当前位置

Cloudflare的流量顺序

James Qi 在 2022年9月7日 - 16:27 提交

最近一段时间一直在搞Cloudflare的一些工作,特别去了解和使用批量重定向、页面规则、托管规则、反机器人流量等防护功能,而这些功能之间的顺序关系无疑是很重要的,今天正好看了这方面的一些文章,记录下来:

记得几个月前看到Cloudflare改版时有一幅流量顺序的图,后来Cloudflare再次改版后就没有看到过了,今天在《全新的 WAF 体验》这篇文章中找到了这幅图,复制下来保存:

Cloudflare Traffic Sequence

图片不太清晰,我打字记录,括号中是我的注释笔记:

  1. DDoS / 分布式拒绝服务(目前看我们网站遇到DDos攻击的情况很少)
  2. URL Rewrites / URL重写(我们主要使用批量重定向功能,URL重写用得很少)
  3. Page Rules / 页面规则(复杂规则重定向、部分路径不缓存、最后一条一般是“缓存所有”)
  4. IP Access Rules / IP限制规则(可以设置单IP、IP段、ASN、IP所属国家这几种限制)
  5. Bots / 机器人(暂时未使用,避免误屏蔽一些正常的机器人爬虫,例如广告平台的爬虫)
  6. WAF / Web应用防火墙(主要使用防火墙规则、托管规则)
  7. Header Modifications / Header修改(只在修改content type等少数情况下使用过)
  8. Access / 身份验证(暂未使用)
  9. Workers / 边缘计算(只在做IP代理等少数情况下使用)
  10. Load Balancing / 负载均衡(暂未使用)
  11. Origin / 源服务器

不过,上面似乎还没有涵盖所有过程,更详细的一幅图来自文章 Traffic Sequence: Which Product Runs First?

Cloudflare Traffic Sequence Detail

而Web应用防火墙WAF内部还有一些顺序规则,从 Order and Priority of Cloudflare Firewall Rules 这篇文章可以看到这幅截图:

Cloudflare firewall rules order and priority

用文字顺序表示上面的Web防火墙顺序图像,括号中是我的注释笔记:

  1. http请求(入防火墙)
  2. IP限制规则(可以设置单IP、IP段、ASN、IP所属国家这几种限制)
  3. 防火墙规则(各种组合条件、多种屏蔽方式,例如屏蔽不存在的网址、屏蔽非正常User Agent等)
  4. 区域锁定规则(部分URL只能在指定IP访问)
  5. 用户代理规则(填写要屏蔽的完整User Agent,不如防火墙规则灵活)
  6. 浏览器完整性检查(Cloudflare中一般都可以开启,百度云加速中如果开启会误屏蔽Bing爬虫)
  7. 防盗链保护(一般未开启)
  8. 安全级别(IP声誉)
  9. 速率限制(需要根据使用量付费,可以在保护登录等少量页面使用)
  10. 托管规则(需要详细研究才能更好地使用)
  11. 出防火墙

要想把Cloudflare的一些功能都用好,还真的必须把这些流量顺序都搞得清清楚楚。

先记录到这里,以后再补充。


补充:

  • 屏蔽不存在的网址,路径中包含的关键词:wordpress, wp-, .tar, .zip, .rar, .gz (.xml.gz除外), .asp, .jsp, database, backup, .bz2, .7z, //, xmlrpc.php, etc.
  • 屏蔽非正常用户代理,User Agent中包含的关键词:null, -, HttpClient, DTS Agent, HTTrack, Python-urllib, Copier, EMail Exractor, Scrapy, etc.

自由标签:

添加新评论

Plain text

  • 不允许使用HTML标签。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。