Настройка аккаунта Cloudflare для ускорения и защиты сайта (поведенческие боты, АнтиДДОС)

Большинство из тех, кто подключает себе Cloudflare, даже не в курсе того, что настройка фильтрации Cloudflare - это не только настройка правил WAF. Тем более, об этом неизвестно тем, кто пытается настроить Cloudflare, ориентируясь на рекомендации из интернета по фильтрации поведенческих ботов. Там об этом просто не пишут, потому что не знают.

Если вы не знаете / не умеете / не хотите - обратитесь к профессионалам. Я с удовольствием вам помогу.

Все отмеченные ниже цифрами пункты меню административного интерфейса Cloudflare нужно открыть, и в каждом произвести необходимые настройки. То что установлено изначально по умолчанию, не является продуктом из разряда взял и пользуйся. Это чистый лист. А взять кисть и нарисовать на этом холсте должны именно вы.

Настройка аккаунта Cloudflare для ускорения и защиты сайта (поведенческие боты, АнтиДДОС)

Настройка DNS записей домена

Настройка начинается с анализа ДНС записей домена. Все ли корректно в почтовых записях, все ли на месте. При добавлении сайта на Cloudflare (иногда) необходимые записи не полностью подтягиваются с вашего хостинга (отныне эти записи добавляются / редактируются именно на клаудфларе, а не на хостинге), и некоторые просто отсутствуют.

Например, это может быть SPF, DMARK или DKIM запись домена, или какие-то поддомены. SPF и DKIM - это почтовые записи, отсутствие которых приведет к попаданию вашей почты в спам.

Например, на вашем сайте есть формы обратной связи. После заполнения форм - сайт автоматически отправляет письмо на адрес администратора. При некорректных / отсутствующих записях - вы обнаружите свою почту в папке "Спам". Аналогичная история с интернет-магазином. При заказе клиент получает письмо с подтверждением, счет на оплату, и так далее. Если вы на начальном этапе сделаете глупость, то ваш бизнес пострадает от того, что почта ходить перестанет.

Поддомены, как правило, располагаются на том же айпи адресе, что и основной домен. Логично A записи поддоменов заменить на CNAME записи.

Необходимо убедиться в том, что в TXT SPF записи домена отсутствует айпи адрес.Например, вот такую конструкцию (на примере хостинга Beget) v=spf1 ip4:45.12.17.59 a mx ~all необходимо заменить на такую v=spf1 redirect=_spf.beget.com

Если вами по незнанию допущена ошибка, и реальный адрес сервера доступен всем желающим при просмотре через специализированные сервисы, то ДДОС атаку на сайт можно организовать, обращаясь напрямую к айпи адресу сайта, в обход любых защит.

Cloudflare SSL/TLS

Далее настраивается защищенное соединение между сервером и Cloudflare.

Первое, с чем вы скорее всего точно столкнетесь - после подключения Cloudflare ваш сайт перестанет работать.

Вместо сайта будет показываться белая страница с надписью: Сайт выполнил переадресацию слишком много раз.

Необходимо переключить режим SSL Cloudflare с Flexible на Full.

Настройка аккаунта Cloudflare для ускорения и защиты сайта (поведенческие боты, АнтиДДОС)

Также, через какое-то время (к моменту окончания стандартного SSL сертификата на хостинге, как правило это Let's Encrypt со сроком действия 3 месяца) может случиться так, что хостер больше не сможет обновить сертификат автоматически (так как NS записи сайта теперь указывают на Cloudflare, а не на хостинг).

При необходимости, на сервер устанавливается SSL сертификат Cloudflare (он выдается на 10-15 лет). Снаружи же, в своем браузере, вы видите данные второго ССЛ сертификата, автоматически обновляемого Cloudflre раз в три месяца (сертификат Google Trust Services LLC).

Также в данном разделе необходимо настроить параметры HTTPS и HTTP Strict Transport Security (HSTS), установить версию TLS.

Cloudflare Security

Здесь необходимо активировать параметры в подразделе DDoS (DDoS Level 7). Это поможет вам в том случае, если ваш сервер подвергнется ДДОС атаке.

Далее - настройки кеширования, базовые настройки оптимизации сайта, из инструментов, что предоставляет Cloudflare. Полностью вас это не спасет, так как ДДОС бывает не только 7 уровня, но еще и DDoS Level 3, DDoS Level 4 (т.е. нужна профессиональная настройка правил фильтрации трафика WAF, о которой мы поговорим в следующей статье). Но как минимум, это смягчит атаку.

Настройка аккаунта Cloudflare для ускорения и защиты сайта (поведенческие боты, АнтиДДОС)

В разделе Settings необходимо выставить оптимальные настройки безопасности.

Cloudflare Speed

Для того, чтобы максимально использовать предоставляемые Cloudflare настройки быстродействия, вам нужно настроить параметры быстродействия, сжатие Brotli, выдачу корректных заголовков Early Hints, параметры минификации кода сайта.

Cloudflare Caching

В этом разделе устанавливаются сроки кеширования статического контента. Это ускоряет загрузку страниц сайта при возвращении посетителя через какое-то время. Если вы некорректно настроили этот раздел, то при повторном посещении изображения, скрипты, CSS стили сайта будут грузиться в браузер посетителя с вашего сервера. Это долго. Если же все корректно - они мгновенно загрузятся из кэша вашего браузера.

также есть параметры, которые напрямую будут влиять на то, сколько обращений к вашему серверу будет осуществляться со стороны Cloudflare во время ДДОС атаки. Если вы здесь ошибетесь или обратитесь за настройкой к малограмотному специалисту - ваш сайт врядли сможет выдержать ДДОС.

Хостер вас просто отключит, чтобы снизить нагрузку на все остальные сайты, располагающиеся на том же сервере (т.е. при Shared хостинге - вас отключат гарантированно).

Cloudflare Rules

По умолчанию контент (страницы) вашего сайта грузятся именно с вашего сервера. А значит, чем дальше территориально посетитель находится от вас (например, хостинг в Москве), а посетитель в Калининграде, тем дольше для него будут загружаться страницы вашего сайта.

Только грамотно прописанные правила кеширования страниц (Page Rules) позволят вам снизить пинг. Например, страницы этого сайта мгновенно отдаются посетителю прямо с серверов Cloudflare, в какой бы точке мира не находился посетитель. Без обращения к моему серверу, с ближайшего к посетителю датацентра Cloudflare. Да вы и сами заметили, переход между страницами сайта antiddos24.ru происходит мгновенно.

Обратите внимание на параметр CF-Cache-Status: HIT

Проверить ответ сервера вы можете с помощью инструментов Яндекс вебмастер (либо в инструментах браузера по кнопке F12). Если у вас стоит CF-Cache-Status: DYNAMIC (гарантированно, так и есть, потому что по умолчанию Cloudflare не кеширует страницы вашего сайта) - у вас проблемы.

Настройка аккаунта Cloudflare для ускорения и защиты сайта (поведенческие боты, АнтиДДОС)

Также настраивается запрет кеширования административной части сайта. Бывали случае, когда в силу допущенной ошибки на данном этапе любой, даже не зарегистрированный посетитель сайта видит элементы админки сайта (верхнюю строку, в которой есть данные администратора, установленных плагинов и прочую служебную информацию).

Cloudflare Network

Для уменьшения трафика ботных переходов, вам необходимо отключить протокол IPv6. Как это правильно сделать, вы можете узнать по ссылке.

Cloudflare Scrape Shield

В этом небольшом разделе вы можете управлять видимостью вашего адреса электронной почты для сканирующих ботов. также Cloudflare предоставляет возможность заблокировать хотлинкинг (загрузку на сторонних сайтах изображений, загружающихся при этом по прямым ссылкам с вашего сайта). такое бывает, если у вас украли контент, и разместили его у себя на сайте, вместе со ссылками на ваши картинки внутри.

Резюме

Возможно, для вас стало открытием то, сколько знаний необходимо для того, чтобы максимально защитить и оптимизировать сайт с помощью инструментов, предоставляемых Cloudflare.

Оригинал статьи, а также другие полезные материалы по защите сайта от поведенческих ботов, вы можете найти у меня на сайте.

44
7 комментариев

Cloudflare Speed - кому как. Для некоторых сайтов на WP после включения скорость загрузки наоборот падает. По ситуации надо смотреть.

1

По умолчанию Cloudflare не кеширует страницы целиком, обращение все равно идет к серверу в момент динамического формирования страницы. Поэтому, здесь очень важно наличие кеширования на самом сайте. Также ко времени отклика добавляется путь от посетителя к серверам Cloudflare, и обратное ожидание от Cloudflare до хостинга. Т.е. по факту - путь удлиняется.
Также я отдельно расписал как настроено у меня - без задействования хостинга, сразу в готовом виде с Cloudflare. Так тоже можно, просто об этом мало кто знает.

Не удается отключить протокол IPv6 по приведенной инструкции

Напишите мне в телеграмм, он есть на сайте.
Из того что я вижу, вы выкладывали скриншот на сеофоруме, у вас обрезана команда.
Ее целиком нужно выполнять, а не разбивать на куски.

1

Комментарий недоступен

Вы можете создать ССЛ сертификат в разделе SSL/TLS - Origin Server
После чего добавьте его на хостинге. Создайте 2 файла: key.key и sert.pem и в текстовом редакторе добавьте в них те коды, которые выдаст клауд. И прикрепите в соответствующие поля на хостинге.
После этого можно будет переключить режим шифрования с Full на Full (strict).

1