□閆曉敏□宋博□李婧□侯琳琳

（河南省水利信息中心）

網(wǎng)宿CDN技術(shù)在河南省水利網(wǎng)站中的應(yīng)用研究

□閆曉敏□宋博□李婧□侯琳琳

（河南省水利信息中心）

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，政府網(wǎng)站的重要性與日俱增，網(wǎng)絡(luò)催化信息高速傳播。隨著網(wǎng)站訪問(wèn)量的大幅提高，一個(gè)訪問(wèn)鏈路中的擁塞和瓶頸現(xiàn)象時(shí)有發(fā)生，很大程度上影響了響應(yīng)速度，會(huì)造成部分國(guó)家或地區(qū)打開(kāi)網(wǎng)站時(shí)十分緩慢，甚至?xí)霈F(xiàn)網(wǎng)絡(luò)癱瘓，從而造成一定程度的負(fù)面影響。網(wǎng)宿CDN技術(shù)的應(yīng)用，可以實(shí)現(xiàn)大規(guī)模多區(qū)域訪問(wèn)加速，保證用戶的就近訪問(wèn)，隱藏源網(wǎng)站服務(wù)器，對(duì)于提高水利網(wǎng)站的響應(yīng)速度，提高網(wǎng)站的安全性具有重大意義。

河南省水利網(wǎng)站；網(wǎng)宿；CDN技術(shù)；云安全平臺(tái)

0 引言

在這個(gè)競(jìng)爭(zhēng)激烈的數(shù)字化信息時(shí)代，網(wǎng)站必須具有多重功能：網(wǎng)站必須有吸引力、速度快、有可移動(dòng)性及靈活性，甚至必須要能夠不斷變化。網(wǎng)站還必須支持頻繁的會(huì)話、支持各種瀏覽器、平板電腦智能手機(jī)、以及其它訪問(wèn)設(shè)備。此外，還必須能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境下運(yùn)行，比如一些網(wǎng)絡(luò)連接較差的區(qū)域或國(guó)家。隨著互聯(lián)網(wǎng)的飛速發(fā)展，政府網(wǎng)站的重要性也與日俱增，水利網(wǎng)站每天有大量信息發(fā)布，信息以多種方式呈現(xiàn)，如視頻、圖片、附件下載等，用戶訪問(wèn)量也日趨增加，寬帶和服務(wù)器壓力過(guò)大，跨區(qū)域訪問(wèn)不穩(wěn)定，而這個(gè)問(wèn)題僅靠網(wǎng)站單方面擴(kuò)展帶寬和設(shè)備很難解決，它涉及從用戶接入點(diǎn)到網(wǎng)站源站點(diǎn)鏈路狀況等多個(gè)方面。同時(shí)，隨著網(wǎng)站的知名度越來(lái)越高，將成為黑客攻擊對(duì)象。為了保障網(wǎng)站服務(wù)質(zhì)量和安全，我們研究測(cè)試了網(wǎng)宿CDN技術(shù)，CDN技術(shù)采用分布式緩存復(fù)制、流量監(jiān)控、負(fù)載均衡、客戶端重定向等技術(shù)使得地理上分布的內(nèi)容發(fā)布網(wǎng)絡(luò)將信息資源向網(wǎng)絡(luò)邊緣推進(jìn)，使得用戶最快的訪問(wèn)所需的內(nèi)容，全面解決網(wǎng)站安全性、可靠性、擴(kuò)展性、及響應(yīng)速度，同時(shí)降低訪問(wèn)網(wǎng)站時(shí)源站點(diǎn)的帶寬占用率，增強(qiáng)源站點(diǎn)服務(wù)器設(shè)備的負(fù)載能力，確保其在CDN節(jié)點(diǎn)上與源站點(diǎn)的同步。

1 CDN服務(wù)概述

1.1 CDN技術(shù)簡(jiǎn)介

CDN的全稱是ContentDeliveryNetwork，即內(nèi)容分發(fā)網(wǎng)絡(luò)。其基本思路是盡可能避開(kāi)互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)母?、更穩(wěn)定。通過(guò)在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡(luò)，CDN系統(tǒng)能夠?qū)崟r(shí)地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況以及到用戶的距離和響應(yīng)時(shí)間等綜合信息將用戶的請(qǐng)求重新導(dǎo)向離用戶最近的服務(wù)節(jié)點(diǎn)上。其目的是使用戶可就近取得所需內(nèi)容，解決Internet網(wǎng)絡(luò)擁擠的狀況，提高用戶訪問(wèn)網(wǎng)站的響應(yīng)速度。

1.2 CDN的服務(wù)模式

CDN是一種新型網(wǎng)絡(luò)內(nèi)容服務(wù)體系，從廣義來(lái)看，CDN代表了一種基于網(wǎng)絡(luò)而構(gòu)建的網(wǎng)絡(luò)應(yīng)用服務(wù)模式，這種服務(wù)模式具有鮮明網(wǎng)絡(luò)秩序，質(zhì)量、效率都相對(duì)較高。CDN基于IP網(wǎng)絡(luò)而構(gòu)建，基于內(nèi)容訪問(wèn)與質(zhì)量要求、應(yīng)用的效率要求而提供內(nèi)容的分發(fā)和服務(wù)。

概括的說(shuō)，CDN是一個(gè)經(jīng)策略性部署的整體系統(tǒng)，包括負(fù)載均衡、網(wǎng)絡(luò)請(qǐng)求的重定向、分布式存儲(chǔ)、內(nèi)容管理這4個(gè)部分，CDN的核心是內(nèi)容管理和全局的網(wǎng)絡(luò)流量管理。通過(guò)用戶訪問(wèn)就近性原則以及服務(wù)器負(fù)載的綜合判斷，CDN確保為用戶請(qǐng)求提供提供一種高效的內(nèi)容訪問(wèn)服務(wù)。

總的來(lái)說(shuō)，內(nèi)容服務(wù)基于緩存服務(wù)器即代理緩存，代理緩存是內(nèi)容提供商源服務(wù)器的一個(gè)透明鏡像，它距用戶僅有“一跳”之遙，位于網(wǎng)絡(luò)的邊緣。這樣的架構(gòu)使得CDN服務(wù)提供商作為內(nèi)容供應(yīng)商代表他們客戶向最終用戶提供盡可能好的體驗(yàn)。

1.3 網(wǎng)宿CDN如何改變?cè)芯W(wǎng)站的訪問(wèn)模式

傳統(tǒng)的網(wǎng)頁(yè)訪問(wèn)過(guò)程：一是用戶將對(duì)某域名的http請(qǐng)求提交給瀏覽器軟件；二是瀏覽器接收域名請(qǐng)求后，向本地DNS請(qǐng)求對(duì)該域名的解析；三是本地DNS將用戶請(qǐng)求發(fā)送給網(wǎng)站授權(quán)的DNS服務(wù)器，授權(quán)的DNS服務(wù)器將該網(wǎng)站IP地址發(fā)送給本地DNS；四是瀏覽器得到http服務(wù)器的IP地址之后，向服務(wù)器發(fā)送http請(qǐng)求；五是http服務(wù)器回應(yīng)http請(qǐng)求之后，瀏覽器負(fù)責(zé)將回應(yīng)內(nèi)容顯示。

傳統(tǒng)的網(wǎng)頁(yè)訪問(wèn)流程存在著一定的問(wèn)題：DNS解析時(shí)將網(wǎng)站的域名轉(zhuǎn)換為IP地址的過(guò)程中，如果該服務(wù)器已經(jīng)宕機(jī)或擁堵時(shí)，請(qǐng)求仍然發(fā)送給該服務(wù)器，該服務(wù)器最終無(wú)法正常響應(yīng)用戶的請(qǐng)求而導(dǎo)致用戶訪問(wèn)失敗。

使用CDN技術(shù)可以避免內(nèi)容訪問(wèn)過(guò)程中經(jīng)過(guò)過(guò)多的交換機(jī)、路由器而帶來(lái)的時(shí)延：用戶需要訪問(wèn)的內(nèi)容被緩存到離用戶最近的高速緩沖存儲(chǔ)器節(jié)點(diǎn)上，用戶訪問(wèn)的內(nèi)容直接從有效的存儲(chǔ)器節(jié)點(diǎn)獲獲取。這主要是對(duì)主機(jī)域名解析的步驟做了改變，DNS查詢返回的是離用戶最近的可靠高速緩沖存儲(chǔ)器服務(wù)器節(jié)點(diǎn)，而不是服務(wù)器源站的IP地址。CND加速后的訪問(wèn)模式如圖1所示：

圖1 CND加速后的訪問(wèn)模式

2 網(wǎng)宿云安全平臺(tái)

網(wǎng)宿的云安全平臺(tái)，以網(wǎng)宿的CDN云分發(fā)平臺(tái)為基礎(chǔ)，可有效抵抗并針對(duì)性調(diào)度，能夠?qū)EB應(yīng)用層攻擊和DDOS攻擊進(jìn)行相應(yīng)的安全防護(hù)；同時(shí)繼承網(wǎng)宿科技CDN頁(yè)面加速的已有優(yōu)勢(shì)，對(duì)網(wǎng)站的文件、圖片等靜態(tài)內(nèi)容通過(guò)緩存等方式進(jìn)行加速；客戶網(wǎng)絡(luò)架構(gòu)不需要做任何改造，通過(guò)配置域名DNS解析的CNAME機(jī)制切換到網(wǎng)宿云安全平臺(tái)上，用戶的訪問(wèn)請(qǐng)求經(jīng)過(guò)網(wǎng)宿云安全平臺(tái)的防護(hù)，針對(duì)有風(fēng)險(xiǎn)的請(qǐng)求訪問(wèn)進(jìn)行相應(yīng)的安全防護(hù)來(lái)保障網(wǎng)站以及應(yīng)用的安全性。

3 網(wǎng)宿CDN技術(shù)在河南省水利網(wǎng)中的測(cè)試研究

3.1 概述

網(wǎng)宿科技對(duì)河南省水利網(wǎng)站進(jìn)行了CDN加速及云安全防護(hù)測(cè)試，此次測(cè)試在保證官網(wǎng)不因測(cè)試問(wèn)題引起訪問(wèn)故障的前提下進(jìn)行。使用一個(gè)測(cè)試域名進(jìn)行CDN平臺(tái)的訪問(wèn)測(cè)試，驗(yàn)證與安全設(shè)備的防護(hù)策略匹配度，在確認(rèn)無(wú)問(wèn)題、無(wú)策略沖突后再切換到正式域名測(cè)試。

3.2 測(cè)試方法

一是在DNS管理平臺(tái)上，新增一個(gè)二級(jí)域名作為測(cè)試域名，綁定到水利網(wǎng)站的IP地址。則該域名的訪問(wèn)可實(shí)現(xiàn)與www. hnsl.gov.cn域名訪問(wèn)相同的效果。例如：wstest.hnsl.gov.cnA IP地址。二是針對(duì)該新域名，增加CNAME配置，切換到CDN平臺(tái)。wstest.hnsl.gov.cnCNAMEwstest.hnsl.gov.cn.cdn20.com。網(wǎng)宿開(kāi)啟全網(wǎng)的QS質(zhì)量監(jiān)測(cè)，模擬用戶對(duì)測(cè)試域名進(jìn)行訪問(wèn)，提升監(jiān)測(cè)頻率，驗(yàn)證網(wǎng)站在不同區(qū)域的可用性和訪問(wèn)性能，以及對(duì)水利網(wǎng)站前端安全設(shè)備防護(hù)策略的適應(yīng)性。

3.3 測(cè)試保障

一是網(wǎng)宿開(kāi)啟QS監(jiān)控對(duì)測(cè)試域名進(jìn)行自動(dòng)化網(wǎng)站監(jiān)測(cè)，同時(shí)廈門、鄭州、濟(jì)南、北京等地區(qū)進(jìn)行人工驗(yàn)證測(cè)試，確保測(cè)試訪問(wèn)正常。二是網(wǎng)宿運(yùn)維人員跟WAF設(shè)備廠商進(jìn)行溝通配合，調(diào)試防護(hù)策略，確保CDN平臺(tái)與WAF策略適應(yīng)正常，不因誤殺影響網(wǎng)站訪問(wèn)。

4 基于網(wǎng)宿CDN技術(shù)實(shí)現(xiàn)的對(duì)水利網(wǎng)站的優(yōu)化作用

網(wǎng)宿科技目前已擁有86個(gè)CDN節(jié)點(diǎn)，CDN系統(tǒng)寬帶已到達(dá)120G，根據(jù)用戶訪問(wèn)情況分析，科學(xué)選擇相應(yīng)主節(jié)點(diǎn)和輔助節(jié)點(diǎn)可實(shí)現(xiàn)全國(guó)范圍加速的解決方案；能夠?qū)W(wǎng)站靜態(tài)內(nèi)容進(jìn)行智能緩存，分發(fā)至全國(guó)各服務(wù)節(jié)點(diǎn)，減少服務(wù)器訪問(wèn)壓力，提高訪問(wèn)效率；有完整的訪問(wèn)日志，可分析用戶訪問(wèn)行為，并能實(shí)現(xiàn)報(bào)表輸出；對(duì)網(wǎng)站進(jìn)行隱藏保護(hù)，無(wú)法獲取源站IP，增強(qiáng)網(wǎng)站安全性；支持檢測(cè)和防御網(wǎng)絡(luò)層、檢測(cè)和防御應(yīng)用層DDOS攻擊；支持檢測(cè)和防御針對(duì)WEB應(yīng)用層的黑客攻擊，如SQL注入攻擊、XSS攻擊、敏感信息泄露、漏洞攻擊、惡意掃描等；支持防篡改功能，保證數(shù)據(jù)不會(huì)在傳輸和存儲(chǔ)中發(fā)生改變；支持離線模式，當(dāng)源站服務(wù)故障時(shí)能正常提供網(wǎng)頁(yè)瀏覽服務(wù)。

5 結(jié)語(yǔ)

河南省水利網(wǎng)站主要有網(wǎng)站更新速度快、信息數(shù)量多、瀏覽量大,服務(wù)安全性和穩(wěn)定性要求較高,盡量滿足各地區(qū)用戶能夠快速訪問(wèn)等需求特點(diǎn)。將網(wǎng)宿CDN技術(shù)應(yīng)用于河南省水利網(wǎng)站系統(tǒng)中，使得用戶能夠就近節(jié)點(diǎn)訪問(wèn)，可以大規(guī)模多區(qū)域加速，能夠很大程度上提高網(wǎng)站服務(wù)用戶的速度，而且各個(gè)節(jié)點(diǎn)超大寬帶資源冗余，輕松應(yīng)對(duì)訪問(wèn)量突增。用戶訪問(wèn)請(qǐng)求經(jīng)過(guò)網(wǎng)宿云安全平臺(tái)的防護(hù)，能夠減少被病毒和黑客攻擊的可能性，進(jìn)一步提高了網(wǎng)站的安全性。

（責(zé)任編輯：潘俞靜）

TP393

A

1673-8853（2016）09-0061-02

2016-06-18