AxisNow 的纵深安全防护 - 防 cc / dd 指导思想

AxisNow 2026-07-08 20:29 1

AxisNow 团队具备 15 年以上的大厂一线安全经验,包括大规模 DDoS、CC 攻击、Web 应用渗透等攻防实践。基于此我们提炼出一套纵深防护模型,构建全方位的防攻击安全能力。



为什么需要纵深防护


现实中的攻击从来不是单一形态的。一次针对业务的攻击,可能同时包含数百 Gbps 的流量洪泛、伪装成正常用户的 CC 请求,以及针对应用漏洞的定向渗透。任何单点防御——无论多强——都存在被绕过或被击穿的可能。


纵深防护的核心思想是:让攻击流量在到达源站之前,逐层被识别、削弱和拦截。越靠外的层,处理的流量越大、判断越粗粒度;越靠内的层,流量越干净、检测越精细。每一层只需要处理上一层"漏"下来的部分,整体防御成本和误伤率都被控制在最低。


需要说明的是:这是一套参考架构,在这套模型中,各层能力分为三类——AxisNow 已提供AxisNow 规划中、以及建议通过生态配套(第三方服务或开源方案)补齐的部分。我们会在每一层明确标注,帮助您搭建完整的防护体系。


六层防护,由外而内


第一层:运营商级清洗压制


最外层面对的是最暴力的攻击形态——Tbps 级的容量型 DDoS。这类攻击的目标不是应用,而是带宽本身。应对它需要运营商级的清洗能力:高防服务商在骨干网层面对流量进行牵引与压制,无论是 UDP 反射放大、SYN Flood 还是混合型洪泛,都在流量进入边缘节点之前被吸收和过滤,确保下游链路始终可用。



生态配套:这一层属于运营商、高防主机商和流量清洗商的领域,AxisNow 定位在其后端。您可以在购买市面上的高防 IP 主机或 BGP 清洗服务来消化超大流量。



第二层:网络防火墙


进入边缘节点后,流量首先经过网络层防火墙。这一层工作在 L3/L4,以极高性能对数据包做协议合法性校验、异常报文丢弃和连接状态管理。畸形包、协议违规流量、慢速连接攻击等在这里被清除,只有符合规范的连接才能继续向内。



规划中:AxisNow 计划在边缘扩展这一层能力,提供粗粒度的连接层保护,防止恶意连接消耗应用层资源。



第三层:通用访问控制


到了这一层,流量已经是"合法的网络连接",但未必是"该来的访客"。通用访问控制基于 IP、地理位置、ASN、请求特征等维度执行访问策略——您可以精确控制哪些来源可以访问哪些业务。对于地域性运营的业务(例如只服务特定市场的应用),这一层能直接切掉大量与业务无关的暴露面。


这一层还内置了挑战能力:通过挑战验证区分真人与自动化工具,在不误伤正常用户的前提下拦截攻击。命中策略的恶意来源可以直接在网络防火墙执行 IP 封禁。AxisNow 挑战还可以配置基于流量水位(QPS)自动触发挑战,实现攻击自动开启,停止自动关闭。



已提供:访问控制、挑战验证与 IP 封禁能力均已在 AxisNow 边缘可用。



第四层:速率限制


CC 攻击的本质是"用合法请求耗尽你的资源"。单看每一个请求都是正常的,但频率不正常。速率限制层对请求速率建立多维度画像——按 IP、按会话、按路径——并在超出阈值时执行限速、挑战或拦截。它是对抗应用层洪泛最直接有效的手段,也是保护后端计算资源的关键闸门。对于 API 类业务,启用速率限制尤其有效。



已提供:速率限制能力已在 AxisNow 边缘可用,并可与挑战机制联动。



第五层:防黑


穿过前四层的流量,量已经很小,但危险性可能最高——这里面藏着真正有针对性的渗透尝试。防黑层对请求内容做深度检测:SQL 注入、XSS、命令执行、路径穿越等 Web 应用攻击载荷在这一层被识别和拦截。



生态配套:建议在源站部署开源 WAF(如 ModSecurity、Coraza)与 AxisNow 配合使用。



第六层:源站保护


最内层回答一个根本问题:即使前面所有层都被绕过,攻击者能直接打到源站吗?答案应该是不能。源站保护通过隐藏真实源站 IP、限定源站只接受来自 AxisNow 边缘的回源流量,让源站从公网上"消失"。攻击者找不到目标,绕过防护直击源站这条路径就被彻底封死。



规划中:您可以在源站防火墙配置只允许您的边缘节点 IP 连接。我们还计划推出源站隧道,以零信任方式彻底消除源站的公网暴露。



环绕全局的三种能力


六层防护解决的是"流量怎么被过滤",但一套防御体系要持续有效,还需要三种贯穿所有层次的能力:


日志和情报。 每一层的拦截记录、放行决策、攻击特征都被完整记录并汇聚分析。全球边缘网络上观察到的攻击情报会实时反哺各层策略——在一个节点上出现的新型攻击,其特征会迅速同步到整个网络。防御体系因此具备"见过即免疫"的进化能力。


AI。 静态规则永远滞后于攻击的变化。AI 让防护从"匹配已知特征"走向"发现未知异常":对流量行为持续建模,自动识别规则覆盖不到的攻击模式,实现自动化的检测与响应,并辅助生成和调优防护规则,降低安全运营的人力门槛。


专家。 自动化和 AI 能处理绝大多数场景,但最复杂的对抗最终仍是人与人的对抗。当自动化手段无法研判时,安全专家介入响应与处置——这是整套体系的最后兜底。专家团队持续跟踪攻击手法演进、参与重大攻击事件的实时处置,并将一线经验沉淀为默认防护策略。这意味着每一位用户获得的开箱即用配置,背后是 15 年以上的实战积累。


小结


纵深防护不是六个功能的简单堆叠,而是一个有机的整体:外层消化流量规模,内层保证检测精度,日志情报、AI 与专家能力让整套体系持续进化。AxisNow 提供其中的核心边缘防护层,并与高防服务、开源 WAF 等生态能力协同,共同构成完整的防线。攻击者需要连续突破所有层次才能触及业务,而防御方只需要在任意一层成功识别——这种不对称性,正是纵深防护模型的价值所在。


本文来自: 纵深安全防护 | AxisNow Docs

最新回复 (7)
  • cmpdke33 07-08 20:31
    1

    所以你们的产品是WAF吗?会不会有点难卖?

  • AxisNow 楼主 07-08 20:35
    2

    不是哦,佬。


    我们是新一代边缘平台 - 可以轻松构建自己的安全加速网络。使用 AxisNow,您可以保护并加速网站和 API,优化大陆访问,扩展移动 App 安全加速 SDK,实施多 CDN 架构。

  • cmpdke33 07-08 20:37
    3

    类似腾讯的EdgeOne或者阿里的ESA吗?

  • AxisNow 楼主 07-08 20:40
    4

    对的呢,但是我们的节点网络是需要用户自己部署管理的。

  • cmpdke33 07-08 20:42
    5

    那这有点难卖吧,国内有阿里腾讯,他们原本也卖服务器,一站式打包,国外有CF大善人。


    赛道拥挤呀

  • 我爱吃糖醋排骨 07-08 21:53
    6

    AxisNow 团队具备 15 年以上的大厂一线安全经验



    这句话如何证实

  • 提莫队长正在待命 07-09 07:50
    7

    这么较真干嘛,有产品买个产品试试不就知道是不是了

* 帖子来源Linux.do
返回