全国工商网站查询企业信息h5网页制作代码

1 WAF

WAF（Web Application Firewall） 是一种专门用于保护 Web 应用程序的网络安全技术，通过监控和过滤 HTTP/HTTPS 流量，防御针对 Web 应用的恶意攻击。以下是关于 WAF 的详细介绍：

1.1WAF 的核心功能

• 攻击防护：
  拦截常见的 Web 攻击，例如：
  • SQL 注入（通过恶意 SQL 语句窃取数据）
  • 跨站脚本（XSS）（注入恶意脚本攻击用户）
  • 文件包含/目录遍历（非法访问服务器文件）
  • CSRF/DDoS 攻击（伪造请求或流量洪泛攻击）
• 规则引擎：
  基于预定义规则（如 OWASP Top 10）或自定义规则，识别并阻断可疑请求。
• 流量监控与分析：
  实时监控流量，提供攻击日志和可视化报表，帮助分析威胁趋势。
• 防护模式：
  支持 主动拦截（直接阻断攻击）或 被动检测（仅记录攻击行为）。

1.2 WAF 的部署类型

• 硬件型 WAF：
  部署在本地网络的物理设备，适合对性能要求高的大型企业。
• 软件型 WAF：
  以软件形式集成到服务器（如 ModSecurity），灵活但依赖服务器资源。
• 云 WAF：
  通过 SaaS 模式提供（如 Cloudflare、阿里云 WAF），无需部署硬件，适合中小型企业和云原生应用。

1.3 WAF 的应用场景

• 保护敏感数据：
  适用于金融、电商、医疗等行业，防止用户数据泄露。
• 合规要求：
  满足 GDPR、PCI DSS 等法规对 Web 安全的要求。
• API 防护：
  保护 RESTful API 或 GraphQL 接口，防止恶意调用。
• 防爬虫与滥用：
  阻止恶意爬虫、暴力破解或垃圾注册。

1.4 主流 WAF 产品

• 开源方案：
  • ModSecurity：与 Nginx/Apache 集成的开源 WAF，高度可定制。
  • NAXSI：轻量级 WAF，专为 Nginx 设计。
• 商业方案：
  • Cloudflare WAF：提供云防护和 DDoS 缓解。
  • Imperva：企业级 WAF，支持复杂规则和机器学习。
  • 阿里云 WAF：集成于阿里云生态，适合国内业务。
• 云原生服务：
  AWS WAF、Azure WAF 等，与云平台无缝集成。

1.5 如何选择 WAF？

• 业务需求：
  根据 Web 应用的规模、敏感性和合规要求选择类型（硬件/软件/云）。
• 性能影响：
  确保 WAF 不会显著增加延迟（如云 WAF 通常优化较好）。
• 易用性：
  界面是否友好？是否支持自定义规则和自动化更新？
• 成本：
  开源方案成本低但需技术维护；商业方案提供全面支持但费用较高。

1.6 注意事项

• 误报与漏报：
  WAF 可能误判正常流量为攻击（需调整规则）或漏过新型攻击（需更新规则库）。
• 多层防护：
  WAF 需与防火墙（FW）、入侵检测系统（IDS）等配合，形成纵深防御。
• 定期维护：
  更新规则库、分析日志、优化策略，以应对不断演变的攻击手法。

总结：WAF 是 Web 安全的关键防线，能有效降低数据泄露和业务中断风险。选择时需结合自身业务特点和技术能力，确保安全性与性能平衡。

1.7 waf总结和演示

原理：web应用防火墙，旨在提供保护

影响：常规web安全测试手段受到拦截

演示：这里使用哥斯拉测试用IIS搭建的网站，waf选择D盾。

未安装D盾防护模块测试如下图所示：

安装D盾防护模块测试如下图所示：

其他方式搭建网站和其他waf这里不再一一测试。

2 CDN

CDN（Content Delivery Network，内容分发网络）是一种分布式服务器网络，通过将内容缓存到全球多个节点，使用户能够从最近的服务器获取数据，从而加速网站访问、提升稳定性并减少源服务器负载。以下是CDN的核心要点：

2.1 核心原理

• 边缘节点：CDN在全球部署多个边缘服务器（PoP点），缓存静态资源（如图片、视频、CSS/JS文件）。
• 就近访问：用户请求被自动路由到地理距离最近的节点，降低延迟。
• 回源机制：若边缘节点无缓存，则从源服务器拉取内容并缓存。

2.2 关键功能

• 加速访问：减少网络延迟，提升加载速度。
• 负载均衡：分散流量，避免源服务器过载。
• 安全防护：提供DDoS防御、WAF（Web应用防火墙）等。
• 带宽优化：通过压缩和缓存减少带宽消耗。

2.3 典型应用场景

• 静态资源分发：网页、图片、视频流（如Netflix、YouTube）。
• 动态内容加速：API、实时数据（通过路由优化）。
• 软件下载：游戏更新包、APP安装文件。
• 直播与点播：低延迟视频传输。

2.4 优势

• 用户体验提升：降低延迟，减少缓冲。
• 高可用性：节点冗余，避免单点故障。
• 全球化覆盖：尤其利于跨国业务。
• 成本节约：减少源服务器带宽费用。

2.5 主流CDN服务商

• 商业服务：Cloudflare、Akamai、AWS CloudFront、阿里云CDN、腾讯云CDN。
• 开源方案：Nginx缓存、Varnish、Traefik。

2.6 技术实现

• DNS解析：通过智能DNS将用户导向最优节点。
• 缓存策略：设置TTL（过期时间），平衡新鲜度与效率。
• 协议优化：支持HTTP/2、QUIC、Brotli压缩等。

2.7 注意事项

• 缓存更新：需合理配置，避免内容过期。
• 成本控制：按流量/请求计费，需监控用量。
• 安全性：确保HTTPS加密，防范缓存污染。

2.8cdn安全测试和演示

原理：内容分发服务，旨在提高访问速度

影响：隐藏真实源IP，导致对目标测试错误

演示：阿里云备案名全局CDN加速服务，windows+BT宝塔面板+CDN服务

第一步：配置宝塔的域名绑定，如下图所示：

第二步：全站加数CDN

• 配置全栈cdn加速：

  • 等待几分钟生效

第三步：添加DNS CNAME记录

• 根据配置向导，配置cname：配置生效如下图所示，

• cmd 命令测试

  C:\Users\Administrator>ping cdn.gaogzhen.com正在 Ping cdn.gaogzhen.com [27.221.44.52] 具有 32 字节的数据:
  来自 27.221.44.52 的回复: 字节=32 时间=8ms TTL=56
  来自 27.221.44.52 的回复: 字节=32 时间=8ms TTL=56
  

  • cdn生效

• 在线平台测试，如下图哦所示：

如果对IP：27.221.44.52进行安全测试，会失败，不是网站的真实IP；如果对该网站进行测试，需要绕过cdn找到真实（源）ip地址，后面讲解。

测试一个网站是否用开启cdn加速，通过在线平台ping测试，如果解析IP多个不一致，说明开启cdn加速。

结语

❓QQ:806797785

⭐️仓库地址：https://gitee.com/gaogzhen

⭐️仓库地址：https://github.com/gaogzhen

[1]D盾官网[CP/OL].

[2]站长工具-ping检测[CP/OL].