AxisNow 团队具备 15 年以上的大厂一线安全经验,包括大规模 DDoS、CC 攻击、Web 应用渗透等攻防实践。基于此我们提炼出一套纵深防护模型,构建全方位的防攻击安全能力。

为什么需要纵深防护
现实中的攻击从来不是单一形态的。一次针对业务的攻击,可能同时包含数百 Gbps 的流量洪泛、伪装成正常用户的 CC 请求,以及针对应用漏洞的定向渗透。任何单点防御——无论多强——都存在被绕过或被击穿的可能。
纵深防护的核心思想是:让攻击流量在到达源站之前,逐层被识别、削弱和拦截。越靠外的层,处理的流量越大、判断越粗粒度;越靠内的层,流量越干净、检测越精细。 每一层只需要处理上一层"漏"下来的部分,整体防御成本和误伤率都被控制在最低。
需要说明的是:这是一套参考架构,在这套模型中,各层能力分为三类——AxisNow 已提供、AxisNow 规划中、以及建议通过生态配套(第三方服务或开源方案)补齐的部分。我们会在每一层明确标注,帮助您搭建完整的防护体系。
六层防护,由外而内
第一层:运营商级清洗压制
最外层面对的是最暴力的攻击形态——Tbps 级的容量型 DDoS。这类攻击的目标不是应用,而是带宽本身。应对它需要运营商级的清洗能力:高防服务商在骨干网层面对流量进行牵引与压制,无论是 UDP 反射放大、SYN Flood 还是混合型洪泛,都在流量进入边缘节点之前被吸收和过滤,确保下游链路始终可用。
生态配套:这一层属于运营商、高防主机商和流量清洗商的领域,AxisNow 定位在其后端。您可以在购买市面上的高防 IP 主机或 BGP 清洗服务来消化超大流量。
第二层:网络防火墙
进入边缘节点后,流量首先经过网络层防火墙。这一层工作在 L3/L4,以极高性能对数据包做协议合法性校验、异常报文丢弃和连接状态管理。畸形包、协议违规流量、慢速连接攻击等在这里被清除,只有符合规范的连接才能继续向内。
规划中:AxisNow 计划在边缘扩展这一层能力,提供粗粒度的连接层保护,防止恶意连接消耗应用层资源。
第三层:通用访问控制
到了这一层,流量已经是"合法的网络连接",但未必是"该来的访客"。通用访问控制基于 IP、地理位置、ASN、请求特征等维度执行访问策略——您可以精确控制哪些来源可以访问哪些业务。对于地域性运营的业务(例如只服务特定市场的应用),这一层能直接切掉大量与业务无关的暴露面。
这一层还内置了挑战能力:通过挑战验证区分真人与自动化工具,在不误伤正常用户的前提下拦截攻击。命中策略的恶意来源可以直接在网络防火墙执行 IP 封禁。AxisNow 挑战还可以配置基于流量水位(QPS)自动触发挑战,实现攻击自动开启,停止自动关闭。
已提供:访问控制、挑战验证与 IP 封禁能力均已在 AxisNow 边缘可用。
第四层:速率限制
CC 攻击的本质是"用合法请求耗尽你的资源"。单看每一个请求都是正常的,但频率不正常。速率限制层对请求速率建立多维度画像——按 IP、按会话、按路径——并在超出阈值时执行限速、挑战或拦截。它是对抗应用层洪泛最直接有效的手段,也是保护后端计算资源的关键闸门。对于 API 类业务,启用速率限制尤其有效。
已提供:速率限制能力已在 AxisNow 边缘可用,并可与挑战机制联动。
第五层:防黑
穿过前四层的流量,量已经很小,但危险性可能最高——这里面藏着真正有针对性的渗透尝试。防黑层对请求内容做深度检测:SQL 注入、XSS、命令执行、路径穿越等 Web 应用攻击载荷在这一层被识别和拦截。
生态配套:建议在源站部署开源 WAF(如 ModSecurity、Coraza)与 AxisNow 配合使用。
第六层:源站保护
最内层回答一个根本问题:即使前面所有层都被绕过,攻击者能直接打到源站吗?答案应该是不能。源站保护通过隐藏真实源站 IP、限定源站只接受来自 AxisNow 边缘的回源流量,让源站从公网上"消失"。攻击者找不到目标,绕过防护直击源站这条路径就被彻底封死。
规划中:您可以在源站防火墙配置只允许您的边缘节点 IP 连接。我们还计划推出源站隧道,以零信任方式彻底消除源站的公网暴露。
环绕全局的三种能力
六层防护解决的是"流量怎么被过滤",但一套防御体系要持续有效,还需要三种贯穿所有层次的能力:
日志和情报。 每一层的拦截记录、放行决策、攻击特征都被完整记录并汇聚分析。全球边缘网络上观察到的攻击情报会实时反哺各层策略——在一个节点上出现的新型攻击,其特征会迅速同步到整个网络。防御体系因此具备"见过即免疫"的进化能力。
AI。 静态规则永远滞后于攻击的变化。AI 让防护从"匹配已知特征"走向"发现未知异常":对流量行为持续建模,自动识别规则覆盖不到的攻击模式,实现自动化的检测与响应,并辅助生成和调优防护规则,降低安全运营的人力门槛。
专家。 自动化和 AI 能处理绝大多数场景,但最复杂的对抗最终仍是人与人的对抗。当自动化手段无法研判时,安全专家介入响应与处置——这是整套体系的最后兜底。专家团队持续跟踪攻击手法演进、参与重大攻击事件的实时处置,并将一线经验沉淀为默认防护策略。这意味着每一位用户获得的开箱即用配置,背后是 15 年以上的实战积累。
小结
纵深防护不是六个功能的简单堆叠,而是一个有机的整体:外层消化流量规模,内层保证检测精度,日志情报、AI 与专家能力让整套体系持续进化。AxisNow 提供其中的核心边缘防护层,并与高防服务、开源 WAF 等生态能力协同,共同构成完整的防线。攻击者需要连续突破所有层次才能触及业务,而防御方只需要在任意一层成功识别——这种不对称性,正是纵深防护模型的价值所在。
好文
md有个地方没识别到 
@admin ad
@24x7 #2
这可是我们多年积累下来的真实技术思想。不是纯广告哦
AI这块是怎么工作的
一直在用,非常感谢这个项目,想问一下,节点服务器有 IPv6,CDN 加速支持 IPv6 加速么?和 IPv4 的配置有不一样的地方么?
@酒神 #4 酒神大佬 这种会很费token 我目前内部使用的方案是多个信息侧平台API接入 AI实时分析用户行为IP地区和黑历史 置信度低直接封锁,不容易判定的多源信息交叉校验防止误判,然后整体入侵攻击防护设置了阈值到达以后大模型介入实时阻断,攻击链路截断
低操作的交给本地侧跑就行 检测到攻击需要大模型介入不然会搞不定

@酒神 #4
我们的思路第一步会把ai实现自动化工作流,替代以前的安全和运维人员,分析日志,判断攻击,调优规则。这块是直接快速落地最有价值的地方
之后再是用 ai 强化单点能力,比如每天更新的 ip信誉库分析作为黑名单直接供客户策略引用,比如ai驱动的web漏洞保护。这块可以参考cf怎么做的,学着就就行。
@翠花 #5 感谢信任,v6可以正常代理流量。但是dns路由暂不支持
bd