本篇文章将主要介绍,CloudFlare这款很良心的产品,该款重量级产品提供大量免费的安全功能。
虽然限制了配置数量,但依然可以通过一条写出多种需求的安全规则满足所有业务需求。
总体来说一句话,就是使用免费版本CloudFlare的安全功能可以像使用付费版本一样的无限制体验,可以理解为相当于免费无限制白嫖CloudFlare所有的安全功能。
文章的重点是配置一条免费的安全规则可以全功能使用其所有WAF自定义的规则参数。
例如:可以基于地理位置拦截指定国家地区访问当前网站(免费版),基于不同的URI路径配置定义跳转等等操作。
文章开头先介绍SSL/TLS,如果不感兴趣可以直接跳转至配置安全规则相关位置。
主要介绍跟CloudFlare相关的以下两个安全功能:
- SSL/TLS
- 安全性
CloudFlare SSL/TLS功能概述
关于CloudFlare的SSL/TLS功能非常好用,配置也方便,这个在之前的文章中有介绍过一些相关的信息,这里再对每个点都介绍一下。
概述
此处是CloudFlare介绍SSL/TLS相关功能的作用,主要是告诉你3个角色,分别是:
- 访问网站的用户。
- 被访问的CloudFlare。
- 躲在CloudFlare的真实服务器。
然后就是基于这三个角色之间到底要不要使用SSL/TLS,分别有如下几个场景:
- 不使用SSL/TLS功能,就选择关闭(不安全)的功能选项。
- 确保访问网站的用户到CloudFlare之间是使用SSL/TLS,就选择灵活功能选项。
- 确保访问网站的用户到CloudFlare和CloudFlare到后端真实服务器之间都是使用SSL/TLS,那么就使用完全这个功能选项。(对于后端服务器是否使用可信的CA颁发机构还是自建的CA颁发机构不做要求,意思就是后端使用自签名证书也没关系。)
- 确保访问网站的用户到CloudFlare和CloudFlare到后端真实服务器之间都是使用SSL/TLS,且后端服务器必须使用公网可信的颁发机构签发的证书,最好是使用 Cloudflare 的源服务器 CA 为您的源服务器生成证书。此时就需要选择完全(严格)的功能选项。
主要就是上述功能,而且这个功能是最常用的,要是CloudFlare接入自己的网站就必须使用上述功能选项中的一种(前提是网站已经接入到CloudFlare,DNS的NS配置为CloudFlare且是代理模式)。
边缘证书
意思就是访问网站的用户和CloudFlare之间的流量,所使用的SSL/TLS证书,CloudFlare给我们提供了两个证书,一个是备用一个是正在使用。
客户端证书
这个客户端证书基于当前场景下,此客户端证书用的少,其主要用于API Shield等功能,对目前场景不适用,具体参考官方文档:
源服务器
这个源服务器在CloudFlare中使用的非常多,主要是用在自定义CloudFlare到源服务器(后端真实服务器)之间的流量加密。
使用也很简单,直接点击创建证书,然后使用CloudFlare自动生成的私钥和CSR去申请签发证书,然后选择有效期为15年,将得到的证书配置到自己后端真实服务器确保其运行正常之后就可以了。
自定义主机名
此功能在目前场景用不上,详情参考官方文档:
安全性
CloudFlare也介绍了它的安全功能,免费版本都给你用,效果跟收费的版本一样,唯一的限制就是它会限制你配置规则的条数。
我认为这是CloudFlare最良心的地方,因为只要毫无保留的把功能都给你,至限制你配置规则条数。
那么只要你懂得规则的逻辑,完全是可以配置一条规则,使用或的关系,就可以相当于免费配置多条不同的安全规则,完全超过官方限制的免费版安全规则的条数。
事件
这个就是个展示命中安全规则事件的大盘,看命中了哪些安全规则,做个展示,很好理解,没啥好说的。
WAF
关于WAF是什么我就不做介绍了,之前文章已经多次强调了,我绝对对于技术小白来说,使用CloudFlare相关的安全功能真的非常友好且方便,只需要点点,就能解决一切问题。
CloudFlare官方提供的这个WAF功能,有4个配置的位置,分别为:
- 自定义规则
- 速率限制规则
- 托管规则
- 工具
本篇文章我主要阐述通过配置一条自定义规则就能一劳永逸的使用WAF所有功能,当然了,一些收费的内置安全规则是不能使用的,比如OWASP TOP 10相关的安全规则。
基于国家限制访问
这个需求相当大,我自己的网站就会经常使用到此功能,可以基于每个国家的地理位置进行拦截或者其他动作,而且是没有限制,具体看我配置如下:
效果展示:
上述只是基于国家地区进行拦截操作,还可以基于它的自定义条件,进行跳转,重定向等等操作都是可以的。
配置安全规则介绍
整个流量的走向,CloudFlare也给出了明确的展示,这个设计非常好。
从上述流量走向来看,我上面写的基于国家地理位置限制访问的操作目的是达到了,但也是有些缺陷的,就是会影响性能。
因为流量到了应用层才把来源干掉,而实际场景要想使性能更好,当然是使用IP访问规则的位置进行设置基于国家地理位置限制访问。
理论上是有性能影响,但实际,咱有免费使用的就不错了,而且达到了效果,至于性能,我详细CloudFlare此等大厂来说针对我等小站可以忽略不记了。
当流量进来匹配的条件记录有很多,可以根据需要进行配置,只要对这些条件足够熟悉,完全可以自定义出自己想要的实际业务需求场景,下面是CloudFlare提供的传入请求字段和运算符信息:
请求传入字段
URI完整
URI
URI路径
URI查询字符串
ASN
Cookie
国家/地区
洲
主机名
IP源地址
引用方
请求方法
SSL/HTTPS
HTTP版本
用户代理
X-Forwarded-For
已验证客户端证书
一次性电子邮件检查
已知自动程序
威胁分数
已通过验证自动程序类别
MIME 类型
标头
Cookie值
运算符
wildcard
strict wildcard
等于
不等于
包含
不包含
与正则表达式匹配
与正则表达式不匹配
开头为
开头不是
结尾为
结尾不是写这些规则,官方都会给出提示,给了一个具体示例,做的是非常的好,对用户非常好,例如:
其他安全功能简介
针对CloudFlare的其他安全功能,基本都是收费的,或者限制只能配置一条安全规则等,不是本篇文章的重点,所以我就简要介绍下。
速率限制规则
此规则免费版本只能配置一条规则,作用是防止互联网上一些机器程序,爬虫等自动化程序的缓解操作,可以缓解CC攻击。
托管规则和工具
托管规则和工具都是收费的,一个是提供大量优质的内置规则库,另一个是可以基于IP地址,User-agent,指定区域等参数进行细化的配置规则。
上述除了可以基于User-agent配置10条规则,其他的两个功能都是收费的。
Page Shield
这个功能对小站没有太多的适用场景,可参考:
自动程序
这个功能可以免费使用,但是免费版本,官方CloudFlare只提供一些热门的爬虫指纹或恶意自动化程序指纹进行识别,并发起类似JS的挑战来缓解网站被恶意程序频繁的访问和采集。
大致意思就是免费的CloudFlare只会给你提供一些出名的恶意自动化程序指纹的检测,对于一些高级操作,免费版本不提供。
DDoS
这个就不必说了,一般小站遇不到,真要遇到了,没钱抵御就关站吧,没什么好的解决办法。
总结
本篇文章其实主要讲的是如何使用免费的CloudFlare安全功能,配置基于国家地区限制访问网站的操作事项.
其中还指出CloudFlare的免费功能不仅限于此,还有其他高级功能都能免费使用,前提是需要充分熟悉并了解WAF的传入参数配置的使用方法.
基于此做到以不变应万变,通过灵活变通定制到实际业务需要的安全规则。
