在上一节教程中,Young Free 介绍了如何利用 CloudFlare 为网站配置 HTTPS 服务。这节纯小白教程,一步一步的像和 Young Free 一样的小白,如何最基本的配置 CloudFlare 的 Firewall 防火墙,进一步保护我们的站点。
CloudFlare Firewall 防火墙概览
我们进入到 CF 域名控制面板,找到 防火墙 / Firewall 选项,点击进入。默认如下图,这里会显示目前站点的安全事件日志。其中的 托管规则 ,我们不必理会,是付费项目,我们是白嫖的免费版,无法使用,我们选择免费版可用的 防火墙规则选项。
CloudFlare Firewall 防火墙规则配置
CloudFlare 还是很良心的,免费版提供了 5 条规则的额度。点击蓝色的 创建防火墙规则 按钮,我们开始创建第一条规则。(这里依旧以 WordPress 为例,Typecho 等其它站点程序,请依据自身情况修改,这里的规则是针对性的防护,您也可以不设置,采用默认配置就行。)mTLS 规则,Young Free 不会用,这里也不做介绍,以免把大家带坑里。
YF 这个演示网站用的是 WordPress 程序,域名未备案放在国外,不想国外登录,于是利用 CloudFlare 防火墙规则进行限制。整个规则的含义为:当访问者 IP 不在中国境内时,且,访问的路径中包含 wp-admin 或者 wp-login.php 时,阻断访问。这样,就顺利的不让外国人登录,只让中国人登录了。
CF 给出的规则编辑方式时傻瓜式的,完全可按自己的意愿进行搭积木式的配置,唯一的要求就是您清楚的知道自己的需求,想要阻止什么,还是想要允许什么;编辑完您的规则后,切记要点击蓝色的 部署 按钮,不然一切白干了。这一步是非必要的,如果您的网站时针对国人访问的,您可以参照我的设置进行部署。
如果研究好了这里,可以配置一定的规则,可以有针对性的防护好已知的 CC 攻击。哈,我也不会配置,只能等大佬们分享经验了。?
CloudFlare Firewall 防火墙自动程序
上面的防火墙规则可以忽略,但是这里的 自动程序 规则,请一定要打开。这个自动程序,能够在一定程度上屏蔽大量的恶意蜘蛛和爬虫,同时不影响 百度、谷歌/Google、360搜索、搜狗、必应/Bing 搜索引擎的蜘蛛的正常访问。
CloudFlare Firewall 防火墙 DDoS 防护
CloudFlare 一直以超能扛 DDoS 攻击闻名于世,尽管我们时免费用户,依旧为我们提供了“不限量”的 DDoS 防护,当然我们这些小白,也难得遇到一次 DDoS 攻击,遇到了,就算我们使用了 CloudFlare,也基本上是一打就挂站的情况。这里,我们采用默认的配置即可。里面的防护配置实在太复杂了,Young Free 坦言自己没研究明白。不信?点击 配置 进去看看?
诺,配置界面长这样,仅供观赏? 反正我搞不来。
CloudFlare Firewall IP访问规则
IP 访问规则可以基于 IP 地址、IP 地址范围、自治系统编号(ASN)或国家/地区进行自定义规则防护,阻止或允许。这里的配置,全靠经验积累了,哪些 IP 喜欢攻击您,就把哪些 IP 添加到这里来,不让他访问。当然,Young Free 非常建议把一些已知的爬虫 IP 进行拦截,可以减轻我们源站和服务器的压力。毕竟对我们小白来说,能减轻一点是一定。爬虫的危害,具体可以查看:
独立站通过创建 Robots.txt 规则 和 IP 防火墙访问规则来屏蔽特定的网站SEO分析网站爬虫来获取并分析自身网站数据,从而避免被竞争对手发现并模仿。
CloudFlare Firewall 防火墙设置
找到最右边的 设置 选项,我们可以配置最基本的防火墙规则。安全级别这里,根据 Young Free 的经验,低和中差别不大,毕竟,自己的博客本身流量不大,针对的也是国内的用户,没啥人吃饱了攻击我,所以一般选择 安全级别为 低。注意哈,发现被攻击时,尽快将安全级别更改为 I’m Under Attack! 我被攻击啦,救救我!选项。能减少一部分损失,就减少一点吧,毕竟我们小白被欺负了也不能拿人家怎样?。
这里的 质询通过期,默认 30分钟 吧,你也可以狠心设置更长时间。 浏览器完整性检查 和 Privacy Pass 支持,默认开启就行。都是帮助我们鉴别是否是真是访客的功能。
