最近一段时间一直在搞Cloudflare的一些工作,特别去了解和使用批量重定向、页面规则、托管规则、反机器人流量等防护功能,而这些功能之间的顺序关系无疑是很重要的,今天正好看了这方面的一些文章,记录下来:
- Traffic Sequence: Which Product Runs First?
- Order and Priority of Cloudflare Firewall Rules
- A new WAF experience
记得几个月前看到Cloudflare改版时有一幅流量顺序的图,后来Cloudflare再次改版后就没有看到过了,今天在《全新的 WAF 体验》这篇文章中找到了这幅图,复制下来保存:
图片不太清晰,我打字记录,括号中是我的注释笔记:
- DDoS / 分布式拒绝服务(目前看我们网站遇到DDos攻击的情况很少)
- URL Rewrites / URL重写(我们主要使用批量重定向功能,URL重写用得很少)
- Page Rules / 页面规则(复杂规则重定向、部分路径不缓存、最后一条一般是“缓存所有”)
- IP Access Rules / IP限制规则(可以设置单IP、IP段、ASN、IP所属国家这几种限制)
- Bots / 机器人(暂时未使用,避免误屏蔽一些正常的机器人爬虫,例如广告平台的爬虫)
- WAF / Web应用防火墙(主要使用防火墙规则、托管规则)
- Header Modifications / Header修改(只在修改content type等少数情况下使用过)
- Access / 身份验证(暂未使用)
- Workers / 边缘计算(只在做IP代理等少数情况下使用)
- Load Balancing / 负载均衡(暂未使用)
- Origin / 源服务器
不过,上面似乎还没有涵盖所有过程,更详细的一幅图来自文章 Traffic Sequence: Which Product Runs First?:
而Web应用防火墙WAF内部还有一些顺序规则,从 Order and Priority of Cloudflare Firewall Rules 这篇文章可以看到这幅截图:
用文字顺序表示上面的Web防火墙顺序图像,括号中是我的注释笔记:
- http请求(入防火墙)
- IP限制规则(可以设置单IP、IP段、ASN、IP所属国家这几种限制)
- 防火墙规则(各种组合条件、多种屏蔽方式,例如屏蔽不存在的网址、屏蔽非正常User Agent等)
- 区域锁定规则(部分URL只能在指定IP访问)
- 用户代理规则(填写要屏蔽的完整User Agent,不如防火墙规则灵活)
- 浏览器完整性检查(Cloudflare中一般都可以开启,百度云加速中如果开启会误屏蔽Bing爬虫)
- 防盗链保护(一般未开启)
- 安全级别(IP声誉)
- 速率限制(需要根据使用量付费,可以在保护登录等少量页面使用)
- 托管规则(需要详细研究才能更好地使用)
- 出防火墙
要想把Cloudflare的一些功能都用好,还真的必须把这些流量顺序都搞得清清楚楚。
先记录到这里,以后再补充。
补充:
- 屏蔽不存在的网址,路径中包含的关键词:wordpress, wp-, .tar, .zip, .rar, .gz (.xml.gz除外), .asp, .jsp, database, backup, .bz2, .7z, //, xmlrpc.php, etc.
- 屏蔽非正常用户代理,User Agent中包含的关键词:null, -, HttpClient, DTS Agent, HTTrack, Python-urllib, Copier, EMail Exractor, Scrapy, etc.
自由标签
评论