1.2.3 安全防护的原理

安全防护（见图1-3）是各个互联网应用必须具备的自保能力，否则在面对大规模DDoS攻击时，正常的业务运行就可能被中断。如果没有CDN的保护，当一个互联网源站服务器遭受大规模DDoS攻击时，大幅突增的攻击流量会将内容源站的带宽耗尽，使得正常的业务请求无法得到响应，从而造成客户流失。而如果开启了CDN安全防护服务，当大规模攻击流量来袭时，CDN的大量边缘节点（200 Tb/s以上的带宽储备）可以承受攻击流量，再结合CDN的高性能流量清洗设备过滤掉攻击流量，如此一来只有真正的合法用户请求才会到达内容源站。这样，由于储备了大量的带宽，CDN可以保护用户源站免遭网络攻击的影响。

图1-3 安全防护示意图

CDN三大核心能力的构建基于同一个覆盖网基础设施，CDN覆盖网的基本结构如图1-4所示。CDN服务端主要包括了调度系统、节点系统以及支撑系统三大核心系统。其中，调度系统解决各类用户请求与CDN边缘节点的适配问题，既缩短互联网用户的访问时延，又保证CDN边缘节点之间的负载均衡。节点系统通过被动缓存及主动预取技术对大部分互联网用户请求实现了边缘响应，以实现加速。其同时通过多级缓存不断减少回用户源站的流量，在极致情况下，可以做到客户的源站只需向CDN注入一份资源副本，就可以实现全网用户访问。支撑系统主要承担内容管理、配置管理以及监控中心、数据中心的管理等任务。其中，内容管理主要包括内容的封禁、刷新处理；配置管理主要包括实现类似鉴权、与限速相关的边缘处理逻辑；监控中心负责保障系统的稳定性，及时发现系统异常行为并及时处理；数据中心主要负责各类日志数据的预处理与收集，为计量计费提供数据支撑。用户在访问互联网内容时，首先通过DNS（Domain Name System，域名系统）或者HTTP（HyperText Transfer Protocol，超文本传输协议）调度方式从调度系统获得边缘节点的IP地址，然后向边缘节点发起内容访问。

图1-4 CDN覆盖网的基本结构