目前國際有不少網(wǎng)站都掛了Cloudflare服務(wù)，Cloudflare主要提供的安全服務(wù)是幫助網(wǎng)站阻止來自網(wǎng)絡(luò)的黑客攻擊、垃圾郵件等，并提升網(wǎng)頁的瀏覽速度等。筆者近日在Cloudflare為自己的網(wǎng)站部署好了防火墻（WAF）、抗DDoS等防護(hù)，頗有成效，因此給大家介紹一下，幫助大家更輕松地部署Cloudflare防火墻，保護(hù)自己的網(wǎng)站不受來自于惡意爬蟲、惡意流量、DDoS攻擊CC攻擊的威脅

我本人的服務(wù)器是一臺位于新加坡的阿里云服務(wù)器，目前服務(wù)器內(nèi)已經(jīng)配置好了Nginx + MySQL + PHP + WordPress + phpMyAdmin + Pure-Ftpd等應(yīng)用和開發(fā)環(huán)境，已運(yùn)行一個博客網(wǎng)站，目前網(wǎng)站正常運(yùn)行，能夠有效攔截惡意爬蟲和惡意流量

閱前提醒：由于國內(nèi)某大型網(wǎng)絡(luò)設(shè)施對Cloudflare的反制，目前Cloudflare的部分節(jié)點(diǎn)在中國大陸地區(qū)均無法正常訪問。一個多月前vscode官網(wǎng)被封、mc不能連上官方服務(wù)器都是因?yàn)檫@個原因。如果你的服務(wù)器在國內(nèi)，且你的網(wǎng)站的訪客主要來自于中國大陸，那么盡量不要部署Cloudflare，特此聲明

一、注冊Cloudflare賬戶

登錄Cloudflare中國官網(wǎng)，進(jìn)入之后點(diǎn)擊右上角的注冊，就進(jìn)入了上面這個畫面

Email輸入你的郵箱，Password輸入密碼，密碼要大小寫英文+數(shù)字+字符

下面那個勾勾是是否允許Cloudflare推送產(chǎn)品服務(wù)廣告到你的郵箱的，你也不想讓郵箱被廣告轟炸吧？不要勾選

點(diǎn)擊Sign Up，即可注冊

點(diǎn)擊“添加網(wǎng)站或應(yīng)用程序”

把域名輸入進(jìn)去，點(diǎn)擊繼續(xù)

Cloudflare會為你的網(wǎng)站域名分配一個DNS服務(wù)器，稍等一下

Cloudflare會給你分配兩個DNS服務(wù)器，現(xiàn)在回到你的域名提供商（買域名的網(wǎng)站），去修改DNS。因?yàn)槲业挠蛎窃诎⒗镌瀑I的，所以在阿里云改

進(jìn)入阿里云控制臺，點(diǎn)擊左上角的橙色框框，點(diǎn)擊"域名"，進(jìn)入域名控制臺

左側(cè)列表選擇“域名列表”，就能看到你買的域名了

點(diǎn)擊“管理”

左側(cè)列表選擇“DNS管理”-“DNS修改”，點(diǎn)擊“修改DNS服務(wù)器”，把Cloudflare給你分配的兩個DNS服務(wù)器地址填進(jìn)去

修改DNS后需要一段時間同步到全球的DNS服務(wù)器，這段時間你可能不能正常訪問網(wǎng)站，這是正常的

完成之后，我們回到Cloudflare官網(wǎng)繼續(xù)操作。

接下來會讓你填類似這樣的東西，IPv4地址填服務(wù)器IP地址，至于代理狀態(tài)……

簡單來說，就是你的連接走了Cloudflare的代理，別人訪問你的網(wǎng)站或者ping你的網(wǎng)站是不能直接看到你的服務(wù)器源IP地址的，如果想隱藏自己服務(wù)器IP地址的可以開一下，但代價就是連接速度會比較慢，這個在后面我們會有補(bǔ)救措施，盡量不要讓它那么慢

要填寫兩次，一次名稱是www，一次名稱是你的網(wǎng)站域名，如果你的網(wǎng)站更加龐大更加復(fù)雜……那不在本文討論范圍之內(nèi)，我也解決不了

在綁定完IP之后，應(yīng)該會提示選擇付費(fèi)計(jì)劃，選擇最下面的Free（免費(fèi)）即可，免費(fèi)的功能已經(jīng)足夠強(qiáng)大，夠我們用了

這樣我們就基本完成了Cloudflare的注冊，和DNS修改

二、部署Cloudflare防火墻

這一步是重中之重，也是本文的核心內(nèi)容

本文不介紹SSL證書如何配置，僅介紹Cloudflare防火墻配置方法，請自行搜索“Cloudflare SSL證書 服務(wù)器部署”以獲得你需要的信息

你現(xiàn)在應(yīng)該在Cloudflare控制臺主頁了，點(diǎn)進(jìn)你的域名（就是我上面這張圖最底下碼住的地方），進(jìn)入域名控制臺

左側(cè)欄點(diǎn)擊“安全”————“設(shè)置“

按照上面圖片來配置，安全級別設(shè)為高，質(zhì)詢通過期不建議超過1小時（就是你有時候用魔法登錄谷歌一類網(wǎng)站，會提示are you bot，那個就是質(zhì)詢，因?yàn)槲覀兪菙r住爬蟲和惡意流量惡意訪問的，建議時間短一點(diǎn)，也不要太短了，否則影響正常瀏覽），瀏覽器完整性檢查勾上（爬蟲一般都是自動程序，一般不具備瀏覽器的完整性，開了可以擋掉一部分爬蟲，當(dāng)然也有部分爬蟲帶了Selenium的，這在后面會繼續(xù)介紹如何防它）

左側(cè)欄點(diǎn)擊“安全”——“DDoS“

直接開，不用解釋了，你也不想哪天起床發(fā)現(xiàn)流量爆了欠了幾千幾萬流量錢吧？（）

點(diǎn)擊“部署DDoS替代”

按照上面圖片來配置就行，直接全開而且全高

左側(cè)欄點(diǎn)擊“安全”——“自動程序“

就是防爬蟲的，直接開，理由同上

左側(cè)欄點(diǎn)擊“安全”——“WAF”，點(diǎn)擊自定義規(guī)則

這個要多說一點(diǎn)，因?yàn)榕老x、惡意流量、惡意訪問它們的行為是不同的，對策也應(yīng)該不同

先簡單介紹一下我的方案

你會發(fā)現(xiàn)優(yōu)先度都有區(qū)別，阻止在最上面，JS質(zhì)詢托管質(zhì)詢應(yīng)該在下

路徑保護(hù)，就是防止一些惡意程序非法流量去爬一些服務(wù)器里面文件目錄啥的，這種直接殺，直接阻止即可

可以直接抄我的，不過最好根據(jù)你網(wǎng)站的實(shí)際情況來，因?yàn)槊總€人的網(wǎng)站目錄安排都不一樣

IP封禁，字面意思，不用解釋了吧，把要封禁的IP直接填進(jìn)去就行。這里要提一嘴，如果你發(fā)現(xiàn)封了IP沒啥用，可以封ASN。ASN通俗理解就是一個網(wǎng)絡(luò)服務(wù)商提供的ip地址集合。由于是地址集合，所以里面必然有正常流量有非法流量，所以這么操作必然誤傷了。簡單介紹怎么操作

上面這個德國哥們有點(diǎn)煩人啊，如果但看用戶代理我們會發(fā)現(xiàn)是正常的，但是訪問的路徑明顯有問題，可以認(rèn)定為非法流量，所以我們要封它，有時候發(fā)現(xiàn)封IP沒啥用，比如上面這個，怎么辦呢？就封ASN。上面這張圖，ASN后面有個AS20473，那么它的ASN碼就是20473，直接回到規(guī)則里面填進(jìn)去阻止訪問就行了

封IP這個操作建議謹(jǐn)慎執(zhí)行，因?yàn)榭赡軙`傷其他正常流量

地區(qū)防火墻，不用解釋了。這個根據(jù)自己實(shí)際情況來就行。一般是填I(lǐng)P來源地區(qū)不包含xxx國家/地區(qū)就JS質(zhì)詢托管質(zhì)詢，假如網(wǎng)站主要訪客都來自于中國，而且你自己不會用魔法登錄你的網(wǎng)站，那直接填中國大陸港澳臺就行，如果有用魔法的話，就根據(jù)實(shí)際情況來填。因?yàn)镈DoS攻擊和CC攻擊多來自于海外，所以如果你沒有特殊需求或沒有訪客來自于海外，那就把中國大陸港澳臺之外的其他地方全ban了

防惡意爬蟲，也是字面意思，這個可以直接給大家抄了

用戶代理這里提一嘴，很多爬蟲都會偽裝，不一定帶了Mozilla的就不是爬蟲，反之不帶的一定不是

自定義規(guī)則就配完了，下面是速率限制，直接抄就行

最后一個，左側(cè)欄“網(wǎng)絡(luò)”，洋蔥路由直接關(guān)，能用洋蔥路由訪問你網(wǎng)站的，什么成分不言自明

這樣基本就配置完防火墻了，一句話總結(jié)：防火墻該開的要開而且要盡可能調(diào)高，盡量做到不干擾正常流量的同時可以阻擋非法流量，平時多去控制臺看看，根據(jù)實(shí)際情況調(diào)整防火墻

三、DLC（附加內(nèi)容）——利用Cloudflare的CDN，為網(wǎng)站加速

這部分不屬于防火墻內(nèi)容，但我要提一嘴，當(dāng)你部署完Cloudflare的代理之后，你會發(fā)現(xiàn)訪問網(wǎng)站的速度明顯變慢了（主要體現(xiàn)在中國大陸，原因懂得都懂），如果我們不想讓我們的網(wǎng)站速度太慢，就可以盡量利用Cloudflare的CDN緩存，給我們的網(wǎng)站加速

左側(cè)欄“規(guī)則”——“頁面規(guī)則”

看上面這張圖應(yīng)該能大概明白什么意思了吧，不明白我可以簡單解釋一下

假如你有一個網(wǎng)站叫做www.abc.def，同時一般還會有abc.def這個域名，第一條就是向abc.def的請求直接轉(zhuǎn)發(fā)到www.abc.def，減輕服務(wù)器的壓力（和C++重載相等運(yùn)算符和不等運(yùn)算符，只需要寫一個，另一個直接調(diào)用寫好的那一個道理是一樣的）

第二條是繞過，假如www.abc.def下面有一個頁面叫做admin，admin的頁面經(jīng)常變動，那么我們就不能緩存它，而應(yīng)該是選擇直接繞過去，這個根據(jù)你的網(wǎng)站實(shí)際情況來

第三條就是緩存了，也是讓我們的網(wǎng)站變得更快的最重要的一個方法，假設(shè)我們緩存了abc.def/*這個域名，那么我們第一次會向CDN服務(wù)器發(fā)起請求，CDN服務(wù)器內(nèi)部沒有類似的內(nèi)容，就會向我們源服務(wù)器請求這個數(shù)據(jù)，同時CDN會把這些數(shù)據(jù)緩存下來，以后我們再訪問這個頁面，CDN就能直接把數(shù)據(jù)從CDN本身返回給我們了，因?yàn)镃loudflare本身不是靠流量計(jì)費(fèi)，所以緩存可以隨便設(shè)，非常良心

經(jīng)過我本人實(shí)測，PC設(shè)備使用接入中國教育網(wǎng)，使用Edge瀏覽器訪問網(wǎng)站的情況下，使用CDN緩存策略前單次訪問需要4-6s，部署CDN緩存后訪問只需1-2s，速度提升非常明顯

以上就是Cloudflare防火墻部署指南的全部內(nèi)容了，按照上面的內(nèi)容做完，相信你的網(wǎng)站一定可以攔下不少惡意流量惡意爬蟲（）至少我本人是這樣的，前面提到的德國哥們就是Cloudflare防火墻為我攔下的惡意流量

頗有成效

大家都可以先試一試，感受Cloudflare防火墻的威力文章來源地址http://www.zghlxwxcb.cn/news/detail-834524.html

到了這里，關(guān)于簡單操作讓你的網(wǎng)站不受惡意流量惡意爬蟲威脅！Cloudflare防火墻部署指南的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！