静态资源防刷：CDN 缓存与带宽鉴权要点 - 数据库慢查询防护：超时、熔断与连接池上限设计, 恶意登录撞库：频控、风控与密码策略的组合方案, 敏感信息泄露怎么防：脱敏、日志治理与权限控制, 容灾演练：RTO/RPO 与演练脚本要点, 日志写爆磁盘：采样、分级与异步写入方案

静态资源防刷：CDN 缓存与带宽治理的组合策略告警降噪

围绕“静态资源防刷：CDN 缓存与带宽鉴权要点”，本文从业务风险、架构要点、落地流程与验收指标四个维度拆解，帮助你快速形成可执行的防护方案。

核心能力与落地要点

对内容站而言，最容易导致“看起来被打”的不是带宽，而是应用资源被耗尽，例如数据库连接池、模板渲染 CPU、日志 I/O。监控要覆盖这些瓶颈，否则定位会变慢。

WAF 规则上线建议走“观察→修正→加严”三步。先在观察模式收集命中与误报，再逐条放行误报、补齐漏报，最后再逐渐切到阻断。直接全量阻断很容易引发生产事故。

回源链路要限制“回源路径”。把回源接口与敏感接口（管理后台、登录、上传）分开治理，对敏感路径给更严格的限速与鉴权，避免绕过边缘层后直接命中高价值目标。

动态阈值比固定阈值更可靠。固定 100 次/分钟在低峰期可能太松，在高峰期又会误伤。更好的方式是用最近 5~10 分钟的流量基线计算阈值，再叠加白名单与灰度开关，做到“先观测，后收紧”。

Q：如何避免“防护开得越狠越误伤”？

A：用指标驱动策略：先观测再收紧，优先做分层与限速，再逐步加入更细粒度规则。

Q：为什么仅靠单一防护组件不够？

A：真实攻击往往组合出现（洪峰、慢速、绕过、应用层混合），需要入口、协议、业务、数据多个层面的联动。