如果又要防 CC 攻击、又要保障用户使用 CDN 加速， CDN 到底是应该配置在 WAF 前面好还是配置在 WAF 后面好？

你 cdn 怎么可能部署在 waf 后面啊

那 CDN 配置在 WAF 前面，WAF 的防护功能还有用吗

正常都是 CDN 在前 WAF 在后。
现在有新产品把这俩产品整合一起了。
最近接触到天翼云的 AccessOne

你怎么让 waf 在 cdn 前面，用户请求先过你 waf ？然后你转发到 cdn ，那 cdn 作用是什么

回源的请求过 waf 不就行了

cdn 自建的嘛？

不是自建的，你如何做到在前面套一层 waf ？

你用 cdn 来做全球加速？ cdn 应该在 waf 前面，waf 配置的时候注意修改一下根据请求 ip 限制的一些规则就行。

其实如果是拿来加速的，有 Anycast 这种加速方案的。

cdn 还能在 waf 后面吗

@coderxy 像阿里或者腾讯的安全加速 SCDN 这种是什么原理呢？和 Anycast 一样吗？

好巧
正在做 把 WAF 功能嵌入到 CDN 里

@ScotGu
CDN+WAF：
正常请求 -> CDN 节点加速 -> WAF -> 源站/服务器
恶意请求 -> CDN 节点加速 -> WAF (拦截) -> DROP/记录

SCDN：
正常请求 -> SCDN (加速/拦截) -> 源站/服务器
恶意请求 -> SCDN (加速/拦截) -> DROP/记录

OP 说的 SCDN 一类的服务 就是把 WAF 边缘化了 把 WAF 和 CDN 整合到一起 可以理解成在离客户端很近的边缘就拦截了 如果把 WAF 丢到 CDN 前面 CDN 就没意义了

@proxytoworld 回源的请求过 WAF ，如果遭受了大量的 CC 攻击请求，CDN 能抗的住吗？那不是会产生大量的请求费用？

@lambdaq 不自建的，找 CDN 厂商

@MFcliff CDN 只是转发不处理内容，肯定可以。增加费用是没办法的，或者就是找类似 CF 那种有 WAF 的 CDN

@Tink CDN 怎么放 waf 前面，放 waf 后面 cdn 的意义是啥

我们用的 cdn 就是在 waf 后面，

https://cloud.tencent.com/product/teo
你看看是不是这种。

你这种得用带 waf 功能的 CDN 了

@MFcliff 站内很多 cdn 被 cc 刷账单的啊，cdn 都是大厂，先担心钱包在担心能不能扛得住把

大厂基本都支持 限制单个节点的访问频率设置，基本可以扛住 cc 。

但是扛不住刷流量，大部分的流量控制都有延迟，很容易被刷爆。

正常情况下，CDN 应该在 WAF 之前（流量 -> CDN -> WAF ），不过也有带 WAF 功能的 CDN ，比如腾讯云的 EdgeOne ，个人测试后觉得还行。当然各类厂商都有类似的产品。我个人体验的是腾讯云 CDN & EdgeOne ，CDN 的节点比 EdgeOne 多得多，如果你在意这个的话，可以考虑别家的产品。

配置鉴权就 ok 了，国内 cdn 厂商都支持

我觉得 WAF 和 CDN 谁在前在后，需要根据不同的情况做战术策略：

一看 CDN 和 WAF 的类型和收费模式，CDN 分拼节点数量型，Anycast 型（国外用得多），大带宽型，带宽+防御一体型等 ； WAF 分智能检测型，高防清洗型，硬件路由或交换机等，这个属于防御产品的选型和估算防攻击要付出的成本代价。

二看 WAF 防御和清洗有多强，很强的 WAF 可以向前靠，弱的 WAF 前置也是白瞎，一般强的 WAF 都是分布式>单机，硬件>软件，路由>交换。

三看攻击类型，如果攻击类型是大规模的 CC 攻击，中等数量的 CDN 和鉴权，白名单，防盗链也能胜任，放前面更有性价比，如果是流量型的 DDoS 攻击，如果 CDN 按带宽收费，不如直接上 WAF 高防清洁前置。

四看保服务可用性还是保服务可靠性。如果是服务可用性，清不清洗无所谓，那 CDN 胜在节点数量多，只要服务不全部挂，前置是良策； 如果是要求服务可靠性 ，那 WAF 清洗必须要前置，后面 CDN 再保护源站。