網(wǎng)宿CDN技術(shù)在河南省水利網(wǎng)站中的應(yīng)用研究

□閆曉敏□宋博□李婧□侯琳琳

（河南省水利信息中心）

網(wǎng)宿CDN技術(shù)在河南省水利網(wǎng)站中的應(yīng)用研究

□閆曉敏□宋博□李婧□侯琳琳

（河南省水利信息中心）

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，政府網(wǎng)站的重要性與日俱增，網(wǎng)絡(luò)催化信息高速傳播。隨著網(wǎng)站訪問量的大幅提高，一個訪問鏈路中的擁塞和瓶頸現(xiàn)象時有發(fā)生，很大程度上影響了響應(yīng)速度，會造成部分國家或地區(qū)打開網(wǎng)站時十分緩慢，甚至會出現(xiàn)網(wǎng)絡(luò)癱瘓，從而造成一定程度的負面影響。網(wǎng)宿CDN技術(shù)的應(yīng)用，可以實現(xiàn)大規(guī)模多區(qū)域訪問加速，保證用戶的就近訪問，隱藏源網(wǎng)站服務(wù)器，對于提高水利網(wǎng)站的響應(yīng)速度，提高網(wǎng)站的安全性具有重大意義。

河南省水利網(wǎng)站；網(wǎng)宿；CDN技術(shù)；云安全平臺

0 引言

在這個競爭激烈的數(shù)字化信息時代，網(wǎng)站必須具有多重功能：網(wǎng)站必須有吸引力、速度快、有可移動性及靈活性，甚至必須要能夠不斷變化。網(wǎng)站還必須支持頻繁的會話、支持各種瀏覽器、平板電腦智能手機、以及其它訪問設(shè)備。此外，還必須能夠在復雜的網(wǎng)絡(luò)環(huán)境下運行，比如一些網(wǎng)絡(luò)連接較差的區(qū)域或國家。隨著互聯(lián)網(wǎng)的飛速發(fā)展，政府網(wǎng)站的重要性也與日俱增，水利網(wǎng)站每天有大量信息發(fā)布，信息以多種方式呈現(xiàn)，如視頻、圖片、附件下載等，用戶訪問量也日趨增加，寬帶和服務(wù)器壓力過大，跨區(qū)域訪問不穩(wěn)定，而這個問題僅靠網(wǎng)站單方面擴展帶寬和設(shè)備很難解決，它涉及從用戶接入點到網(wǎng)站源站點鏈路狀況等多個方面。同時，隨著網(wǎng)站的知名度越來越高，將成為黑客攻擊對象。為了保障網(wǎng)站服務(wù)質(zhì)量和安全，我們研究測試了網(wǎng)宿CDN技術(shù)，CDN技術(shù)采用分布式緩存復制、流量監(jiān)控、負載均衡、客戶端重定向等技術(shù)使得地理上分布的內(nèi)容發(fā)布網(wǎng)絡(luò)將信息資源向網(wǎng)絡(luò)邊緣推進，使得用戶最快的訪問所需的內(nèi)容，全面解決網(wǎng)站安全性、可靠性、擴展性、及響應(yīng)速度，同時降低訪問網(wǎng)站時源站點的帶寬占用率，增強源站點服務(wù)器設(shè)備的負載能力，確保其在CDN節(jié)點上與源站點的同步。

1 CDN服務(wù)概述

1.1 CDN技術(shù)簡介

CDN的全稱是ContentDeliveryNetwork，即內(nèi)容分發(fā)網(wǎng)絡(luò)。其基本思路是盡可能避開互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)母臁⒏€(wěn)定。通過在網(wǎng)絡(luò)各處放置節(jié)點服務(wù)器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡(luò)，CDN系統(tǒng)能夠?qū)崟r地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點的連接、負載狀況以及到用戶的距離和響應(yīng)時間等綜合信息將用戶的請求重新導向離用戶最近的服務(wù)節(jié)點上。其目的是使用戶可就近取得所需內(nèi)容，解決Internet網(wǎng)絡(luò)擁擠的狀況，提高用戶訪問網(wǎng)站的響應(yīng)速度。

1.2 CDN的服務(wù)模式

CDN是一種新型網(wǎng)絡(luò)內(nèi)容服務(wù)體系，從廣義來看，CDN代表了一種基于網(wǎng)絡(luò)而構(gòu)建的網(wǎng)絡(luò)應(yīng)用服務(wù)模式，這種服務(wù)模式具有鮮明網(wǎng)絡(luò)秩序，質(zhì)量、效率都相對較高。CDN基于IP網(wǎng)絡(luò)而構(gòu)建，基于內(nèi)容訪問與質(zhì)量要求、應(yīng)用的效率要求而提供內(nèi)容的分發(fā)和服務(wù)。

概括的說，CDN是一個經(jīng)策略性部署的整體系統(tǒng)，包括負載均衡、網(wǎng)絡(luò)請求的重定向、分布式存儲、內(nèi)容管理這4個部分，CDN的核心是內(nèi)容管理和全局的網(wǎng)絡(luò)流量管理。通過用戶訪問就近性原則以及服務(wù)器負載的綜合判斷，CDN確保為用戶請求提供提供一種高效的內(nèi)容訪問服務(wù)。

總的來說，內(nèi)容服務(wù)基于緩存服務(wù)器即代理緩存，代理緩存是內(nèi)容提供商源服務(wù)器的一個透明鏡像，它距用戶僅有“一跳”之遙，位于網(wǎng)絡(luò)的邊緣。這樣的架構(gòu)使得CDN服務(wù)提供商作為內(nèi)容供應(yīng)商代表他們客戶向最終用戶提供盡可能好的體驗。

1.3 網(wǎng)宿CDN如何改變原有網(wǎng)站的訪問模式

傳統(tǒng)的網(wǎng)頁訪問過程：一是用戶將對某域名的http請求提交給瀏覽器軟件；二是瀏覽器接收域名請求后，向本地DNS請求對該域名的解析；三是本地DNS將用戶請求發(fā)送給網(wǎng)站授權(quán)的DNS服務(wù)器，授權(quán)的DNS服務(wù)器將該網(wǎng)站IP地址發(fā)送給本地DNS；四是瀏覽器得到http服務(wù)器的IP地址之后，向服務(wù)器發(fā)送http請求；五是http服務(wù)器回應(yīng)http請求之后，瀏覽器負責將回應(yīng)內(nèi)容顯示。

傳統(tǒng)的網(wǎng)頁訪問流程存在著一定的問題：DNS解析時將網(wǎng)站的域名轉(zhuǎn)換為IP地址的過程中，如果該服務(wù)器已經(jīng)宕機或擁堵時，請求仍然發(fā)送給該服務(wù)器，該服務(wù)器最終無法正常響應(yīng)用戶的請求而導致用戶訪問失敗。

使用CDN技術(shù)可以避免內(nèi)容訪問過程中經(jīng)過過多的交換機、路由器而帶來的時延：用戶需要訪問的內(nèi)容被緩存到離用戶最近的高速緩沖存儲器節(jié)點上，用戶訪問的內(nèi)容直接從有效的存儲器節(jié)點獲獲取。這主要是對主機域名解析的步驟做了改變，DNS查詢返回的是離用戶最近的可靠高速緩沖存儲器服務(wù)器節(jié)點，而不是服務(wù)器源站的IP地址。CND加速后的訪問模式如圖1所示：

圖1 CND加速后的訪問模式

2 網(wǎng)宿云安全平臺

網(wǎng)宿的云安全平臺，以網(wǎng)宿的CDN云分發(fā)平臺為基礎(chǔ)，可有效抵抗并針對性調(diào)度，能夠?qū)EB應(yīng)用層攻擊和DDOS攻擊進行相應(yīng)的安全防護；同時繼承網(wǎng)宿科技CDN頁面加速的已有優(yōu)勢，對網(wǎng)站的文件、圖片等靜態(tài)內(nèi)容通過緩存等方式進行加速；客戶網(wǎng)絡(luò)架構(gòu)不需要做任何改造，通過配置域名DNS解析的CNAME機制切換到網(wǎng)宿云安全平臺上，用戶的訪問請求經(jīng)過網(wǎng)宿云安全平臺的防護，針對有風險的請求訪問進行相應(yīng)的安全防護來保障網(wǎng)站以及應(yīng)用的安全性。

3 網(wǎng)宿CDN技術(shù)在河南省水利網(wǎng)中的測試研究

3.1 概述

網(wǎng)宿科技對河南省水利網(wǎng)站進行了CDN加速及云安全防護測試，此次測試在保證官網(wǎng)不因測試問題引起訪問故障的前提下進行。使用一個測試域名進行CDN平臺的訪問測試，驗證與安全設(shè)備的防護策略匹配度，在確認無問題、無策略沖突后再切換到正式域名測試。

3.2 測試方法

一是在DNS管理平臺上，新增一個二級域名作為測試域名，綁定到水利網(wǎng)站的IP地址。則該域名的訪問可實現(xiàn)與www. hnsl.gov.cn域名訪問相同的效果。例如：wstest.hnsl.gov.cnA IP地址。二是針對該新域名，增加CNAME配置，切換到CDN平臺。wstest.hnsl.gov.cnCNAMEwstest.hnsl.gov.cn.cdn20.com。網(wǎng)宿開啟全網(wǎng)的QS質(zhì)量監(jiān)測，模擬用戶對測試域名進行訪問，提升監(jiān)測頻率，驗證網(wǎng)站在不同區(qū)域的可用性和訪問性能，以及對水利網(wǎng)站前端安全設(shè)備防護策略的適應(yīng)性。

3.3 測試保障

一是網(wǎng)宿開啟QS監(jiān)控對測試域名進行自動化網(wǎng)站監(jiān)測，同時廈門、鄭州、濟南、北京等地區(qū)進行人工驗證測試，確保測試訪問正常。二是網(wǎng)宿運維人員跟WAF設(shè)備廠商進行溝通配合，調(diào)試防護策略，確保CDN平臺與WAF策略適應(yīng)正常，不因誤殺影響網(wǎng)站訪問。

4 基于網(wǎng)宿CDN技術(shù)實現(xiàn)的對水利網(wǎng)站的優(yōu)化作用

網(wǎng)宿科技目前已擁有86個CDN節(jié)點，CDN系統(tǒng)寬帶已到達120G，根據(jù)用戶訪問情況分析，科學選擇相應(yīng)主節(jié)點和輔助節(jié)點可實現(xiàn)全國范圍加速的解決方案；能夠?qū)W(wǎng)站靜態(tài)內(nèi)容進行智能緩存，分發(fā)至全國各服務(wù)節(jié)點，減少服務(wù)器訪問壓力，提高訪問效率；有完整的訪問日志，可分析用戶訪問行為，并能實現(xiàn)報表輸出；對網(wǎng)站進行隱藏保護，無法獲取源站IP，增強網(wǎng)站安全性；支持檢測和防御網(wǎng)絡(luò)層、檢測和防御應(yīng)用層DDOS攻擊；支持檢測和防御針對WEB應(yīng)用層的黑客攻擊，如SQL注入攻擊、XSS攻擊、敏感信息泄露、漏洞攻擊、惡意掃描等；支持防篡改功能，保證數(shù)據(jù)不會在傳輸和存儲中發(fā)生改變；支持離線模式，當源站服務(wù)故障時能正常提供網(wǎng)頁瀏覽服務(wù)。

5 結(jié)語

河南省水利網(wǎng)站主要有網(wǎng)站更新速度快、信息數(shù)量多、瀏覽量大,服務(wù)安全性和穩(wěn)定性要求較高,盡量滿足各地區(qū)用戶能夠快速訪問等需求特點。將網(wǎng)宿CDN技術(shù)應(yīng)用于河南省水利網(wǎng)站系統(tǒng)中，使得用戶能夠就近節(jié)點訪問，可以大規(guī)模多區(qū)域加速，能夠很大程度上提高網(wǎng)站服務(wù)用戶的速度，而且各個節(jié)點超大寬帶資源冗余，輕松應(yīng)對訪問量突增。用戶訪問請求經(jīng)過網(wǎng)宿云安全平臺的防護，能夠減少被病毒和黑客攻擊的可能性，進一步提高了網(wǎng)站的安全性。

（責任編輯：潘俞靜）

TP393

A

1673-8853（2016）09-0061-02

2016-06-18