文档简介:
本文介绍边缘安全加速平台名词术语。
CNAME记录
CNAME ( Canonical Name ),即别名,用于把一个域名解析到另一个域名,当DNS系统在查询CNAME 左面的名称的时候,都会转向CNAME右面的名称再进行查询,一直追踪到最后的PTR或A名称,成功查询后才会做出回应,否则失败。例如,您有一台服务器,使用docs.example.com访问,您又希望通过documents.example.com也能访问该服务器,那么就需要在您的DNS解析服务商添加一条CNAME记录,将documents.example.com指向docs.example.com,添加该条CNAME记录后,所有访问documents.example.com的请求都会被转到docs.example.com,获得相同的内容。
DNS
DNS即Domain Name System,是域名解析服务的意思。它在互联网的作用是:把域名转换成为网络可以识别的ip地址。人们习惯记忆域名,但机器间互相只认IP地址,域名与IP地址之间是一一对应的,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的。比如:上网时输入的www.baidu.com会自动转换成为220.181.112.143。
常见的DNS解析服务商有:阿里云解析,万网解析,DNSPod,新网解析,Route53(AWS),Dyn,Cloudflare等。
边缘安全节点
边缘安全节点是相对于网络的复杂结构而提出的一个概念,指距离最终用户接入具有较少的中间环节的网络节点,对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上,以此来提高网站访问的速度和质量。
回源HOST
回源host决定回源请求访问到源站上的具体某个站点。
例1:源站是域名源站为www.a.com,回源host为www.b.com,那么实际回源是请求到www.a.com解析到的IP,对应的主机上的站点www.b.com。
例2:源站是IP源站为1.1.1.1,回源host为www.b.com,那么实际回源的是1.1.1.1对应的主机上的站点www.b.com。
协议回源
协议回源指回源时使用的协议和客户端访问资源时的协议保持一致,即如果客户端使用 HTTPS 方式请求资源,当CDN节点上未缓存该资源时,节点会使用相同的 HTTPS 方式回源获取资源;同理如果客户端使用 HTTP 协议的请求,CDN节点回源时也使用HTTP协议。
过滤参数
过滤参数是指当URL请求中带“?”并携带参数请求到CDN节点的时候,CDN节点在收到该请求后可根据配置决定是否将该带参数的URL请求回源站。当开启过滤参数时,该请求到CDN节点后会截取到没有参数的URL向源站请求。并且CDN节点仅保留一份副本。如果关闭该功能,则每个不同的URL都缓存不同的副本在CDN的节点上。
Web安全
相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。
正则防护
经验规则集,自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。
网站白名单
通过设置网站白名单,可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测,直接访问源站服务器。
IP黑名单
支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。
0Day漏洞
0Day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。
CC安全防护
根据访问者的URL,频率、行为等访问特征,智能识别CC攻击,迅速识别CC攻击并进行拦截,在大规模CC攻击时可以避免源站资源耗尽,保证企业网站的正常访问。
防敏感信息泄露
帮助网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(例如身份证号、银行卡号、电话号码和敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。
网络爬虫
又称为网页蜘蛛,网络机器人,是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。
挖矿
借助大量计算能力来计算产生虚拟货币。
多源评估
通过对多种输入信息源数据动态地进行综合分析与评估的能力。
访问主体
能访问客体的主动实体。
访问客体
能与主体建立访问连接的被动实体。
SSL证书
SSL 证书(Secure Sockets Layer)指一种安全协议,目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议,可安装在服务器上,实现数据传输加密。
云工作负载
指云环境中从应用程序层到管理程序或处理的自包含组件(如堆栈中的虚拟机和容器)的整个应用程序堆栈。
访问控制
确保对资产的访问是基于业务和安全要求进行授权和限制的手段。
零信任
一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始,通过持续的身份鉴别和监测评估、最小权限原则等,动态调整访问策略和权限,实施精细化的访问控制和安全防护。
策略引擎
负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问。
TCP 协议
TCP 协议指传输控制协议(Transmission Control Protocol),是一种面向连接的、可靠的、基于字节流的传输层通信协议,由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层(传输层),连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。
UDP 协议
Internet 协议集支持一个无连接的传输协议,该协议称为用户数据包协议(UDP,User Datagram Protocol)。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 6 Internet 的传输层有两个主要协议,互为补充。无连接的是 UDP,它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外,几乎没有做什么特别的事情。 面向连接的是 TCP,该协议几乎做了所有的事情。
无服务器 Serverless
无服务器是一种云原生开发模型,可使开发人员专注构建和运行应用,而无需管理服务器。无服务器方案中仍然有服务器,但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后,无服务器应用即可响应需求,并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此,当无服务器功能闲置时,不会产生费用。
函数即服务 FaaS
函数即服务(FaaS:Function as a service)是一种事件驱动计算执行模型;开发人员编写代码逻辑,部署到完全由平台管理的函数运行时中,然后按需执行。与 BaaS 不同,FaaS 可让开发人员拥有更大的掌控权力,他们可以创建自定义应用,而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言,这些函数运行时具有以下特点:
-
无状态 - 让数据集成变得更加简单。
-
运行周期短 - 可以只运行非常短的时间。
-
事件触发 - 可在需要时自动运行。
这样,您只用为所需的计算能力付费,而不必管"闲置"的应用和服务器。 使用 FaaS 时,开发人员可以通过触发器调用无服务器应用。
触发器
用户绑定触发器和对应函数,来实现多种调用效果。目前支持定时触发器以及HTTP触发器。
HTTP路由
用户绑定HTTP触发器和对应函数后,访问安全与加速服务中托管域名的特定路由,即可在边缘节点调用起对应函数计算逻辑。
KV存储
OmniKV边缘存储提供了Key-Value型边缘存储服务,使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助OmniKV,无服务器应用程序可以将数据存放在靠近用户的位置,避免从云端或本地解决方案中检索信息的需要,从而实现快速响应。用户快速可以构建高度动态的API和网站服务,部署轻量型的API网关、BaaS服务。
运行时
用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言,目前支持JavaScript。
开发者工具
开发人员使用命令行工具,在本地完成函数编写,构建,灰度上线。
