Cloudflare为网站提供免费服务,即可以加速,又提供安全防护,基本上是每个网站必用的服务。通过在Cloudflare平台上结合自己网站、服务器的情况进行设置,那么网站各方面表现有一个档次提升。
一、概述
非必要不开启
Under Attack 模式:在访问者访问您的站点时显示 JavaScript 质询。
开发模式:暂时绕过我们的缓存。实时查看对您的源服务器进行的更改。
二、DNS
不多说。
三、SSL/TLS
自有证书的,用完全(严格)
服务器有证书的,用完全
服务器没证书的,用灵活
不适合用SSL,关闭
四、防火墙
免费的Cloudflare防火墙可以设置5条规则,设置界面灵活且直观。
1、根据IP信誉阻止请求
防火墙表达式(not cf.client.bot and cf.threat_score gt 2),执行操作,质询(Captcha)
解释:cf.threat_score(威胁分数)表示从0到100的Cloudflare威胁评分,其中0表示低风险。大于10的值可能代表垃圾邮件发送者或机器人,大于40的值表示互联网上的不良行为者。一个常见的建议是质询分数高于10的请求并阻止分数高于50的请求。
cf.client.bot(合法机器人爬虫)当数值为true,标识来自良好的机器人或爬虫的请求。
这与后面的安全级别设置一样
High - 分数高于 0
Medium - 分数高于 14
Low - 分数高于 24
Essentially Off - 分数高于 49
2、选择性防盗链
防火墙表达式(not http.referer contains "chew.ink"),执行操作,阻止
这与后面设置的Hotlink保护,一个原理
解释:引用方(http.referer)表示HTTP Referer请求头,其中包含链接到当前请求页面的网页地址。上述表达式的意思是,排除指定网站之外,其他网站的盗链均阻止。如果使用这个规则,需要在Scrape Shield应用程序中禁用热链接保护。
3、登陆保护
防火墙表达式(not ip.src in {202.96.134.0/24} and http.request.uri.path contains "/wp-admin"),执行操作,阻止
解释:当客户端IP地址不在指定范围,并且请求的URI路径包含后台管理路径时候,阻止访问。
4.根据ASN调整规则
防火墙表达式(ip.geoip.asnum in {37963 45090 55990} and not cf.client.bot),执行操作,质询(Captcha)
解释:ASN(ip.geoip.asnum)表示与客户端IP地址关联的自治系统 (Autonomous System) 编号。
上面的那条防火墙规则,可以屏蔽阿里云、腾讯云和华为云这三家云服务商的IP地址的访问,常言道,同行是冤家,使用阿里云、腾讯云和华为云来抓取你网站的,通常都不是善类,一般情况下都是恶意采集、恶意抓取、CC攻击和DDOS攻击等等,通过ASN屏蔽可以一次屏蔽数百万IP地址,非常高效。
自动程序攻击模式:没有特别情况,选择关闭,因为会增加一个invisible.js文件,影响加载速度。
五、速度
Rocket Loader™:关闭
其他都开启,CSS和JS最好能分离
六、缓存
Always Online™:关闭,增加源服务器负担,没什么意思
七、网络
所有项能开启都开启
八、页面规则
可以根据需求单独设置特殊页面的规则,比如二级域名,301跳转。
九、Scrape Shield
电子邮件地址混淆技术:关闭,增加JS文件,对速度影响
十、Zaraz
加载第三方工具,比如分析、广告等第三方网站的代码