2018年4月11-12日，2018亞太CDN峰會在北京隆重召開，大會由亞太CDN領袖論壇、電視云論壇、短視頻論壇、視頻云論壇、新技術論壇、運營商論壇、國際云論壇等7大部分組成。在視頻云論壇上，騰訊云CDN技術專家團隊負責人黎文彥作了題為《騰訊云SCDN：云計算時代的安全和CDN解決方案》的主題致辭。

圖為：騰訊云CDN技術專家團隊負責人黎文彥

一、騰訊CDN 3大優勢解析

黎文彥首先介紹了一下騰訊云CDN的發展歷程，2017年（騰訊云CDN元年，靜態內容平臺）；2009年（第一個下載大客戶騰訊游戲）；2010年（流媒體平臺搭載）；2013年（騰訊云CDN對外服務）；2014年（自建CDN帶寬量突破20T）；2016年（云CDN帶寬年增長達到300%）；2018年（儲備帶寬正式超過100T）。

據黎文彥介紹，騰訊CDN具有3大優勢：

第一，騰訊自有業務形態豐富、完整，從國內甚至全球來看都是比較少見的，包括QQ、微信一些靜態類下載、網站素材下載、大游戲包下載、騰訊視頻點播/直播，還包括早期的電商和現在的金融業務，所有業務形態都包括在內。據統計，國內大概Top100視頻客戶80%已經加入到了騰訊云。

第二， 騰訊云一直強調穩定性和可用性。騰訊在穩定性和可用性上的思路是：1）部署隔離。例如下載類客戶和點播/直播業務形態都是分開部署的，并且有些重要的客戶完全物理上獨立。2）騰訊有近20年的海量運營經驗，使得在容災切換上積累了非常豐富的經驗。例如，網絡的波動對CDN來說非常關鍵，騰訊所有業務一起聯動，對全國網絡或全球網絡進行大數據分析，能夠在第一時間內判斷網絡擁塞狀況，做到秒級切換，用戶無感知。3）安全防護。4）低水位，CDN負載較低。騰訊CDN始終維持在相對低的水位，所以任何一個突發狀況都能從容應對。

第三，性能強，2018年2月份，Gartenr核心指標領先，如加速能力、流媒體支持能力、內容管理能力等核心指標領先于國內廠商。1）CDN架構，包括緩沖、負載均衡，所有CDN傳統架構都是自主研發的。2）操作系統，騰訊Tlinux目前超過100萬內核。3）協議棧優化是CDN一個關鍵武器，通過近幾年TCP協議戰，包括單邊和雙邊優化，TCP協議棧優化效果在國內目前遙遙領先。4）對新的quic支持開始上線。5）TGP圖片/超分辨率。6）
智享高清。

二、騰訊云在安全領域的布局

1、騰訊云WAF

在WAF方面，面對XSS跨站腳本/SQL注入/非法HTTP請求/webshell、開源漏洞/命令注入等等安全問題，傳統的解決方案基本都是基于規則匹配、規則定期維護，不能保證誤報率和漏報率。

騰訊在WAF應用安全里有怎樣的積累呢？黎文彥表示，首先，騰訊自有業務19年來基本上每天攻擊超過上千起，所有自有業務防護經驗和數據沉淀在國內是非常龐大的庫；其次，騰訊有七大安全實驗室，始終專注安全技術研究和一些防護體系搭建，目前已經涵蓋到互聯網整個鏈條所有領域；再次，WAF基于機器學習一些語義理解新的WAF引擎目前全面上線。

2、CC/DDoS集中式的高防技術

從DDoS被攻擊國家來看，中國已經成為重災區，85%的攻擊發生在中國，UDP flood/ACK flood占95%。目前超過100G以上的攻擊愈發頻繁，占到6%左右，200G以上攻擊接近3%。云主機廉價易用，IoT逐漸成熟，這兩個基礎條件使得僵尸主機有越來越多的溫床。

黎文彥介紹了騰訊云CC/DDoS集中式的高防技術。DDoS高防架構：外部流量進來以后有一個分光器，清洗中心和檢測中心背后都是大數據分析能力，清洗完畢之后才導入到IaaS上來。目前騰訊在高防節點上全程有20個節點。騰訊正在雄安建設全新的防護中心，把大數據和AI等能力注入到安全中心來，目前已經建設成1T級別的BGP帶寬，未來將持續擴大。

三、CDN和安全如何結合？

如何將CDN加速和安全防護結合起來呢？騰訊云推出了SCDN解決方案。SCDN到底要解決什么問題？第一，CDN單節點要具備最大的400G防護能力；第二，與高防T級節點聯動的快速切換能力；第三，被DDoS攻擊的域名識別能力。

圖為：騰訊云SCDN整體架構

1）高性能CC防護技術

以往的做法，是在應用層，針對單個域名具體的url做統計。當超過某個提前設置好的閾值，就拒絕。這種模式下，單臺設備能到10萬QPS就很不錯了。

但是在動輒百萬千萬的CC攻擊面前，10萬嚴重不夠。具體到我們的做法是這樣的：在Tlinux內核中，把判斷過濾的邏輯，前置，并且重點優化了查找算法。并提供了黑、白名單兩種模式。額外的，也支持HTTPs的解析。整個下來，單機的能力就有上百倍的提升。輕松達到硬件的極限。

2）高性能DDoS防護

數據區分配比較晚，對性能提升比較大，這是常規DDoS的防護辦法，大概單機器能到100萬包，實際上這種能力遠遠不夠。騰訊云SCDN在協議棧前面做了前置判斷，算法改進，對往返包做了非常大的優化。經過這些技術優化，極限是物理網卡。

3）與高防聯動的調度

單節點防護能力如何提升？CC是非常正常的請求，如何防止這種請求，在應用層判斷這個域名來的請求超過某個閾值時就拒絕。目前大部分市面上服務器在應用層做這個事情的話，10萬QPS就到極限了。騰訊云SCDN在內核層來做，首先把CC的判斷前置到最前面的節點；改進很多算法，有黑名單和白名單的過濾，現在也支持HTTPs的解析。這種方式相對應用層來說，至少是上百倍的性能提升，輕輕松松到達硬件的極限。

4）DDoS攻擊域名識別

未來防止攻擊，一個域名獨享一個IP是可以的，但代價非常大。比如騰訊100萬個域名，如果都要分配100個節點的話，就是100個IP地址，需要有1億個地址，基本沒有可行性。騰訊云SCDN的做法是首先盡量充分獨立部署，當然復用肯定是有的，最關鍵的是基于大數據分析目前做到分鐘級別快速識別，有了這些才為后續CDN上客戶的分級、商業化作出最關鍵的一步。