CDN节点 -->WEB数据处理 -->数据吐到浏览器渲染展示
③、用户通过代理上网访问了我们的网站
浏览器 -->代理上网 -->DNS解析 -->上述2种模式均可能
二、对于第一种模式,要禁止这个用户的访问很简单,可以直接通过 iptables 或者 Nginx的deny指令来禁止均可:
iptabels:
iptables -I INPUT -s 用户ip -j DROP
Nginx的deny指令:
语 法: deny address | CIDR | unix: | all
默认值: —
配置段: http, server, location, limit_except
顺 序:从上往下
Demo:
location / {
deny 用户IP或IP段
}
但对于后面2种模式就无能为力了,因为iptables 和 deny 都只能针对直连IP,而后面2种模式中,WEB服务器直连IP是CDN节点或者代理服务器,此时使用 iptable 或 deny 就只能把 CDN节点 或代理IP给封了,可能误杀一大片正常用户了,而真正的罪魁祸首轻轻松松换一个代理IP又能继续请求了。
三、拿到用户真实IP,只要在Nginx的http模块内加入如下配置:
那么,$clientRealIP 就是用户真实IP了,其实就是匹配了 $http_x_forwarded_for 的第一个值。
【1】其实,当一个 CDN 或者透明代理服务器把用户的请求转到后面服务器的时候,这个 CDN 服务器会在 Http 的头中加入一个记录X-Forwarded-For : 用户IP, 代理服务器IP如果中间经历了不止一个代理服务器,这个记录会是这样X-Forwarded-For : 用户IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, ….可以看到经过好多层代理之后, 用户的真实IP 在第一个位置, 后面会跟一串中间代理服务器的IP地址,从这里取到用户真实的IP地址,针对这个 IP 地址做限制就可以了。
【2】而且代码中还配合使用了 $remote_addr,因此$clientRealIP 还能兼容上文中第①种直接访问模式,不像 $http_x_forwarded_for 在直接访问模式中将会是空值!所以,$clientRealIP 还能配置到 Nginx 日志格式中,替代传统的 $remote_addr 使用。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)