近期CloudFlare SaaS调整了原来的付费额度,由先前的每个域名2USD/月调整到超过100个域名后收费,可谓时十分的良心!
CloudFlare免费版用户不仅可以白嫖CF的CDN,当然也可以用CloudFlare提供的免费WAF来保障站点安全,智能拦截境外黑客的网络攻击或是恶意扫描
CloudFlare SaaS简介
此处不再赘述,详情可看官网:
Cloudflare for SaaS for All,现已全面上市!
CloudFlare WAF作用
阻止帐户接管
防止凭据填充攻击成功接管用户帐户。
预防数据渗漏
阻止数据泄露,保护企业数据的安全和私密。
阻止凭证填充攻击
检测并阻止利用被盗凭据的登录攻击。
以及等等等等~
WAF网络防火墙_Web应用防火墙_cc防御| Cloudflare 中国官网 | Cloudflare
重要的是CloudFlare WAF是免费的!(白嫖万岁~(≧▽≦)/~)
准备工作
- 一个闲置域名(提前通过NS方式接入CloudFlare)
- 一个CloudFlare账号(需要绑定信用卡或是PayPal)
配置接入
启用CloudFlare for SaaS
路径:你的闲置域名——SSL/TLS——启用CloudFlare for SaaS
这里站长的付款方式是用的PayPal,可以正常支付,跳转的账单显示金额为$0.00,0元购后继续就可以开启SaaS了。
自定义主机名
CloudFlare处
如图,添加一条A记录和一条CNAME的记录
添加回退源
在添加回退源(Add Fallback Origion)处填写一个想接入的二级域名。
添加自定义主机名
主机名填写自己想添加的站点,证书验证方法默认TXT验证。成功添加后如上图所示
验证域名所有权
按要求解析证书和主机名两个TXT记录,这里我是在DNSPod上添加的。根据热心网友提示,使用DNSpod的话,添加自定义主机记录的时候要先等TXT记录生效再添加CNAME,以防冲突。
域名解析记录
域名服务商处(此处以DNSPod为例)
添加一条境外线路解析,记录值填入CloudFlare的CNAME记录值或通过CloudFlare for SaaS设置的自定义主机名。
CloudFlare近期做出了新的变化,就是将防火墙规则、速率限制规则和托管规则整合到新的 WAF 中,新的WAF对用户体验更加良好,配置也更加灵活。如果想了解更多,请点击后方链接直达官网blog:新的 WAF 体验 (cloudflare.com)
免费用户想一直白嫖的话,建议只启用“防火墙规则”和“工具”这两项。
防火墙规则
免费用户总共可以配置5条规则,大家记住要合理配置,此处我示范我设定的两条规则
搜索引擎放行
这条规则算是比较重要的,建议权重设为1(如上图“搜索引擎放行”一栏“1”的左侧可以上下拖动控制权重)
点击“创建防火墙规则”,在“字段”一栏中选择“合法机器人爬虫”,“选择操作”中设置为允许放行,然后保存
危险文件路径及特定文件类型排除
禁止访问PHP文件,PHP文件是最被频繁恶意扫描的文件类型之一,必须得合理控制PHP的文件访问范围。对于Typecho系统,建议配置如下:
另外就是看自己习惯选择添加admin目录
工具
IP 访问规则
添加非常简单,不必讲。“值”的话尽量选择黑客高产区域(如美国、欧洲区域),“操作”尽量选择“托管质询”
用户代理阻止
这个······建议可以阻止一下IE就够了
查看WAF的效果
路径:安全性——概述——防火墙事件——活动日志