密码讲堂 | 第11讲 什么是CDN/WAF?什么是国密CDN/WAF?
2023年5月9日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

CDN是英文Content Delivery Network的缩写,中文名称:内容分发网络,通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,改善网络拥挤的状况,提高用户访问网站的响应速度。CDN已经成为各大云服务提供商的标配服务产品之一,并且由于竞争激烈,而使得CDN的费用已经大幅降低到所有网站都能承受的水平。

WAF是英文Web Application Firewall的缩写,中文名称:Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。可以是用户本地化部署的硬件产品,也可以是一个云服务。由于针对各种Web应用的攻击如:SQL注入、跨站攻击、网站挂马等等已经成为普及的趋势,所以,不仅各种安全厂商纷纷推出各种硬件WAF产品,而且各大云服务提供商也纷纷提供云WAF服务,并且已经成为了各大云服务提供商的标配服务产品之一。

读者也许会有疑问:密码讲堂怎么讲起这些网络服务产品和网络安全产品了,是否跑题了?还真的没有,所有网络服务和网络安全产品都离不开密码。这就是为何笔者在CDN和WAF之前加了两个字“国密”。传统的CDN和WAF产品将会在谷歌的“90天证书革命”中发挥新的重要作用,迸发新的活力,国密CDN和国密WAF将为各大CDN/WAF服务提供商和WAF硬件厂商带来更多的市场机会和提升产品核心竞争力。

早期的CDN是只能分发http明文传输流量的,但是由于https加密已经成为了必须,所有浏览器都对明文http流量显示为“不安全”,这使得CDN服务在最近几年几乎都已经支持https加密,不支持https加密的CDN应该已经没有市场了,因为用户网站需要https加密。这个支持https加密是需要用户在选购了CDN服务后自己再去向CA申请SSL证书,把SSL证书的私钥和公钥证书都手动上传到CDN系统后台启用https加密功能,这个过程同用户自己申请SSL证书部署到网站是一样的痛苦!现在的SSL证书有效期是1年,也就是说一年痛苦一次。但是,如果SSL证书有效期变成了90天怎么办?仍然要求用户每90天申请和上传SSL证书,也就是说一年会痛苦四次!这不是用户能接受的方案,这就是需要CDN支持自动化配置和续期SSL证书。而对于正在增长的国密https加密的应用需求,则需要CDN同时支持国密算法和国密SSL证书,当然,也一样必须支持自动化配置国密SSL证书。

用户需要自动化配置国际SSL证书和国密SSL证书的这个应用需求,给了CDN服务提供商一个新的市场机会,新型CDN服务必须是能自动化为用户配置双算法双SSL证书的云服务,而不是让用户自己先向CA申请SSL证书,再手动上传SSL证书到CDN系统!新型CDN服务必须是支持国密算法和国密SSL证书的云服务,同时支持自动化配置国际SSL证书和国密SSL证书,双证书自动化部署和自动化续期,满足用户国密合规和全球信任的https加密应用需求。也就是说,CDN服务不再只是一个内容分发网络服务,而且还是一个让用户零改造实现国密https加密的创新服务。

如何才能实现这个创新功能?当然是CDN系统需要改造支持国密ACME协议、支持国密算法和国密SSL证书,对接国密ACME系统,自动化为用户的网站域名配置双算法SSL证书,实现https加密。而用户网站作为CDN源站则是零改造,只需做CNAME域名解析即可。CDN服务不仅为用户提供了高速内容分发服务,而且为用户提供零改造实现国密https加密服务,实现了自动化为用户配置双算法SSL证书,让用户无需向CA申请双SSL证书,无需担心SSL证书过期,这就大大减少网管工程师的工作负担,让工程师可以专心做好自己的其他更重要的业务。同时,这也大大提升了CDN服务的核心竞争力!

CDN系统

同理,对于WAF设备厂商和云WAF服务提供商,也不能仅仅提供WAF服务,仅仅提供http明文传输WAF防护,应该支持https加密,自适应加密算法同时支持国际算法和国密算法。但不应该让用户自己去向CA申请SSL证书,自己配置到WAF设备或云WAF服务中去使用SSL证书,而应该自动化为用户网站配置双算法双SSL证书,实现自适应加密算法的https加密。WAF设备或云WAF服务不仅为用户提供了WAF防护服务,而且为用户提供零改造实现国密https加密服务,实现了自动化为用户配置双算法SSL证书,让用户无需向CA申请双SSL证书,无需担心SSL证书过期,这就大大减少网管工程师的工作负担,让工程师可以专心做好自己的其他更重要的业务。同时,这也大大提升了WAF设备和云WAF服务的核心竞争力!

ACME系统 WAF系统

最后总结一下,传统的CDN服务、云WAF服务和WAF设备,在普及国密https加密的大趋势下,必须升级脱变为支持国密算法自动化实现国密https加密的国密改造利器,只要我国的所有CDN服务提供商、云WAF服务提供商、WAF设备厂商都能支持国密ACME标准实现自动化为CDN/WAF服务配置双算法双SSL证书,为用户提供自动化国密https加密服务,则我国普及国密https加密就不再是难事了。所以,笔者在本讲为下一代CDN服务和WAF服务命名为国密CDN和国密WAF,真正实现让密码触手可及,让商用密码真正为保障我国互联网安全做出最大的贡献。

下一讲内容预告|第12讲 什么是SSL加速?什么是SSL卸载?什么是HTTPS网关?
SSL证书不是用户所需的产品,用户需要https加密!如何实现https加密有很多种方案,本讲讲一讲一个硬件网关解决方案,一个让SSL加速卡这个古老的产品重新焕发新活力的解决方案。