如果又要防 CC 攻击、又要保障用户使用 CDN 加速， CDN 到底是应该配置在 WAF 前面好还是配置在 WAF 后面好？

你 cdn 怎么可能部署在 waf 后面啊

那 CDN 配置在 WAF 前面，WAF 的防护功能还有用吗

正常都是 CDN 在前 WAF 在后。
现在有新产品把这俩产品整合一起了。
最近接触到天翼云的 AccessOne

你怎么让 waf 在 cdn 前面，用户请求先过你 waf ？然后你转发到 cdn ，那 cdn 作用是什么

回源的请求过 waf 不就行了

cdn 自建的嘛？

不是自建的，你如何做到在前面套一层 waf ？

你用 cdn 来做全球加速？ cdn 应该在 waf 前面，waf 配置的时候注意修改一下根据请求 ip 限制的一些规则就行。

其实如果是拿来加速的，有 Anycast 这种加速方案的。

cdn 还能在 waf 后面吗

@coderxy 像阿里或者腾讯的安全加速 SCDN 这种是什么原理呢？和 Anycast 一样吗？

好巧
正在做 把 WAF 功能嵌入到 CDN 里

@ScotGu
CDN+WAF：
正常请求 -> CDN 节点加速 -> WAF -> 源站/服务器
恶意请求 -> CDN 节点加速 -> WAF (拦截) -> DROP/记录

SCDN：
正常请求 -> SCDN (加速/拦截) -> 源站/服务器
恶意请求 -> SCDN (加速/拦截) -> DROP/记录

OP 说的 SCDN 一类的服务 就是把 WAF 边缘化了 把 WAF 和 CDN 整合到一起 可以理解成在离客户端很近的边缘就拦截了 如果把 WAF 丢到 CDN 前面 CDN 就没意义了

@proxytoworld 回源的请求过 WAF ，如果遭受了大量的 CC 攻击请求，CDN 能抗的住吗？那不是会产生大量的请求费用？

@lambdaq 不自建的，找 CDN 厂商

@MFcliff CDN 只是转发不处理内容，肯定可以。增加费用是没办法的，或者就是找类似 CF 那种有 WAF 的 CDN

@Tink CDN 怎么放 waf 前面，放 waf 后面 cdn 的意义是啥

我们用的 cdn 就是在 waf 后面，

https://cloud.tencent.com/product/teo
你看看是不是这种。

你这种得用带 waf 功能的 CDN 了

@MFcliff 站内很多 cdn 被 cc 刷账单的啊，cdn 都是大厂，先担心钱包在担心能不能扛得住把

大厂基本都支持 限制单个节点的访问频率设置，基本可以扛住 cc 。

但是扛不住刷流量，大部分的流量控制都有延迟，很容易被刷爆。

正常情况下，CDN 应该在 WAF 之前（流量 -> CDN -> WAF ），不过也有带 WAF 功能的 CDN ，比如腾讯云的 EdgeOne ，个人测试后觉得还行。当然各类厂商都有类似的产品。我个人体验的是腾讯云 CDN & EdgeOne ，CDN 的节点比 EdgeOne 多得多，如果你在意这个的话，可以考虑别家的产品。