会员制购物APP
让生活更精致更美好!
Hi,请  登录  或  注册
当前位置:嘟买买博客 互联网 科技星球 正文

Cloudflare从入门到精通:第二篇 Cloudflare DNS 快速入手 赛博域名

2024-11-25 分类:科技星球 阅读() 评论(0)

📜前言

Cloudflare 的很多服务需要你有域名托管在 Cloudflare DNS 系统才能使用,可以说了解 Cloudflare DNS 是使用他们其他服务的第一步, 你可以在 Cloudflare 购买域名直接使用 Cloudflare 的 DNS 服务,因为绝大多数人域名都不在 Cloudflare 购买,本文主要介绍其他域名服务商的域名如何使用 Cloudflare DNS

本文以腾讯云购买的域名为例,演示如何将域名进行迁移,其他域名服务商的操作步骤雷同,也可以参考本文。

🌐 购买域名

你可以在 Cloudflare 购买域名,进入后台管理界面后,点击左侧的 Domain Registration -> Register Domains, 然后在搜索框输入你想购买的域名查看价格。Cloudflare 域名不算便宜,也不做促销活动,优点在于续费价格不变,如果你打算长期经营一个域名,正好 Cloudflare 有卖可以考虑一下。顺便一嘴,Cloudflare 上没有卖这两年大热的.ai 域名,但是可以托管到 Cloudflare DNS

🧾教程

步骤一:注册 Cloudflare

前往 Cloudflare官网 注册与登录,登录后,点击左侧 Websites,点击页面右侧的 Add a Site

步骤二:添加域名

添加你在别的域名服务商购买的域名,按照提示选择 Free plan,无需绑定信用卡,最后会来到这样的一个界面,最下面是 cloudflare 的两个 nameservers,后面会用到。不清楚 DNS 和 NS 关系的朋友可以参考我的博客里的这篇文章 DNS和NS的关系 (https://ljlv.site/archives/dns)

步骤三:更改原服务商 Nameserver

将域名直接迁移到 Cloudflare 的这种方式虽然可行,但是不少域名服务商会对这种行为进行限制(例如规定多少个月以后才能迁走),我们不采用这种方式,而是通过更改 Nameserver 实现。前往域名管理的后台,找到你的域名点击管理。此时在 DNS 解析里可以看到 DNS 服务器,点击“修改 DNS 服务器服务器”将服务器地址改成 Cloudflare 提供的地址,这里我已经换成了 Cloudflare 的 Nameserver,然后等待 DNS 缓存刷新就大功告成了!

步骤四:Cloudflare 添加域名解析

接下来就可以到 Cloudflare 添加域名解析,注意!这里有个特殊的地方就是下方红色方框框出来的小黄云,默认是打开的,打开后就能自动 DDoS 防护和使用 Cloudflare CDN。关闭的话 Cloudflare 就成了普通的 DNS,只帮你做域名映射,会导致以下问题:

  • 直接IP访问:访问者将直接连接到你的原始服务器IP,而不是通过Cloudflare的网络。
  • 失去CDN功能:无法使用Cloudflare的 CDN,可能会影响网站加载速度,特别是对远距离用户。
  • 安全防护减弱:失去Cloudflare提供的DDoS保护、Web应用防火墙等安全功能。
  • 流量分析受限:无法使用Cloudflare的详细流量分析工具。

步骤五:验证 DNS 解析是否生效

我们上 https://www.itdog.cn/ping  测试看看DNS记录是否生效,当你看到 IP 位置变成 Anycast/cloudflare.com 说明已经成功了

〰️ Cloudflare DNS 解析流程

一般 DNS 服务商的域名解析流程如下图,DNS 解析后流量直接打到源站

Cloudflare DNS 解析则完全不同,DNS 解析后流量先打到 Cloudflare 全球 CDN 节点,然后根据你配置的页面路由规则、WAF 设置等再将满足条件的流量打到源站。

📝 总结

上面教程的关键是更改原域名的 Nameserver 和添加域名解析时打开小黄云,还有一点需要确定你的域名 Cloudflare 是否支持解析,可以参考 Cloudflare 的  TLD 政策,Cloudflare 目前支持 200 多个顶级域名,个人经验来看,一些免费的域名可能Cloudflare 无法解析,但付费域名基本都能让 Cloudflare DNS 解析。

总结为以下几点:

  • 更改原域名的 Nameserver
  • 打开小黄云
  • 参考 Cloudflare 的  TLD(https://www.cloudflare.com/tld-policies/) 政策确定Cloudflare 是否支持解析该域名
  • 上 https://www.itdog.cn/ping 验证是否生效

🐣 彩蛋

有些域名在境内会被墙,例如 vercel.app, workers.dev 等域名,你可以用一个自己的域名在Cloudflare DNS 里添加一个 cname 记录绕过这一层限制 : ) 这里就不展开讲了,你可以自己实操试一下

AD:【供应链全球解决方案】SpiderSupply
赞(0) 打赏
未经允许不得转载:嘟买买博客 » Cloudflare从入门到精通:第二篇 Cloudflare DNS 快速入手
分享到

龙玄机

会员制购物APP

相关推荐

评论 抢沙发

评论前必须登录!

立即登录   注册

作者介绍

龙玄机

    阅读作者的全部文章

    文章目录

    • 📜前言
    • 🌐 购买域名
    • 🧾教程
    • 步骤一:注册 Cloudflare
    • 步骤三:更改原服务商 Nameserver
    • 步骤四:Cloudflare 添加域名解析
    • 步骤五:验证 DNS 解析是否生效
    • 〰️ Cloudflare DNS 解析流程
    • 📝 总结
    • 🐣 彩蛋

    快讯

    • Cloudflare从入门到精通:第八篇 Cloudflare Cache 网站加速神器

      📜 前言unsetunset

      前面的文章提到当我们把网站托管到 Cloudflare 且打开小橙云后,Cloudflare 就帮我们自动开启 CDN 加速,但是如果没有进行正确的设置会感觉加速不明显,甚至起到了“反向加速的作用”。除了境内网络线路问题,很大因素是没有正确地配置缓存,导致Cloudflare频繁回源影响网站使用体验。本文给大家详细介绍 Cloudflare Cache 的配置尤其是 Cache Rules 的配置,提升网站访问速度。

      unsetunset⚙️ 基础设置unsetunset

      Cache的设置位于 Websites --> Zone --> Caching 在这里你可以设置你网站所有跟CDN缓存相关的内容。

      Purge Cache

      这个设置用于立即清除CDN缓存,位于 Websites --> Zone --> Caching --> Configuration --> Purge Cache

      主要有两个功能: Custom PurgePurge Everything

      Custom Purge

      Custom Purge中文意为「定制化清除」,免费计划的用户只能根据URL来定制,且不支持通配符,最多可以设置30个URL。当用户访问指定URL资源的时候资源就会被清除,这个设置对于清除特定文件很有用。

      Purge Everything

      Purge Everhthing 中文意为「立即清除」,当你点击该按钮后,Cloudflare会立即清除其边缘CDN节点里的缓存,这么操作可能会暂时降低用户访问你网站的速度,但是可以提高访问内容的准确性

      Purge Everything

      Purge Everhthing 中文意为「立即清除」,当你点击该按钮后,Cloudflare会立即清除其边缘CDN节点里的缓存,这么操作可能会暂时降低用户访问你网站的速度,但是可以提高访问内容的准确性

      No query string

      仅在没有查询字符串时从缓存中提供资源,例如:debill.cc/pic.jpg,带请求参数的都不返回资源

      Ignore query string

      无论用户的请求URL是否携带请求参数,都提供一样的资源,例如当用户访问debill.cc/pic.jpg

      Standard

      没有特殊需求选择标准就行

      Browser Cache TTL

      客户浏览器缓存你网站静态资源的时间,默认是4小时,最高可以设置一年,如果你的网站静态资源变更比较少可以将这个值设高一点。位于Websites --> Zone --> Caching --> Configuration --> Browser Cache TTL

      Crawler Hints

      爬虫提示。位于Websites --> Zone --> Caching --> Configuration --> Crawler Hints开启该功能后Cloudflare会提供高质量的网站信息给爬虫(例如搜索引擎爬虫),建议打开

      Always Online™

      永远在线。位于Websites --> Zone --> Caching --> Configuration --> Always Online™当你的源站挂掉的时候,Cloudflare 提供互联网档案 Wayback Machine 上的网页副本。建议打开

      Tiered Cache

      这是影响你网站访问速度的关键设置,但是Cloudflare是默认关闭的,一定要打开这个配置。位于Websites --> Zone --> Caching --> Tiered Cache原理是Cloudflare将缓存资源进行了分层,当请求到达Cloudflare 任意CDN节点时,会以最快的方式从内部网络获取缓存资源,如果不打开该开关,可能某次请求CDN节点没有命中缓存的话,那么该节点就会去回源,用户体验就差了一大截

      Cache Reserve

      这是一个按量付费的功能。Cache Reserve 是一个建立在 R2 之上的持久的数据存储服务,将网站的可缓存内容写入 Cache Reserve,作为缓存层级中的最高层,确保内容更长时间从缓存中提供,减少源服务器的负担和不必要的流量费用,架构图如下

      Cache Reserve

      这是一个按量付费的功能。Cache Reserve 是一个建立在 R2 之上的持久的数据存储服务,将网站的可缓存内容写入 Cache Reserve,作为缓存层级中的最高层,确保内容更长时间从缓存中提供,减少源服务器的负担和不必要的流量费用,架构图如下

      🧑‍🏫 Cache Rules详解unsetunset

      除了打开上面介绍的各种配置的开关,还要进行相应的Cache Rules设置才能更好地缓存你的网站内容。免费计划里每个域名只能设置10条规则,而且是所有子域名也共用这10条规则。

      默认缓存行为

      当你把域名迁移到Cloudflare上,打开小黄云代理就可以使用Cloudflare CDN了,那么默认缓存了哪些资源呢?

      Cloudflare会根据你源站Http Header的值决定是否缓存该资源,满足以下条件该资源不会被缓存

      • Cache-Control设置了 private, no-store, no-cache, or max-age=0.
      • 存在 Set-Cookie 字段
      • 非HTTP Get请求

      满足以下条件,资源会被缓存

      • Cache-Control 设置成了public 且max-age 大于0
      • 设置了 Expires 字段且日期是未来的时间

      Cloudflare 仅根据文件扩展名进行缓存,而不根据 MIME 类型进行缓存。默认情况下,Cloudflare CDN 不缓存 HTML 或 JSON,但会缓存网站的 robots.txt。默认支持以下的拓展类型

      7Z CSV GIF MIDI PNG TIF ZIP
AVI DOC GZ MKV PPT TIFF ZST
AVIF DOCX ICO MP3 PPTX TTF 
APK DMG ISO MP4 PS WEBM 
BIN EJS JAR OGG RAR WEBP 
BMP EOT JPG OTF SVG WOFF 
BZ2 EPS JPEG PDF SVGZ WOFF2 
CLASS EXE JS PICT SWF XLS 
CSS FLAC MID PLS TAR XLSX 

      可以说基本支持绝大多数格式的文件,如果你有特别格式的文件要缓存,就要靠下面的Cache Rules设置

      规则设置

      这是关键的配置,位于Websites --> Zone --> Caching --> Cache Rules

      一般我们的网站由静态资源 + 动态的api数据组成,设置Cache Rules的目标是让静态资源都能命中,动态资源则让CDN放行,这里抛砖引玉给大家介绍两条规则,具体要根据自己网站的情况调整。

      缓存html页面

      Cloudflare默认是不缓存html页面的,我们可以通过设置进行缓存。点击Create Rule按钮后进入到设置页面。

      这里特别说明一下两个参数,Edge TTLBrower TTL。TTL(Time To Live)指缓存留存时间,Edge TTL指CDN节点缓存资源的时长,Brower TTL指浏览器缓存资源的时长,具体设置看你网站更新频率,一般Brower TTL设得比Edge TTL

      放行后端接口请求

      接着我们再设置一条规则直接放行访问后端api接口的请求

      ☑︎ 验证缓存是否生效unsetunset

      打开了各种配置的开关和设置了Cache Rule,接下来就要验证缓存是否生效。

      访问你的网站,例如:yourdomain.com,如果你的网站用了Cloudflare CDN,Cloudflare会在响应的报文头里添加一个cf-cache-status字段用于标识该资源是否命中了缓存,这个字段一共有以下状态:

      • HIT:命中缓存
      • MISS: 没有命中缓存,该资源从源服务器获取
      • NONE/UNKNOWN: Cloudflare 生成的响应表明该资源不符合缓存条件。这可能是以下的几种情况导致的
        • Worker 直接生成响应,未发送任何子请求。在这种情况下,响应并非来自缓存,因此缓存状态将为NONE/UNKNOWN。
        • Worker 请求发起了子请求 (fetch)。在这种情况下,子请求将记录其缓存状态,而主请求将记录为NONE/UNKNOWN(主请求未命中缓存,因为 Worker 位于缓存之前)。
        • 触发了 WAF 自定义规则来阻止请求。在到达缓存之前,由于没有缓存状态,Cloudflare 将记录为NONE/UNKNOWN。
        • 重定向规则或始终使用 HTTPS 导致全球网络返回重定向到另一个资源/URL 的响应。
      • EXPIRED:在CDN中发现缓存,但是过期了,该资源从源服务器获取
      • STALE:在CDN中发现缓存,但是过期了且该资源无法从源服务器获取
      • BYPASS:Cache Rule里面设置的BYPASS规则
      • REVALIDATED:该资源由 Cloudflare 的缓存提供,但已过期。该资源已通过 If-Modified-Since 标头或 If-None-Match 标头重新验证。
      • UPDATING:该资源由 Cloudflare 的缓存提供,已过期,但源 Web 服务器正在更新该资源。通常只有访问量特别大的缓存资源同时缓存失效时才会触发该状态。
      • DYNAMIC:Cloudflare 认为该资产不适合缓存,并且你为设置Cache Rule指示 Cloudflare 缓存该资产。该资产是从源 Web 服务器请求的。

      只要你设置得当,你在Cloudflare的后台管理面板里就能看到网站的Percent Cached在不断提高,用户访问网站的体验也会更好

      📝 总结unsetunset

      许多境内朋友反馈用了Cloudflare的CDN后“反向加速”,除了境内网络线路问题,更大的可能是Cache没设置好,关键以下两点设置:

      • 打开Tiered cache,默认是关闭的。该配置可以减少回源
      • 设置Cache Rule ,定制你自己的缓存规则

      这样可以让绝大多数静态资源都缓存到Cloudflare CDN中,同时访问后端接口时不访问CDN而是直接回源。

      unsetunset💭 后记unsetunset

      本文只介绍了Cloudflare Cache最基本的用法,如果结合Worker使用会变得更复杂,后续有使用场景再做具体介绍

    • CloudFlare for SaaS 官方免费CNAME接入/自定义节点(CF自选IP)教程 玩转跨境

      CloudFlare for SaaS是什么?

      CloudFlare for SaaS(Software as a Service)是一种为 SaaS 应用程序提供安全和性能的云服务。CloudFlare for SaaS 提供了一种 CNAME 接入的方式,这使得用户可以使用自己的域名来访问 SaaS 应用程序。

      前言

      从2021年11月开始,CloudFlare禁用了Partner使用的zone_setAPI以避免滥用(因为该API接入不需要验证域名所有权),通过Partner实现CNAME接入的方式近乎落幕。 2022 年 3 月份,CloudFlare 宣布更改了 CloudFlare for SaaS 的收费策略,每个账户可以有 100 个域名免费额度,我们所依赖这个功能所提供的免费额度可以实现免费 CNAME接入。使用CNAME接入后自定义节点就可以随便玩了。 为什么使用自定义节点 IP 呢?CloudFlare 免费套餐节点比较少,且“鱼龙混杂”,对中国大陆的线路不友好,使用 CloudFlare 自定义节点 IP 的好处就是可以一定程度上缓解 CloudFlare 速度慢的问题。本文详细介绍了 CloudFlare for SaaS 的开通及如何使用自定义 IP 节点对三网线路进行优化,同时分享了一些 CloudFlare 对中国大陆三网线路较友好的IP段。

      前期准备:

      准备两个域名和一个paypal或一张信用卡。特别说明:一个域名的回源IP有且只能有一个。也就是说如果你服务器有a.com、b.com、c.com三个网站,你只要一个域名以NS的方式接入到cloudflare即可,但如果你这三个网站位于不同的服务器你就需要多个域名了。以这里为例的话就是指056056.xyz这样的域名你需要3个。
      056056.xyz 此域名要使用 NS 的方式接入用到 cloudflare
      moeefl.com 要使用 CNAME 的域名,也就是要自定义 IP 的域名。

      一、定义一个回源域名

      之前使用过 CloudFlare Partner 应该都知道什么是回源域名,顾名思义用于找源站用的。登录 cloudflare 进入接入的域名 056056.xyz,点击左侧的DNS再点击记录,按下图设置一个“名称”为cname,“内容(即IP)”为你真实源站IP的A记录。小黄云要打开。注:图片中的8.8.8.8一定要改成你的服务器的真实IP。

      二、开通 CloudFlare for SaaS

      点击左侧的SSL/TLS 再点击自定义主机名,就可以看到一个启用 CloudFlare for SaaS的按钮。如下图所示: 点击启用 CloudFlare for SaaS后选择一个付款方式,这里选择的是Paypal。如果你没有Paypal也可以使用信用卡。注:如果没有出现Paypal选项可以要使用科学上网的方式才会出Paypal选项。 点击上图箭头指向的Paypal,在出现的窗口中填入你Paypal的用户名密码,然后点击登入 在出现的窗口中点击同意并付款注:这里只是一个认证,实际不会产生费用。请请放心使用。如果你使用的国内网络环境,可能会等待较长的时间(原因大家应该都知道),耐心等待即可。Paypal的登入方式最好不要换,容易风控。 Paypal关联成功后会自动关闭并跳转到 Cloudflare 的付款页面,填写其中的名字姓氏国家/地区邮政编码帐户类型后点击确认 在弹出的页面中会有一些 CloudFlare for SaaS 的相关信息,如功能介绍和免费额度等。目前的政策是前100个免费,对于大部分人出说应该是足够用了。没问题的话就直接点击确认付款 最后在订阅完成的页面中点close,CloudFlare for SaaS 开通完成。你就可以愉快的玩耍了。

      三、添加回退源

      打开SSL/TLS下面的自定义主机名,增加一个回退源。在回退源中填写第一个步设置的域名 cname.056056.xyz。然后点击左侧的添加回退源 等待生效,大部分会在 1 分钟内生效。 如果1分钟过去后还没有生效,直接F5刷新页面。

      四、添加自定义主机

      在添加的回退源生效后点击页面中的添加自定义主机名,在页面中输入自定义主机名,并且选择最低TLS 版本以及证书验证方法,其中自定义主机名就是你要 CNAME 接入的域名。确认输入信息无误后点击添加自定义主机名注:添加域名时可以是根域名也可以是二级域名,这里是以二级域名www.moeelf.com为例。 添加完成后是待验证状态。点击刚刚添加的主机名,可以看到要求验证的证书验证TXT主机名预验证TXT 按要求在你接入域名的DNS服务商中填写证书验证TXT主机名预验证TXT注:这里CF给出的验证TXT名称是完整域名的解析记录,所以在DNS服务商(这里是阿里云)中设置域名TXT记录时不要直接全部复制。这里要填入的应该是_cf-custom-hostname.www 和 _acme-challenge.www。目前可以自定义线路的DNS服务商有阿里云DNSPOD华为云京东云等,喜欢那个就用那个。 验证时长一般是10分钟内,不同的DNS服务器可能会有点区别,但区别不大。如果超过30分钟你可以就要检查一下是不是设置错误了。验证成功后如下图所示,证书状态和主机名状态下面都是有效 接下来你就可以在接入的域名(这里是moeelf.com)里面添加A记录CNAME记录了。但更建议你使用A记录。注:CNAME记录的记录值你可以直接写第一步添加的cname.056056.xyz。大部分DNS服务商只允许CNAME和A记录启用一个,下图只是举例。 好了,这时候你已经可以分线路来加速你的网站或者使用魔法了。请愉快的玩耍吧。CloudFlare使用的Anycast技术,所以也就没有什么固定的或者永久优质的IP的说法了。但是在路由的配置上,不同的IP段路由存在着些许的不同。找找还是可以找到适合你的IP来加速你的网站或者魔法的,下面介绍一些常用的节点以方便你能更快的找到一个称心如意的。

      CloudFlare的节点:

      CloudFlare 百度云合作 ip: 162.159.208.4-162.159.208.103 162.159.209.4-162.159.209.103 162.159.210.4-162.159.210.103 162.159.211.4-162.159.211.103 官方列表:CloudFlare公开的节点

      各线路推荐列表:

      电信:推荐走圣何塞,例:104.16.160.* 或者上面的百度云合作 ip。 移动:推荐走移动香港,例:172.64.32.*、141.101.115.* 或者 104.23.240.0-104.23.243.254。 联通:没发布什么好线路,可走圣何塞。例:104.16.160.* 或者 104.23.240.0-104.23.243.254。也可以试一下走亚特兰大 108.162.236.*(日前不可用。) 。  

    • Cloudflare从入门到精通:第七篇 那些悄悄保护你网站的默认配置 赛博防护

      📜 前言 当我们的网站用上 Cloudflare 以后,Cloudflare 就自动帮我设置了一系列的防护措施,或许很多朋友们还不清楚具体给我们网站做了哪些事,今天给大家讲讲 Cloudflare 那些悄悄保护你网站的默认配置。

      DDoS 防护

      这是 Cloudflare 的卖点之一,Cloudflare 会自动为所有用户(包括免费计划)提供基本的 DDoS 防护,无需任何配置。套上 Cloudflare,再也不用担心网站收到天价的流量账单。 以下是 Cloudflare 免费计划 DDoS 防护的一些要点:
      • 始终开启:Cloudflare 的 DDoS 防护网络始终处于活动状态,并持续监控流量以检测和缓解攻击。
      • 无需配置:你无需进行任何配置即可获得基本 DDoS 防护。
      • 针对常见攻击: Cloudflare 的免费计划可以有效缓解常见的第 3 层和第 4 层 DDoS 攻击,例如 SYN Flood、UDP Flood 和 DNS Amplification attacks。
      当然 Cloudflare 也提供了一些个性化的 DDoS 的防护配置,但都需要企业级用户才可以使用。 防护的实现原理是这样的, Cloudflare 的边缘和集中式 DDoS 系统会分析路径外的流量样本,这使得 Cloudflare 能够异步检测 DDoS 攻击,而不会造成延迟或影响性能。流量会被分析如下内容:
      • 数据包字段,例如源 IP、源端口、目标 IP、目标端口、协议、TCP 标志、序列号、选项和数据包速率
      • HTTP 请求元数据,例如 HTTP 标头、用户代理、查询字符串、路径、主机、HTTP 方法、HTTP 版本、TLS 密码版本和请求率。
      • HTTP 响应指标,例如客户原始服务器返回的错误代码及其速率

      避坑指南:不要在 Cloudflare 之前再套一层 CDN

      如果你在 Cloudflare 之前又套了一层 CDN,长期下来 Cloudflare 可能发现对你网站的请求都来自一组特定的 ip。在极少数情况下(例如在 Cloudflare 前面使用 Akamai CDN )由于来自这些特定 IP 地址的流量很大,可能看起来好像 CDN 正在对 Cloudflare 发起 DDoS 攻击。

      Free Managed Rule

      Cloudflare 提供的 Free Managed Ruleset 是一组预定义的安全规则,旨在帮助网站抵御常见的网络攻击。这些规则由 Cloudflare 的安全团队维护,并会定期更新,以适应新型威胁和漏洞。以下是 Free Managed Rule 的一些核心特点:
      1. 基础的 Web 应用防火墙 (WAF) 保护:包括对 SQL 注入 (SQLi)、跨站脚本 (XSS)、远程代码执行 (RCE) 等常见攻击的防护。
      2. 自动更新:规则集会随着新发现的漏洞和威胁自动更新,确保最新的防护措施应用到你的站点。
      3. 无复杂配置:Cloudflare 的 Free Managed Ruleset 是开箱即用的,无需配置。
      免费计划的用户也无法对该规则进行配置,具体的更新内容需要关注 Cloudflare 的定期发布

      Security Level

      这个选项在 [ Websites --> Zone --> Security --> Settings ] 默认是 Medium Security Level 使用 treat score(不了解这个概念的朋友参考这篇文章 Cloudflare 从入门到精通 | 5. 使用 WAF 保护你的网站) 来决定是否向访问者提出挑战。一旦访问者输入正确的挑战,才能获取网站资源。 你可以根据请求所构成的威胁调整这个参数以对其进行质询。可用的安全级别如下:
      Security Level Threat score 范围 描述
      Off (Enterprise customers only) N/A 不挑战 IP 地址
      Essentially off 50–100 仅挑战信誉最差的 IP 地址
      Low 25–100 挑战有威胁的访客
      Medium 15–100 挑战有威胁性和中度威胁性的访客
      High 0–100 挑战过去 14 天内表现出威胁行为的所有访客
      I’m Under Attack! N/A 仅当你的网站当前遭受 DDoS 攻击时使用
      选择更高的安全级别值意味着即使风险较低(即威胁分数较低)的请求也会受到挑战。选择较低的安全级别值意味着只有具有更高风险(即威胁分数较高)的请求才会受到挑战。

      官方建议配置

      • 新站长应该设置中或高安全级别,并将Chanllenge Passage 设置为 30 分钟以下,以确保 Cloudflare 始终保护网站。
      • 对安全设置有信心的经验丰富的网站管理员可能会将 Security Level 设置为 关闭 或低,同时将 Chanllenge Passage 设置为一周、一个月甚至一年,以提供更好的用户体验。

      Challenge Passage

      这个选项在 [ Websites --> Zone --> Security --> Settings ] 默认是 30 分钟。 Cloudflare 官方建议设置为 15 到 45 分钟之间。这个功能的工作原理:当用户初次访问你的网站时,如果触发了 Cloudflare 的安全校验,校验成功后会在你的浏览器中设置一个名为 cf_clearance 的 cookie,当用户访问网站其他网页页面是 Cloudflare 会校验该 cookie 是否在有效期内,有效期内无需再校验

      Browser Integrity Check

      这个选项在 [ Websites --> Zone --> Security --> Settings ] Browser Integrity Check 会查找垃圾邮件发送者最常滥用的 HTTP 标头并拒绝这些请求。打开这个开关后还会挑战没有 user agent 和非标准 user agent 的请求,一般这些请求都是来自机器人、爬虫

      Replace insecure JS libraries

      开启后,Cloudflare 将检查 HTTP(S) 流量中是否存在指向潜在不安全服务的 src 属性的脚本标签,并将 src 值替换为 cdnjs下托管的等效链接。此重写操作目前支持托管在 polyfill.io 中的 polyfill JavaScript 库。重写的 URL 将保留原始 URL 请求头(http:// 或 https://)。这个功能提高了网站的安全性和性能,并降低了注入恶意代码的风险。

      Email Address Obfuscation

      这个选项在 [ Websites --> Zone --> Scrape Shield ] 打开这个开关后,网页上的邮件地址只对真实用户可见而对爬虫等机器不可见,这样能防止大量邮件爬虫机器人收集你的邮箱给你发垃圾邮件。 有些网站会有邮箱的 logo,以我的博客为例,当你点击这个图表时就会自动跳转到邮件编写界面,有些爬虫就利用这点大量发送垃圾邮件。 打开这个开关后,网页上的邮件地址只对真实用户可见而对爬虫等机器不可见,这样能防止大量邮件爬虫机器人收集你的邮箱给你发垃圾邮件。 有些网站会有邮箱的 logo,以我的博客为例,当你点击这个图表时就会自动跳转到邮件编写界面,有些爬虫就利用这点大量发送垃圾邮件。 Hotlink Protection 可防止您的图片被其他网站使用,从而减少原始服务器消耗的带宽。该功能对爬虫没有影响,但会阻止图片显示在 Google 图片、Pinterest 和 Facebook 等网站上。如果你想让特定的图片可以被 Google ,RSS 图像订阅等其他网站引用,你可以参考如下的操作方式:
      • 在网站(或者对象存储)中创建一个 hotlink-ok 的文件夹,将需要被引用的图片放进文件夹。访问资源时类似这样:
      http://example.com/hotlink-ok/pic.jpg(需要 hotlink 保护的图片) http://example.com/images/pic.jpg(无需 hotlink 保护的图片)

      📝 总结

      上面介绍的默认配置,免费计划的用户都可以享受到,Cloudflare 也在不断迭代他们的安全产品后续会推出更多免费的安全产品。除此之外,Cloudflare 还有一些功能只需要你在控制面板轻轻点一下开关就开启,这里不再赘述留给大家慢慢探索。写这篇文章的时候查找大量资料才发现Cloudflare 真的像一尊“佛祖”一般,在默默守护我们的网站 : )

    • Cloudflare 从入门到精通:第六篇 使用 Cloudflare WAF 保护你的网站 赛博防火墙

      📜 前言

      WAF(Web Application Firewall)全称应用防火墙,顾名思义可以帮我们过滤掉恶意的网络流量,只要域名托管在 Cloudflare 上就可以使用 Cloudflare WAF 强大的定制规则来保护我们的应用,无需在网站后端自己部署一个网关来处理各种流量,本文会介绍 Cloudflare WAF 的核心概念和组件,同时教大家配置一些简单的规则防护你的网站。 WAF 是 Cloudflare 的拳头产品,其中的概念和用法非常多,且免费计划和各类付费计划能使用的功能也各不相同,下文会先介绍免费计划里能用到的功能,也会提付费计划里能用到的各种概念和功能,方便大家对 WAF 有个一个整体的认识。为了避免歧义,博主会用英文来直接描述各种概念,避免翻译造成的歧义。

      🆓 免费计划可用功能

      首先我们找到 WAF 的操作界面:Dashboard --> 域名空间 --> Security --> WAF 。可以到一共由 Custom rules, Rate limiting rules, Managed rules, Tools 四部分组成,下面一一介绍。

      Custom rules

      免费计划允许用户创建 5 条自定义规则来处理流量。点击 「Create rule」可以进入规则设置界面。规则遵循以下机制:Field value 达到什么条件,就采取什么 Action。Cloudflare 提供了操作面板配置你想要的规则,也允许用户直接编写规则表达式来配置规则,一般情况下我们用面板直接配置就行。 Field 可以选择的项非常多,例如 URI 路径、AS Num、国家、客户端类型等等选项,基本能满足你 90%的需求。 action 主要有 5 种: Managed Challenge:这个 Cloudflare 官方推荐的一种的验证方式。我们上网时肯定会遇到类系的验证方式,在九宫格图片中让我们点选满足条件的方块,类似下图: 这种验证方式非常麻烦,稍不留神就会点错,交互体验不好。Cloudflare 提供了一种动态校验请求的验证方式,用户不再需要点选 captcha 图,相信大家上网时都看过下面的图。
      • Block: 拒绝请求,不再执行后续的规则。所以你有多条规则要运行的时候,如果有规则采取 block 操作要注意规则放置的位置
      • JS Challenge: JS Challenge 要求用户在浏览器中运行 Cloudflare 提供的 JavaScript 脚本,以确认其身份,适合需要额外安全性的情况。用户必须等待浏览器处理完 JS 脚本才能进行下一步操作,处理时间一般在 5 秒以内
      • Skip: 跳过 WAF 一些功能或者特定的防护产品。例如可以让命中规则的请求跳过剩下的规则。
      • Interactive Challenge: 采取交互式的验证方式,这种方式 Cloudflare 不推荐,推荐使用 Managed Challenge
      后选择该规则放置的位置,位置会影响一些使用了 Block,Skip 的规则。最后点 Deploy 该规则就立马生效了。

      Rate limiting rules

      该功能对命中匹配表达的请求进行访问速率限制,免费计划只有 1 条可以使用,且可选项也比较有限,例如 Field 目前只有 Password Leaked、URI Path、Verified Bot、Verified Bot Category 选项。特征也只能选择 ip,速率也只能选择每 10 秒多少个请求,action 只能选择 block。

      Managed rules

      Managed rules 允许你部署预配置的规则集,避免常见的网络攻击,点进这个 Tab 发现要升级成 pro 会员才能进一步设置。但是根据官方提示我们知道,即便免费计划的用户也能享用 Free Managed Ruleset 的基础防护,至于这个 Ruleset 是什么,以后的文章会详细介绍,这里不展开说明。

      Tools

      如果前面的 Custom rules 和 Rate limiting rule 还不能满足你的需求,Cloudflare 还提供了一些防护工具,免费计划能用的是 Ip Access Rules 和 User Agent Blocking

      Ip Access Rules

      该功能允许你对 IP、IP 范围、国家、ASN 的请求进行特定的操作,相当于 Custom Rules 的一个特例,所以 Cloudflare 也建议你用 Custom Rules 来设置规则,而不是使用该工具。但是对于免费用户来说 5 条自定义规则少得可怜,如果你 Custom Rules 里涉及到对 IP、IP 范围、国家、ASN 的请求进行特定的操作,不妨使用该工具。需要注意以下几点:
      • 每个帐号可以设置 50000 条 Ip Access Rules,对于绝大多数人来说完全用不完
      • 免费用户不能用该工具 block 指定国家的请求,只能在 Custom rules 里设置
      • Ip Access Rules 设置为 Allow 的流量,不会出现在 Security Events 看板里
      • 根据上图右侧流量处理顺序,Ip Access Rules 先于 Custom rules 执行,所以 Custom rules 里无法使用 skip 跳过

      User Agent Blocking

      免费计划可以定义 10 条规则来限制不同客户端的各种行为,同样这个工具相当于 Custom Rules 的一个特例,所以 Cloudflare 也建议你用 Custom Rules 来设置规则,除非你不想占用 5 条宝贵的 Custom Rules

      Security Events

      Security Events 提供一个看板可以查看命中规则的请求一些基本信息,免费计划最多只能查看某一天内的所有命中规则的请求日志。这个功能很有意思,我用它来查看有哪些网站来爬过我的网站,即便我的博客没有多少访问量,Google, Bing, Feedly, Ahrefs 都来爬过我的网站,还有一些我完全不认识的网站也会来爬我的网站,然而我给百度提交那么多次网站,百度的爬虫从来没来过 : )

      💰 付费计划独有功能

      Managed Rules

      付费用户除了可以使用 Free Managed Ruleset 还可以使用 Cloudflare 多年维护更新的规则集,给你的网站再上一层防护。例如:
      • Cloudflare Managed Ruleset: Cloudflare 安全团队维护的规则集合,会有频繁的更新
      • Cloudflare OWASP Core Ruleset: Cloudflare 对 Open Web Application Security Project 的实现
      WAF Attack score 这个功能其实是 Custom rules 里的一些选项的统称,只有高级付费用户(Business 和 Enterprise)才有这些选项,按 Cloudflare 官方的说法,WAF Attack score 是 Managed Rules 的补充,细分下来有 WAF SQLi Attack Score、WAF XSS Attack Score、WAF RCE Attack Score,因为绝大多数人也用不上就不展开讲了

      Uploaded content scanning

      这个功能只有 Enterprise(企业级)计划的用户才能使用,简单提一句就是帮你检查用户上传的文件是否有病毒。

      Security Analytics

      这个功能只有 Business 和 Enterprise 计划的用户才能使用。相比 Security Event 会有更丰富的图标供你分析你的网站

      🆚 概念区分

      Cloudflare WAF 的概念和功能非常多,有必要跟解释一些概念的差异

      WAF 入口区分

      Cloudflare 现在版本的 WAF 入口有两个,分别是:
      • 入口 1: Dashboard --> WAF。可以看到是付费用户才能使用的功能,而且必须是企业级用户才能使用。主要功能是允许你设置一些账户级别的 Custom rulesets(规则集),从而让账户下每个域名都能共享这些规则,而无需在每个域名下面一一设置
      入口 2: Dashboard --> 域名空间 --> Security --> WAF。这是我们绝大部分用户使用 WAF 的入口,上文已经有详细的介绍。 Threat Score 在 Custom rule 的设置里能看到有一个选项叫 Threat Score,Cloudflare 通过这个指标来衡量请求的 IP 信誉度,根据 Cloudflare 官方的说法该分数是根据 Project Honeypot 、外部公共 IP 信息以及 WAF 托管规则和 DDoS 的内部威胁情报计算的。分数从 0 到 100 分,越接近 0 分说明该 ip 风险越低,得分超过 10 分代表该 ip 可能来自垃圾邮件或者爬虫机器人,超过 40 分代表一些恶意行为,所以使用这个属性的时候,可以将 40 作为关键阈值

      Know Bots

      在 Custom rule 的设置里还有一个选项叫 Known Bots指 Cloudflare Radar 发现的一些已知机器人,其中包括好的机器人也包括坏的机器人。结合 Threat score 我们可以制定一条规则:所有 Threat score 低于 40 的Known Bots我们都放行 Verified Bot Category 在 Custom rule 的设置里还有一个选项叫 Verified Bots Category指 Cloudflare 验证过的一些好的机器人的分类,例如搜索引擎的爬虫机器人,监控和分析相关的机器人等等,可以到 https://radar.cloudflare.com/traffic/verified-bots 查找是否有你想要的机器人,配置 Custom rule 的时候可以考虑使用这个属性。例如我们希望让所有搜索引擎的爬虫都能爬到我们网站的内容,那个Verified Bots Category 这一项就可以选择 Search Engine Crawler

      规则执行顺序

      前面我们提了很多规则,他们的执行顺序如下: Custom rulesets(企业级用户才有的功能,作用于全部域名)--> Custom rules(每个域名自己的规则)--> Rate limiting rules --> Managed Rules

      💡彩蛋

      如果我们需要对一批 ip 进行特定的处理,在 Custom rule 里设置规则时就需要一条一条添加 ip,非常麻烦,很多人不知道 Cloudflare 还有 List 功能,免费计划里这个功能可以让你设置一个 ip 集合,让你不用再手动添加大量的 ip。 入口:帐号首页 --> Manage Account --> Configurations --> Lists 点击 Create list,免费计划只能添加跟 ip 相关的 list,付费计划可以创建其他类型的 List 我们回到 WAF --> Custom rules。这里我们设置一条规则:屏蔽在 list_test 里的 ip 。Field 选择 IP Source Address, Operator 选择 is in,这里发现 value 无法下拉选择,我们只能通过修改表达式的方式实现。注意填写正确的list变量名,如果给 list 命名为 list_test 则变量为$list_test。设置成功后我们点击部署即可。 部署完我们查看规则详情,发现正确引用了自定义的 list,点击 Manage lists 又会跳转到 List 的设置界面

      总结

      WAF 提供的很多功能都需要高级付费用户才能使用(business 及以上),免费计划里的功能对于一般网站也够用了,可见 Cloudflare  WAF 主要服务于企业级用户赚钱。不同计划能用的功能我总结成下面的表格供大家参考
      Free($0/月) Pro ($20/月) Business ($200/月) Enterprise (Custom)
      Custom Rules 最多设置 5 条 最多设置 20 条 最多设置 100 条 最多设置 1000 条
      Rate limiting rules 只能设置 1 条 2 条 5 条 5 条以上
      Managed Rules Free Managed Ruleset
      Security Event
      Security Analytics
      WAF Attack Scores 只有Attack Score Class
      Bot Score
      Uploaded content scanning
         

    • Cloudflare从入门到精通 :第五篇 加速境内Cloudflare托管网站 赛博解析

      📜 前言

      境内使用 Cloudflare 都会遇到一个问题,Cloudflare 不是有全球的 CDN 节点吗?怎么给我的网站“反向加速”了?我们再看看这张图片: Cloudflare DNS 会自动将请求路由到全球的 CDN 节点,非企业级用户无法指定 CDN 节点,假如你的服务器在境内,Cloudflare 可能会将你的请求先路由到美国的 CDN 节点如果 CDN 没有想要的资源那就要回源境内服务器,这样一折腾自然会变慢,本文教你一种简单的方式加速境内套了 Cloudflare 网站

      🧰 事前准备

      • dnspod:因为 dnspod 允许境内外分流
      • 域名 A:托管在 dnspod
      • 域名 B:托管在 Cloudflare

      🪩 原理解析

      dnspod 允许境内外分流,我们可以让境外流量走境外的 Cloudflare 节点,境内的流量走优选过的 Cloudflare 节点,这样就实现了境内网站加速。那么问题来了,怎么找优选过的 Cloudflare 节点?Cloudflare 公开了自己所有节点的 ip(https://www.cloudflare.com/ips/) 理论上可以通过优选 ip + DDNS(动态 DNS)实现加速。目前已知有两种实现方式,如果有其他方式,欢迎大家评论区告诉我 1️⃣  使用这个 Github 项目(https://github.com/XIU2/CloudflareSpeedTest),设置一个定时任务定时获取优选 ip,然后使用 DDNS 让你的域名时刻指向优选后的 Cloudflare 节点 2️⃣  找到一个使用 Cloudflare 的域名且已经进行过优选 ip,我们的域名 cname 过去后,再用 Cloudflare SaaS 回源(不懂 SaaS 回源的朋友参考这篇文章 Cloudflare从入门到精通 | 3. 无需迁移域名使用Cloudflare) 本文采取方案 2️⃣ 来加速境内使用 Cloudflare 的网站,方案 1️⃣ 的缺点如下:
      • 你得自己优选 IP
      • 你要弄 DDNS
      • 优选出来的 IP 也未必提速(亲测)  
      方案 2️⃣ 的问题在于,怎么找到境内满足条件的域名?正巧我发现 visa.cn 满足条件 我们在 itdog 里 ping 一下看看,果然 ip 地址都是 Cloudflare 的节点,说明该网站也用了Cloudflare且全国各地的访问速度还不慢,尤其在人口密集的东部,访问速度非常快。 仔细想想 visa 肯定是 Cloudflare 的企业级大客户,线路肯定经过优化的,那我们蹭一蹭这班 (bai)车(piao)来给我们自己的网站加速。相比方案 1️⃣ ,该方案的优点如下:
      • 无需优选 ip
      • 稳定可靠。visa.cn 的域名肯定比你找的其他 Cloudflare 域名要稳定

      🧾 教程

      dnspod 设置境内外分流

      这里我用的我的博客 ljlv.site 为例,教大家如何设置 1️⃣ 先设置一条 cname 记录,让 ljlv.site 指向 cdn.ljlv.site (这个子域名你叫什么都行) 2️⃣ 设置一条 A 记录,让 cdn.ljlv.site 指向 1.0.0.5 这个 ip 是 Cloudflare 的亚太节点,同时线路选择境外 3️⃣ 设置一条 cname 记录,让cdn.ljlv.site 指向 visa.cn 线路选择境内

      设置回源域名

      我们用一个域名托管在 Cloudflare 用于回源,这个域名用户不直接访问,所以只要 Cloudflare 能解析什么域名都可以,Add Custom Domain 里添加 ljlv.site ,具体操作参看这篇文章 Cloudflare从入门到精通 | 3. 无需迁移域名使用Cloudflare 这里不再赘述。下面是图解:

      验证效果

      还是上 itdog 验证一下 境内总体来说延迟都在 100 多毫秒,可以接受的程度,偶尔有个别地区的个别运营商解析失败。境外的访问速度就飞快了

      进阶玩法

      已经设置境内外分流了,如果你还是嫌境内访问速度不够快,那你可以设置境内使用境内服务商提供的 CDN 服务,境外使用 Cloudflare 的 CDN 这样境内外访问你的网站都能有不错的体验,具体的操作留给大家自己尝试。

      📝 总结

      根据上面的设置就可以给你境内套了 Cloudflare 的网站进行简单的加速,当然还有优化的空间,这种方式胜在简单易行。如果你不用 dnspod,无法境内外分流,那就只设置一条 cname 到 visa.cn 的记录即可。通过本文结合 Cloudflare从入门到精通 | 3. 无需迁移域名使用Cloudflare 你可以实现以下效果:
      • 不迁移域名也能给网站套上 Cloudflare 防护
      • 境内网站即便用了 Cloudflare 也有不错的访问速度

    • Cloudflare从入门到精通:第四篇 无需迁移域名使用 Cloudflare 赛博域名

      📜 前言

      有粉丝反映自己的域名在其他域名服务商里已经设置了很多记录,迁移到 Cloudflare 太折腾了,有没有办法不迁移域名也能用上 Cloudflare 的防护?答案是:可以!今天就给大家介绍 Cloudflare SaaS 回源给你的老网站套上防护

      🧰 事前准备

      提前准备两个域名 域名 A:你的原域名(例如:debill.com) 域名 B:托管在 Cloudflare 的域名,只要能被 Cloudflare 解析就行(例如:debill.cc

      🤖 原理解析

      有聪明的粉丝估计会想到在源域名服务添加一个 cname 记录到 Cloudflare 托管的域名上不就 OK 了?类似下面这张图 但是!Cloudflare 出于安全考虑,在没有设置 SaaS 回源的情况下,是禁止这种操作的,访问网站会失败。下面就教大家如何设置 Cloudflare SaaS 回源,无需迁移域名也能使用 Cloudflare 进行防护。 🧾 教程

      准备域名

      要准备一个域名托管在 Cloudflare DNS 上,具体如何操作参考这篇文章 👉 Cloudflare从入门到精通 | 1. DNS快速入手

      Cloudflare SaaS 配置

      Websites -> 选择域名 -> SSL/TLS -> Custom Hostnames进行相应配置。 这里添加 origin.debill.cc 作为我们回源域名,添加完成后会出现 initialing 的提示,然后再进行下一步操作

      更改回源域名 DNS 记录

      假设我们用 origin.debill.cc 作为回源域名,35.212.136.22 是我们的服务器 ip,那么我们配置一条 DNS 的 A 记录进行域名映射。 配置完成后我们回到SSL/TLS -> Custom Hostnames发现Fallback Origin status: Active的提示,说明回源域名已经设置完成。接下来再点击 Add Custom Hostname 按钮添加 这里添加你的原域名(该域名可以不托管在 Cloudflare 上) 添加完成后还有一步域名验证的过程,将 Cloudflare 提供的这两条记录添加到刚刚添加的原域名 DNS 里,等待 Cloudflare 验证成功后,所有配置就完成了

      更改原域名 DNS 记录

      假设我们原域名的 DNS 映射关系是这样的:debill.com -> 35.212.136.22, 用户访问 debill.com 相当于直接访问 35.212.136.22 现在我们将 A 记录改成 cname 记录 debill.com -> origin.debill.cc,其他 DNS 记录不变

      验证是否生效

      上 itdog ping 一下看看,如果你的源站没有套 CDN 那么不使用 Cloudflare 防护可以直接访问到你的源服务器的 IP,使用 Cloudflare 防护后我们能看到源站地址全部是 Anycast/cloudflare.com,说明之前的配置已经生效了

      🕳️ 避坑指南

      需要注意一点:托管在 Cloudflare 用于回源的域名不要使用免费域名,很多免费域名都是二级域名(例如:eu.orgcloudns.be)我测试下来有些免费域名可以用来回源,有些则不行,所以推荐大家花点小钱买个便宜的域名进行回源

      📝 总结

      今天介绍了如何不迁移原域名还能使用 Cloudflare 的一系列防护功能,总结为以下几点: 1️⃣ 准备一个域名托管在 Cloudflare 用于回源,注意不要使用免费域名 2️⃣ Cloudflare DNS 设置回源域名指向服务器 IP 3️⃣ 到 Websites -> 选择域名 -> SSL/TLS -> Custom Hostnames进行相应配置 4️⃣ 更改原域名的 DNS 记录,让 A 记录不再指向服务器 ip,而是指向 2️⃣ 中设置的回源域名 5️⃣ 测试是否已经生效 架构图如下: 通过这种方式,只需要简单更改原域名的一条 DNS 记录就可以使用 Cloudflare 进行防护,将网站无缝迁移上 Cloudflare
    吐血推荐

    嘟买买虚拟资产交易平台

    tob 扁平化、简洁风、多功能配置,优秀的电脑、平板、手机支持,响应式布局,不同设备不同展示效果...

    标兵网,让商业更简单!

    tob主题 新一代主题

    tob 扁平化、简洁风、多功能配置,优秀的电脑、平板、手机支持,响应式布局,不同设备不同展示效果...

    默惠工业,轻松采购工业品

    tob主题 新一代主题

    tob 扁平化、简洁风、多功能配置,优秀的电脑、平板、手机支持,响应式布局,不同设备不同展示效果...

    热门标签

    雷都捷特人字梯WordPress小巨人梯小巨人梯子伸缩人字梯CloudflareLittlegiant Ladder小巨人工业梯伸缩梯玻璃钢梯绝缘梯双侧伸缩梯多功能梯Stable Diffusion极致梯xTreme美标梯子罗辑思维罗振宇时间的朋友跨年演讲LittleGiant折叠梯工业安全梯安全梯黑马梯人字伸缩梯玻璃钢人字梯

    热门推荐

    热门评论

    优秀读者

      网站统计

      • 日志总数:74
      • 标签总数:309
      • 分类总数:41
      • 用户总数:585
      • 最后更新:2024-11-26

      登录

      找回密码

      注册