CloudFlare介紹

CloudFlare創(chuàng)建于2009年7月，CEO兼創(chuàng)始人Matthew在哈佛商學院攻讀MBA時建立的，目前用戶已經(jīng)超過了250萬，CloudFlare的CDN節(jié)點分布于全球14個地區(qū)，包括美國、日本、歐洲、亞太等地區(qū)，使用anycast技術(shù)。

配置規(guī)則之前請先前往【防火墻】-【設(shè)置】下，將【Privacy Pass支持】關(guān)閉，以避免一種繞過質(zhì)詢的可能

規(guī)則一：屏蔽海外地區(qū)訪問

屏蔽一些非中國的大陸的訪問

表達式：

(ip.geoip.country ne "CN")

規(guī)則二：IDC ASN驗證

這里提到的ASN 為自治網(wǎng)絡(luò)的代碼，如AS4134為中國電信。以下列表中基本是數(shù)據(jù)中心服務(wù)商的代號，因為對外提供租賃它們也是常見的網(wǎng)絡(luò)攻擊來源，而非海外真實訪客常用的家庭寬帶ISP 。

表達式：

ip.geoip.asnum in {174 195 209 577 792 793 794 1215 1216 1217 2497 2914 3223 3255 3269 3326 3329 3457 3462 3598 4184 4190 4637 4694 4755 4785 4788 4816 4826 4835 5056 5610 5617 6471 6584 6830 6876 6877 6939 7029 7224 7303 7489 7552 7684 8068 8069 8070 8071 8074 8075 8100 8220 8560 8881 8987 9009 9299 9312 9370 9534 9678 9952 9984 10026 10453 11351 11426 11691 12076 12271 12334 12367 12874 12876 12989 14061 14117 14140 14576 14618 15169 16276 16509 16591 16629 17043 17428 17707 17788 177 89 17790 17791 18013 18228 18403 18450 18599 18734 18978 19527 19740 20207 20473 20552 20554 20860 21704 21769 21859 21887 22773 22884 23468 23724 23885 23959 2 3969 24088 24192 24424 24429 24940 25429 25697 25820 25935 25961 26160 26496 26818 27715 28429 28431 28438 28725 29066 2928 6 29287 29802 30083 30823 31122 31235 31400 31898 32097 32098 32505 32613 34081 34248 3454934947 35070 35212 35320 35540 35593 35804 35816 35908 35916 36351 36352 36384 36385 36444 36492 36806 37963 37969 38001 3 8197 38283 38365 38538 38587 38588 38627 39284 40065 40676 40788 41009 41096 41264 41378 42652 42905 43289 43624 43989 4501 1 45012 45062 45076 45085 45090 45102 45102 45102 45103 45104 45139 45458 45566 45576 45629 45753 45899 45932 46484 46844 47232 47285 47927 48024 48024 48337 48905 49327 49588 4 9981 50297 50340 50837 51852 52000 52228 52341 53089 54463 54538 54574 54600 54854 54994 55158 55330 55720 55799 55924 5593 3 55960 55967 55990 55992 56005 56011 56109 56222 57613 58073 58199 58461 58466 58519 58543 58563 58593 58772 58773 58774 58775 58776 58844 58854 58862 58879 59019 59028 59048 5 9050 59051 59052 59053 59054 59055 59067 59077 59374 60068 60592 60631 60798 61154 61317 61348 61577 61853 62044 62240 6246 8 62785 6290463018 63023 63075 63288 63314 63545 63612 63620 63631 63655 63677 63678 63679 63727 63728 63729 63835 63838 63888 63916 6 3949 64050 131090 131106 131138 131139 131140 131141 131293 131428 131444 131477 131486 131495 132196 132203 132509 132510 132513 132591 132839 133024 133199 133380 133478 133492 133746 133752 133774 133775 133776 133905 133929 134238 134327 134760 134761 134763 134764 134769 134770 134771 134835 134963 135061 135290 135300 13 5330 135377 135629 137693 137697 137699 137753 137784 137785 137787 137788 137876 137969 138366 138407 138607 138915 138949 138950 138952 138982 138994 139007 139018 139124 139144 139201 139203 139220 139316 139327 139726 139887 140096 140596 140701 140716 140717 140720 140723 140979 141157 141180 142570 149167 177453 177549 197099 197540 198047 19 8651 199490 199506 199524 199883 200756 201094 201978 202053202675 203087 204601 204720 206092 206204 206791 206798 207319 207400 207590 208425 208556 211914 212708 213251 213375 26 2187 263022 263196 263639 263693 264344 264509 265443 265537 266706 267784 269939 270110 328608 394699 395003 395936 395954 395973 398101})

如上，配置為ASN 的包含以下各項，選擇操作一般為驗證碼【托管質(zhì)詢】 或者 【JS質(zhì)詢】，在遭受嚴重攻擊選擇【阻止】

ASN的話參考這個ASN鏈接 ASN list

如果需要ITDOG測速觀察的話，請單獨加一個規(guī)則將節(jié)點IP加入白名單

(ip.src in {47.92.31.57 109.248.18.86 154.22.127.137 23.225.146.6 220.181.53.87 43.156.69.84 43.155.105.226 106.225.239.7 183.201.192.68 183.201.192.68 45.65.44.14 102.140.92.41 23.225.146.6 154.22.127.137 143.92.41.132 102.140.92.41 102.140.92.41 203.57.58.1 101.193.215.70 43.130.151.11 27.185.235.70 113.240.100.81 115.239.224.6 125.73.215.4 218.30.71.80 1.193.215.70 220.181.53.87 125.73.215.4 27.185.235.70 203.57.58.110 115.239.224.6 47.92.77.114 43.156.69.84 45.65.44.14 23.225.146.6 119.96.16.87 45.251.101.5 117.187.182.132 119.96.16.87 47.92.79.71 45.251.101.5 103.78.242.179 117.187.182.132 45.251.101.5 202.133.243.83 8.142.104.65 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4})

規(guī)則三：根據(jù)IP信譽阻止請求

威脅分數(shù)大于等于5 進行阻止。威脅分數(shù)正常訪客不會觸發(fā)。也可以加入cf.client.bot

cf.client.bot（合法機器人爬蟲）當數(shù)值為true，標識來自良好的機器人或爬蟲的請求

cf.threat_score（威脅分數(shù)）表示從0到100的Cloudflare威脅評分，其中0表示低風險。大于10的值可能代表垃圾郵件發(fā)送者或機器人，大于40的值表示互聯(lián)網(wǎng)上的不良行為者。一個常見的建議是質(zhì)詢分數(shù)高于10的請求并阻止分數(shù)高于50的請求。

表達式：

(not cf.client.bot and cf.threat_score gt 2)

關(guān)于威脅分數(shù)：字段參考  Cloudflare 規(guī)則集引擎文檔

規(guī)則四：請求速率限制

從2022年9月開始，CloudFlare開始向免費用戶（包括Plesk Plus）提供一條免費的速率限制規(guī)則：CloudFlare官方博客 ，該功能是防御CC強有效的功能，可以從【安全性】 - 【W(wǎng)AF-】 【速率限制規(guī)則】進入配置頁面。

表達式：

(http.request.uri.path eq "/")

針對免費用戶來說可以配置的參數(shù)比較少，主要實現(xiàn)的是同個IP【10秒內(nèi)請求數(shù)>n】時對其返回429阻止訪問。如圖填寫/可對zone下所有域名進行保護，個人博客正常情況下n建議設(shè)置為35，資源更多的站點可以考慮適當放大（以不影響正常訪問為準）