2018年4月11-12日，2018亞太CDN峰會在北京隆重召開，大會由亞太CDN領(lǐng)袖論壇、電視云論壇、短視頻論壇、視頻云論壇、新技術(shù)論壇、運(yùn)營商論壇、國際云論壇等7大部分組成。在視頻云論壇上，騰訊云CDN技術(shù)專家團(tuán)隊(duì)負(fù)責(zé)人黎文彥作了題為《騰訊云SCDN：云計(jì)算時(shí)代的安全和CDN解決方案》的主題致辭。

圖為：騰訊云CDN技術(shù)專家團(tuán)隊(duì)負(fù)責(zé)人黎文彥

一、騰訊CDN 3大優(yōu)勢解析

黎文彥首先介紹了一下騰訊云CDN的發(fā)展歷程，2017年（騰訊云CDN元年，靜態(tài)內(nèi)容平臺）；2009年（第一個(gè)下載大客戶騰訊游戲）；2010年（流媒體平臺搭載）；2013年（騰訊云CDN對外服務(wù)）；2014年（自建CDN帶寬量突破20T）；2016年（云CDN帶寬年增長達(dá)到300%）；2018年（儲備帶寬正式超過100T）。

據(jù)黎文彥介紹，騰訊CDN具有3大優(yōu)勢：

第一，騰訊自有業(yè)務(wù)形態(tài)豐富、完整，從國內(nèi)甚至全球來看都是比較少見的，包括QQ、微信一些靜態(tài)類下載、網(wǎng)站素材下載、大游戲包下載、騰訊視頻點(diǎn)播/直播，還包括早期的電商和現(xiàn)在的金融業(yè)務(wù)，所有業(yè)務(wù)形態(tài)都包括在內(nèi)。據(jù)統(tǒng)計(jì)，國內(nèi)大概Top100視頻客戶80%已經(jīng)加入到了騰訊云。

第二， 騰訊云一直強(qiáng)調(diào)穩(wěn)定性和可用性。騰訊在穩(wěn)定性和可用性上的思路是：1）部署隔離。例如下載類客戶和點(diǎn)播/直播業(yè)務(wù)形態(tài)都是分開部署的，并且有些重要的客戶完全物理上獨(dú)立。2）騰訊有近20年的海量運(yùn)營經(jīng)驗(yàn)，使得在容災(zāi)切換上積累了非常豐富的經(jīng)驗(yàn)。例如，網(wǎng)絡(luò)的波動對CDN來說非常關(guān)鍵，騰訊所有業(yè)務(wù)一起聯(lián)動，對全國網(wǎng)絡(luò)或全球網(wǎng)絡(luò)進(jìn)行大數(shù)據(jù)分析，能夠在第一時(shí)間內(nèi)判斷網(wǎng)絡(luò)擁塞狀況，做到秒級切換，用戶無感知。3）安全防護(hù)。4）低水位，CDN負(fù)載較低。騰訊CDN始終維持在相對低的水位，所以任何一個(gè)突發(fā)狀況都能從容應(yīng)對。

第三，性能強(qiáng)，2018年2月份，Gartenr核心指標(biāo)領(lǐng)先，如加速能力、流媒體支持能力、內(nèi)容管理能力等核心指標(biāo)領(lǐng)先于國內(nèi)廠商。1）CDN架構(gòu)，包括緩沖、負(fù)載均衡，所有CDN傳統(tǒng)架構(gòu)都是自主研發(fā)的。2）操作系統(tǒng)，騰訊Tlinux目前超過100萬內(nèi)核。3）協(xié)議棧優(yōu)化是CDN一個(gè)關(guān)鍵武器，通過近幾年TCP協(xié)議戰(zhàn)，包括單邊和雙邊優(yōu)化，TCP協(xié)議棧優(yōu)化效果在國內(nèi)目前遙遙領(lǐng)先。4）對新的quic支持開始上線。5）TGP圖片/超分辨率。6）
智享高清。

二、騰訊云在安全領(lǐng)域的布局

1、騰訊云WAF

在WAF方面，面對XSS跨站腳本/SQL注入/非法HTTP請求/webshell、開源漏洞/命令注入等等安全問題，傳統(tǒng)的解決方案基本都是基于規(guī)則匹配、規(guī)則定期維護(hù)，不能保證誤報(bào)率和漏報(bào)率。

騰訊在WAF應(yīng)用安全里有怎樣的積累呢？黎文彥表示，首先，騰訊自有業(yè)務(wù)19年來基本上每天攻擊超過上千起，所有自有業(yè)務(wù)防護(hù)經(jīng)驗(yàn)和數(shù)據(jù)沉淀在國內(nèi)是非常龐大的庫；其次，騰訊有七大安全實(shí)驗(yàn)室，始終專注安全技術(shù)研究和一些防護(hù)體系搭建，目前已經(jīng)涵蓋到互聯(lián)網(wǎng)整個(gè)鏈條所有領(lǐng)域；再次，WAF基于機(jī)器學(xué)習(xí)一些語義理解新的WAF引擎目前全面上線。

2、CC/DDoS集中式的高防技術(shù)

從DDoS被攻擊國家來看，中國已經(jīng)成為重災(zāi)區(qū)，85%的攻擊發(fā)生在中國，UDP flood/ACK flood占95%。目前超過100G以上的攻擊愈發(fā)頻繁，占到6%左右，200G以上攻擊接近3%。云主機(jī)廉價(jià)易用，IoT逐漸成熟，這兩個(gè)基礎(chǔ)條件使得僵尸主機(jī)有越來越多的溫床。

黎文彥介紹了騰訊云CC/DDoS集中式的高防技術(shù)。DDoS高防架構(gòu)：外部流量進(jìn)來以后有一個(gè)分光器，清洗中心和檢測中心背后都是大數(shù)據(jù)分析能力，清洗完畢之后才導(dǎo)入到IaaS上來。目前騰訊在高防節(jié)點(diǎn)上全程有20個(gè)節(jié)點(diǎn)。騰訊正在雄安建設(shè)全新的防護(hù)中心，把大數(shù)據(jù)和AI等能力注入到安全中心來，目前已經(jīng)建設(shè)成1T級別的BGP帶寬，未來將持續(xù)擴(kuò)大。

三、CDN和安全如何結(jié)合？

如何將CDN加速和安全防護(hù)結(jié)合起來呢？騰訊云推出了SCDN解決方案。SCDN到底要解決什么問題？第一，CDN單節(jié)點(diǎn)要具備最大的400G防護(hù)能力；第二，與高防T級節(jié)點(diǎn)聯(lián)動的快速切換能力；第三，被DDoS攻擊的域名識別能力。

圖為：騰訊云SCDN整體架構(gòu)

1）高性能CC防護(hù)技術(shù)

以往的做法，是在應(yīng)用層，針對單個(gè)域名具體的url做統(tǒng)計(jì)。當(dāng)超過某個(gè)提前設(shè)置好的閾值，就拒絕。這種模式下，單臺設(shè)備能到10萬QPS就很不錯(cuò)了。

但是在動輒百萬千萬的CC攻擊面前，10萬嚴(yán)重不夠。具體到我們的做法是這樣的：在Tlinux內(nèi)核中，把判斷過濾的邏輯，前置，并且重點(diǎn)優(yōu)化了查找算法。并提供了黑、白名單兩種模式。額外的，也支持HTTPs的解析。整個(gè)下來，單機(jī)的能力就有上百倍的提升。輕松達(dá)到硬件的極限。

   
 

2）高性能DDoS防護(hù)

數(shù)據(jù)區(qū)分配比較晚，對性能提升比較大，這是常規(guī)DDoS的防護(hù)辦法，大概單機(jī)器能到100萬包，實(shí)際上這種能力遠(yuǎn)遠(yuǎn)不夠。騰訊云SCDN在協(xié)議棧前面做了前置判斷，算法改進(jìn)，對往返包做了非常大的優(yōu)化。經(jīng)過這些技術(shù)優(yōu)化，極限是物理網(wǎng)卡。

3）與高防聯(lián)動的調(diào)度

單節(jié)點(diǎn)防護(hù)能力如何提升？CC是非常正常的請求，如何防止這種請求，在應(yīng)用層判斷這個(gè)域名來的請求超過某個(gè)閾值時(shí)就拒絕。目前大部分市面上服務(wù)器在應(yīng)用層做這個(gè)事情的話，10萬QPS就到極限了。騰訊云SCDN在內(nèi)核層來做，首先把CC的判斷前置到最前面的節(jié)點(diǎn)；改進(jìn)很多算法，有黑名單和白名單的過濾，現(xiàn)在也支持HTTPs的解析。這種方式相對應(yīng)用層來說，至少是上百倍的性能提升，輕輕松松到達(dá)硬件的極限。

4）DDoS攻擊域名識別

未來防止攻擊，一個(gè)域名獨(dú)享一個(gè)IP是可以的，但代價(jià)非常大。比如騰訊100萬個(gè)域名，如果都要分配100個(gè)節(jié)點(diǎn)的話，就是100個(gè)IP地址，需要有1億個(gè)地址，基本沒有可行性。騰訊云SCDN的做法是首先盡量充分獨(dú)立部署，當(dāng)然復(fù)用肯定是有的，最關(guān)鍵的是基于大數(shù)據(jù)分析目前做到分鐘級別快速識別，有了這些才為后續(xù)CDN上客戶的分級、商業(yè)化作出最關(guān)鍵的一步。