Cloudflare是一家提供網站安全管理、性能優化等相關技術的跨國科技企業，Cloudflare可以幫助受保護站點抵禦包括分布式拒絕服務攻擊(DDos, Distributed Denial of Service)在内的大多數網絡攻擊，确保該網站長期在線，阻止網絡攻擊、垃圾郵件等，同時提升網站的性能、訪問速度以改善訪客體驗。

Cloudflare提供用戶免費使用，是防禦DDos的最佳解決方案之一，Cloudflare的網絡容量幾乎等于其他6家領先的DDoS提供商的總清洗容量的總和，最令人驚訝的是，Cloudflare在包含免費計劃的所有服務計劃中提供的DDoS防禦服務均不計容量且不設上限。

免費的Cloudflare防火牆可以設置5條規則，設置界面靈活且直觀，可以對網站應用達到細粒度控制。

防火牆的執行順序就是右側的序号，拖動序号可修改防火牆規則的執行順序。

挑戰解決率 (CSR)可以評估每個防火牆規則的優劣，這個指标的含義是指被解決了發出挑戰的百分比，公式為CSR=解決的挑戰數量/發出的挑戰數量，這個數值越低越好。将鼠标懸停在CSR上可以顯示已發布和解決的CAPTCHA挑戰的數量。

越低的CSR意味着越少向實際人類發出CAPTCHA挑戰，降低CSR是防火牆規則的目标，應該不斷調整防火牆規則來降低CSR數值。當CSR比率為0%的時候，意味着全部請求都是非人類發出的，這時候可以考慮将規則操作更改為阻止（Block）。

很多人使用了免費的Cloudflare，但是後台功能卻不會使用，特别其功能強大的防火牆功能，不用一下實在是暴殄天物，下面就介紹一些常見的Cloudflare防火牆的設置規則。

1、根據IP信譽阻止請求

防火牆表達式

(not cf.client.bot and cf.threat_score gt 2)

執行操作

質詢（Captcha）

解釋：

cf.threat_score（威脅分數）表示從0到100的Cloudflare威脅評分，其中0表示低風險。大于10的值可能代表垃圾郵件發送者或機器人，大于40的值表示互聯網上的不良行為者。一個常見的建議是質詢分數高于10的請求并阻止分數高于50的請求。

cf.client.bot（合法機器人爬蟲）當數值為true，标識來自良好的機器人或爬蟲的請求。

2、選擇性防盜鍊

防火牆表達式

(not http.referer contains "williamlong.info")

執行操作

阻止

解釋：

引用方（http.referer）表示HTTP Referer請求頭，其中包含鍊接到當前請求頁面的網頁地址。上述表達式的意思是，排除指定網站之外，其他網站的盜鍊均阻止。如果使用這個規則，需要在Scrape Shield應用程序中禁用熱鍊接保護。

3、登陸保護

防火牆表達式

(not ip.src in {202.96.134.0/24} and http.request.uri.path contains "/wp-admin")

執行操作

阻止

解釋：當客戶端IP地址不在指定訪問，并且請求的URI路徑包含後台管理路徑時候，阻止訪問。

4、根據ASN調整規則

防火牆表達式

(ip.geoip.asnum in {37963 45090 55990} and not cf.client.bot)

執行操作

質詢（Captcha）

解釋：

ASN（ip.geoip.asnum）表示與客戶端IP地址關聯的自治系統 (Autonomous System) 編号。

上面的那條防火牆規則，可以屏蔽阿裡雲、騰訊雲和華為雲這三家雲服務商的IP地址的訪問，常言道，同行是冤家，使用阿裡雲、騰訊雲和華為雲來抓取你網站的，通常都不是善類，一般情況下都是惡意采集、惡意抓取、CC攻擊和DDOS攻擊等等，通過ASN屏蔽可以一次屏蔽數百萬IP地址，非常高效。

好了，以上就是常見的Cloudflare防火牆用例，更為詳細的技術文檔，可以參見Cloudflare官方文檔（英文）。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!