如何同时部署CDN和WAF以优化网站性能与安全性？

### ，，CDN和WAF同时部署：先配置CDN加速域名及源站，再将域名接入WAF并设置防护规则，最后修改CDN回源地址为WAF分配的CNAME地址，实现网站加速与安全防护。

网络架构

当CDN和WAF同时部署时，通常采用以下网络架构：

1、CDN（内容分发网络）：作为入口层，负责加速内容分发，它通过全球各地的边缘节点服务器缓存和分发内容，使用户能够就近获取所需资源，从而加快访问速度。

2、WAF（Web应用防火墙）：位于中间层，负责实现应用层防护，它对经过CDN的流量进行过滤和检测，防止反面攻击和数据泄露。

3、源站服务器：作为后端层，负责处理正常的业务流量，只有经过CDN和WAF过滤后的合法请求才会被转发到源站服务器。

前提条件

在部署CDN和WAF之前，需要满足以下前提条件：

1、已开通CDN服务：确保已经成功开通了CDN服务，并将域名添加到了CDN中。

2、已开通WAF实例：确保已经成功开通了WAF实例，并进行了必要的配置。

部署步骤

1、域名接入WAF：登录Web应用防火墙控制台，选择“资产中心 > 网站接入”，然后单击“添加域名”，在添加域名页面，选择接入模式为CNAME接入，并按实际情况完成以下参数配置：

域名：要防护的网站域名。

协议类型：选择网站支持的协议类型。

服务器地址：填写源站服务器对应的IP地址或公网IP。

端口：根据实际协议类型选择对应的端口。

负载均衡算法：选择多源站服务器间的负载均衡算法。

启用流量标记：设置是否启用WAF流量标记功能。

回源重试：按需设置回源重试次数。

启用HTTPS：开启后，WAF会将请求转发到源站的443端口。

回源SNI：在回源SNI内指明所请求的具体域名，以便源站服务器返回正确的证书。

启用回源长连接：按需设置是否启用回源长连接。

启用流量标记：设置是否启用WAF流量标记功能。

检查证书：勾选表示WAF识别到客户端IP、端口、客户端IP等信息是通过指定字段透传过来的。

启用流量标记：设置是否启用WAF流量标记功能。

确认检查：完成以上配置后，单击“检查”。

2、为已添加到CDN的域名开启WAF防护：登录CDN控制台，单击左侧菜单栏的“域名管理”，定位到要开启WAF防护的域名，单击“管理”，在域名详情页，单击“新增源站信息”，完成以下配置后单击“确定”：

源站域名：如果域名通过CNAME接入WAF，则选择WAF的CNAME地址；如果域名通过IP接入WAF，则选择IP。

协议类型：选择网站支持的协议类型。

服务器地址：填写源站服务器对应的IP地址或公网IP。

端口：根据实际协议类型选择对应的端口。

优先级：设置主备优先级，支持主优先级大于备优先级。

权重：设置源站的权重，实现按权重的负载均衡。

3、后续操作：完成上述配置后，可以在CDN节点上直接使用WAF防护，或者在CDN节点上开启CDN WAF，并在CDN节点上使用WAF防护。

FAQs

1、问：为什么要同时部署CDN和WAF？

答：CDN主要用于加速内容分发和提高用户体验，而WAF则用于保护Web应用程序免受反面攻击和破绽利用，两者结合可以提供更全面的安全性和性能优化。

2、问：CDN和WAF的部署顺序有要求吗？

答：先部署CDN再部署WAF是较为常见的做法，这样可以确保CDN加速的内容已经经过了WAF的过滤和检测，从而提高安全性和性能，但具体部署顺序可能因实际情况而异，建议根据具体需求和安全策略来确定。