前言
Cloudflare 提供的安全保护,让所有网站管理员都能享受到平等且强大的网站安全防护。探讨利用 Cloudflare WAF(Web Application Firewall)规则来保护网站和服务的几个实用方法。
更新提示
| 2025年3月17日:Cloudflare 不再支持威胁分数 cf.threat_score 规则字段。现在,Cloudflare 已经通过自动化的安全升级来保护你的域名免受恶意流量的攻击。想要了解更多,可以阅读这篇官方博客文章:Enhanced Security and Simplified Controls with Automated Botnet Protection。 |
WAF 简介
Web 应用程序防火墙(Web Application Firewall)是一种防护网络攻击的技术,通过检查和过滤 HTTP 流量中的恶意请求和攻击,保护 Web 应用程序的安全。
Cloudflare WAF 是一种安全防护服务,能够帮助保护您的网站免受常见的网络攻击,如 SQL 注入、跨站脚本攻击、恶意文件上传等。Cloudflare 的免费计划用户可以使用基础的 WAF 功能,并且托管在 Cloudflare 上的每个域名都可以单独配置最多五个 WAF 规则。
Cloudflare WAF 的 基本策略1 有五种:Allow(允许)、Bypass(绕过)、Managed Challenge(托管质询)、JS Challenge(JavaScript 质询)和 Block(阻止),每种策略都有不同的用途和优先级条件:
- Allow(允许)策略是最宽松的一种,满足条件的流量都直接通过,不进行任何检查,它是额外的「白名单」;
- Bypass(绕过)策略用于绕过某些规则的检查和阻止,可以用来放行某些特定的流量;
- Managed Challenge(托管质询) 策略会让访问者在访问您的网站之前需要通过一个托管的验证码来验证其身份。如果用户通过验证,则可以继续访问您的网站,否则将被阻止;
- JS Challenge(JavaScript 质询)策略与 Managed Challenge 类似,不同的是它要求访问者在访问您的网站之前进行 JavaScript 质询来验证其身份。如果用户通过验证,则可以继续访问您的网站,反之则被阻止;
- Block (阻止)策略会完全阻止匹配规则的请求,这种策略通常用于防御已知的攻击或威胁,对于 Block 策略,我们使用需要非常谨慎。将正常的访问者阻拦在外与我们的目的是相悖的。
各种策略的优先级并不是绝对的,我们可以手动控制 优先级 顺序,对于 Cloudflare 免费计划,我们每个域名最多只有 5 个规则,上下拖拽规则模块即可控制优先级顺序。
下图是本文设置规则的示例顺序,我们来对 WAF 的五种基本策略一一介绍
