.png)
什么是 Cloudflare
Cloudflare是一家美国的跨国科技企业
Cloudflare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容分发网络及分布式域名解析服务
Cloudflare可以帮助受保护站点抵御包括分布式拒绝服务攻击(DDoS, Distributed Denial of Service)在内的大多数网络攻击,确保该网站长期在线,同时提升网站的性能、访问速度以改善访客体验。
为什么要使用 Cloudflaer
防火墙和 DDOS 保护
DDoS 缓解
DNS 安全 - DNSSEC 保护
保护服务器隐私信息
如何添加域名使用
首先去官网注册账号-看不懂右上角切换语言有中文简体 https://dash.cloudflare.com/
1.添加站点-输入你的一级域名-继续
2.选择计划往下滑-选择0元免费的Free-确认计划
3.cloudflare会检查你的域名DNS解析记录,耐心等待几秒跳出页面点继续(如果域名没在其它提供商解析过不显示记录)
点击继续-会跳转到下图有更新名称服务器这里,把两个cloudflare分配给你的名称服务器,到你域名的提供商(买域名的网站)把DNS修改成你账号生成的这两个NS。
更换DNS
4.修改完DNS我们返回cloudflare点继续-跳出快速入门指南点以后完成-返回网站首页等待域名DNS变成有效
5.生效成功我们点击-域名-查看设置-开始使用-配置快速入门指南
自动HTTPS重写 关闭保存
始终使用HTTPS 关闭保存
优化性能brotli 打开保存
点击完成返回主页,找到DNS选项就可以正常解析域名和添加二级域名了
如果网页出问题打不开就重置设置-点缓存-配置-清除所有内容
建议购买好域名直接换到cloudflare上解析,方便使用
如何配置获得通配符证书
配置Nginx Proxy Manager通配符证书申请(二级域名或主域名可以使用同一证书避免申请过多出现internal error)
点击添加好的域名-右侧找到获取您的API令牌-密钥保存好,因为只显示一次。
进入Nginx Proxy Manager下图位置
1.点SSL SSL Certificates 右侧添加ADD SSL证书-选择LETSencrypt
2.弹出页面按照图中配置
保存之后就可以一直用这个证书了,不用反复申请了,包括你的泛解析的二级域名都可以使用同一证书
cloudflare防御篇
1.cloudflare上点击你要部署防御的域名站点
记得在DNS选项,开启小云朵。只有开启CDN了,后续防御规则才会生效。
安全级别:高 质询通过期:15-30分钟(不要太短影响浏览) 浏览器完整性检查:开启
2.点击安全-DDOS攻击保护-部署DDOS替代
配置完右下角保存
3.安全性-自动程序打开
4.缓存设置-配置
缓存设置好也可以帮助我们抵挡巨量的cc攻击。有些CC是很多IP随即攻击一个地址,如果我们的安全策略没有拦截到攻击。但是我们设置了缓存,那这些请求则会在CloudFlare边缘节点直接将缓存内容返回给请求。也达到了抗攻击的效果。
5.创建静态文件的缓存规则
输入规则名称
编辑表达方式(复制下方配置到表格)
(http.request.full_uri contains ".gif") or (http.request.full_uri contains ".js") or (http.request.full_uri contains ".css") or (http.request.full_uri contains ".woff2") or (http.request.full_uri contains ".webp") or (http.request.full_uri contains ".png") or (http.request.full_uri contains ".jpg") or (http.request.full_uri contains ".jpeg")
点击部署-完成之后下图
6.开启Tiered Cache
7.关闭洋葱路由(必须关闭否则攻击可能穿过CF打进来)
8.安全性 > WAF > 速率限制规则
请求35-200
安全性-waf
首先打开完全
1.放行自己
ipv4和ipv6换成自己的,没有ipv6就删掉
安全-waf-自定义规则-创建规则-编辑表达式 win+r 键cmd输入下面查询ip
ipconfig
(ip.src eq 192.168.7.17) or (ip.src eq 2901:c080:1110:4c91:5400:4ff:feb8:130a)2.阻止垃圾蜘蛛-安全-waf-自定义规则-创建规则
(http.user_agent contains "YandexBot") or (http.user_agent contains "DotBot") or (http.user_agent contains "SemrushBot") or (http.user_agent contains "AhrefsBot") or (http.user_agent contains "BLEXBot") or (http.user_agent contains "YaK") or (http.user_agent contains "PetalBot") or (http.user_agent contains "MJ12bot") or (http.user_agent contains "MauiBot") or (http.user_agent contains "MegaIndex.ru")3.放行SEO爬虫
(cf.client.bot) or (http.user_agent contains "duckduckgo") or (http.user_agent contains "facebookexternalhit") or (http.user_agent contains "Feedfetcher-Google") or (http.user_agent contains "LinkedInBot") or (http.user_agent contains "Mediapartners-Google") or (http.user_agent contains "msnbot") or (http.user_agent contains "Slackbot") or (http.user_agent contains "TwitterBot") or (http.user_agent contains "ia_archive") or (http.user_agent contains "yahoo")4.阻止恶意流量
(cf.threat_score ge 5 and not cf.client.bot) or (not http.request.version in {"HTTP/2" "HTTP/3" "HTTP/1.1"}) or (not ip.geoip.country in {"AU" "CA" "CN" "FR" "DE" "HK" "IR" "JP" "KR" "MY" "SG" "TW" "GB" "US" "MO"})注意事项 1: 如果你的某些docker项目或者探针出现问题,请在阻止恶意流量那里把Http/1.1添加到规则
全做完你网页还能打开,那么恭喜你成功了。
评论区