Cloudflare是一家提供網站安全管理、性能優化等相關技術的跨國科技企業,Cloudflare可以幫助受保護站點抵禦包括分布式拒絕服務攻擊(DDos, Distributed Denial of Service)在内的大多數網絡攻擊,确保該網站長期在線,阻止網絡攻擊、垃圾郵件等,同時提升網站的性能、訪問速度以改善訪客體驗。
Cloudflare提供用戶免費使用,是防禦DDos的最佳解決方案之一,Cloudflare的網絡容量幾乎等于其他6家領先的DDoS提供商的總清洗容量的總和,最令人驚訝的是,Cloudflare在包含免費計劃的所有服務計劃中提供的DDoS防禦服務均不計容量且不設上限。
免費的Cloudflare防火牆可以設置5條規則,設置界面靈活且直觀,可以對網站應用達到細粒度控制。
防火牆的執行順序就是右側的序号,拖動序号可修改防火牆規則的執行順序。
挑戰解決率 (CSR)可以評估每個防火牆規則的優劣,這個指标的含義是指被解決了發出挑戰的百分比,公式為CSR=解決的挑戰數量/發出的挑戰數量,這個數值越低越好。将鼠标懸停在CSR上可以顯示已發布和解決的CAPTCHA挑戰的數量。
越低的CSR意味着越少向實際人類發出CAPTCHA挑戰,降低CSR是防火牆規則的目标,應該不斷調整防火牆規則來降低CSR數值。當CSR比率為0%的時候,意味着全部請求都是非人類發出的,這時候可以考慮将規則操作更改為阻止(Block)。
很多人使用了免費的Cloudflare,但是後台功能卻不會使用,特别其功能強大的防火牆功能,不用一下實在是暴殄天物,下面就介紹一些常見的Cloudflare防火牆的設置規則。
1、根據IP信譽阻止請求
防火牆表達式
(not cf.client.bot and cf.threat_score gt 2)
執行操作
質詢(Captcha)
解釋:
cf.threat_score(威脅分數)表示從0到100的Cloudflare威脅評分,其中0表示低風險。大于10的值可能代表垃圾郵件發送者或機器人,大于40的值表示互聯網上的不良行為者。一個常見的建議是質詢分數高于10的請求并阻止分數高于50的請求。
cf.client.bot(合法機器人爬蟲)當數值為true,标識來自良好的機器人或爬蟲的請求。
2、選擇性防盜鍊
防火牆表達式
(not http.referer contains "williamlong.info")
執行操作
阻止
解釋:
引用方(http.referer)表示HTTP Referer請求頭,其中包含鍊接到當前請求頁面的網頁地址。上述表達式的意思是,排除指定網站之外,其他網站的盜鍊均阻止。如果使用這個規則,需要在Scrape Shield應用程序中禁用熱鍊接保護。
3、登陸保護
防火牆表達式
(not ip.src in {202.96.134.0/24} and http.request.uri.path contains "/wp-admin")
執行操作
阻止
解釋:當客戶端IP地址不在指定訪問,并且請求的URI路徑包含後台管理路徑時候,阻止訪問。
4、根據ASN調整規則
防火牆表達式
(ip.geoip.asnum in {37963 45090 55990} and not cf.client.bot)
執行操作
質詢(Captcha)
解釋:
ASN(ip.geoip.asnum)表示與客戶端IP地址關聯的自治系統 (Autonomous System) 編号。
上面的那條防火牆規則,可以屏蔽阿裡雲、騰訊雲和華為雲這三家雲服務商的IP地址的訪問,常言道,同行是冤家,使用阿裡雲、騰訊雲和華為雲來抓取你網站的,通常都不是善類,一般情況下都是惡意采集、惡意抓取、CC攻擊和DDOS攻擊等等,通過ASN屏蔽可以一次屏蔽數百萬IP地址,非常高效。
好了,以上就是常見的Cloudflare防火牆用例,更為詳細的技術文檔,可以參見Cloudflare官方文檔(英文)。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!