您在這裡

Cloudflare的流量順序

James Qi 在 2022年9月7日 - 16:27 發表

最近一段時間一直在搞Cloudflare的一些工作,特别去了解和使用批量重定向、頁面規則、托管規則、反機器人流量等防護功能,而這些功能之間的順序關系無疑是很重要的,今天正好看了這方面的一些文章,記錄下來:

記得幾個月前看到Cloudflare改版時有一幅流量順序的圖,後來Cloudflare再次改版後就沒有看到過了,今天在《全新的 WAF 體驗》這篇文章中找到了這幅圖,複制下來保存:

Cloudflare Traffic Sequence

圖片不太清晰,我打字記錄,括号中是我的注釋筆記:

  1. DDoS / 分布式拒絕服務(目前看我們網站遇到DDos攻擊的情況很少)
  2. URL Rewrites / URL重寫(我們主要使用批量重定向功能,URL重寫用得很少)
  3. Page Rules / 頁面規則(複雜規則重定向、部分路徑不緩存、最後一條一般是“緩存所有”)
  4. IP Access Rules / IP限制規則(可以設置單IP、IP段、ASN、IP所屬國家這幾種限制)
  5. Bots / 機器人(暫時未使用,避免誤屏蔽一些正常的機器人爬蟲,例如廣告平台的爬蟲)
  6. WAF / Web應用防火牆(主要使用防火牆規則、托管規則)
  7. Header Modifications / Header修改(隻在修改content type等少數情況下使用過)
  8. Access / 身份驗證(暫未使用)
  9. Workers / 邊緣計算(隻在做IP代理等少數情況下使用)
  10. Load Balancing / 負載均衡(暫未使用)
  11. Origin / 源服務器

不過,上面似乎還沒有涵蓋所有過程,更詳細的一幅圖來自文章 Traffic Sequence: Which Product Runs First?

Cloudflare Traffic Sequence Detail

而Web應用防火牆WAF内部還有一些順序規則,從 Order and Priority of Cloudflare Firewall Rules 這篇文章可以看到這幅截圖:

Cloudflare firewall rules order and priority

用文字順序表示上面的Web防火牆順序圖像,括号中是我的注釋筆記:

  1. http請求(入防火牆)
  2. IP限制規則(可以設置單IP、IP段、ASN、IP所屬國家這幾種限制)
  3. 防火牆規則(各種組合條件、多種屏蔽方式,例如屏蔽不存在的網址、屏蔽非正常User Agent等)
  4. 區域鎖定規則(部分URL隻能在指定IP訪問)
  5. 用戶代理規則(填寫要屏蔽的完整User Agent,不如防火牆規則靈活)
  6. 浏覽器完整性檢查(Cloudflare中一般都可以開啟,百度雲加速中如果開啟會誤屏蔽Bing爬蟲)
  7. 防盜鍊保護(一般未開啟)
  8. 安全級别(IP聲譽)
  9. 速率限制(需要根據使用量付費,可以在保護登錄等少量頁面使用)
  10. 托管規則(需要詳細研究才能更好地使用)
  11. 出防火牆

要想把Cloudflare的一些功能都用好,還真的必須把這些流量順序都搞得清清楚楚。

先記錄到這裡,以後再補充。


補充:

  • 屏蔽不存在的網址,路徑中包含的關鍵詞:wordpress, wp-, .tar, .zip, .rar, .gz (.xml.gz除外), .asp, .jsp, database, backup, .bz2, .7z, //, xmlrpc.php, etc.
  • 屏蔽非正常用戶代理,User Agent中包含的關鍵詞:null, -, HttpClient, DTS Agent, HTTrack, Python-urllib, Copier, EMail Exractor, Scrapy, etc.

自由标簽:

發表新回應

Plain text

  • 不允許使用 HTML 標籤。
  • 自動將網址與電子郵件地址轉變為連結。
  • 自動斷行和分段。