Оглавление:
Цену настройки Cloudflare можно узнать здесь.
Большинство из тех, кто подключает себе Cloudflare, даже не в курсе того, что настройка фильтрации Cloudflare - это не только настройка правил WAF. Тем более, об этом неизвестно тем, кто пытается настроить Cloudflare, ориентируясь на рекомендации из интернета по фильтрации поведенческих ботов. Там об этом просто не пишут, потому что не знают.
Все отмеченные ниже цифрами пункты меню административного интерфейса Cloudflare нужно открыть, и в каждом произвести необходимые настройки. То что установлено изначально по умолчанию, не является продуктом из разряда взял и пользуйся. Это чистый лист. А взять кисть и нарисовать на этом холсте должны именно вы. Если вы не знаете / не умеете / не хотите - обратитесь к профессионалам.
Настройка начинается с анализа ДНС записей домена. Все ли корректно в почтовых записях, все ли на месте. При добавлении сайта на Cloudflare (иногда) необходимые записи не полностью подтягиваются с вашего хостинга (отныне эти записи добавляются / редактируются именно на клаудфларе, а не на хостинге), и некоторые просто отсутствуют.
Например, это может быть SPF, DMARK или DKIM запись домена, или какие-то поддомены. SPF и DKIM - это почтовые записи, отсутствие которых приведет к попаданию вашей почты в спам.
Например, на вашем сайте есть формы обратной связи. После заполнения форм - сайт автоматически отправляет письмо на адрес администратора. При некорректных / отсутствующих записях - вы обнаружите свою почту в папке "Спам". Аналогичная история с интернет-магазином. При заказе клиент получает письмо с подтверждением, счет на оплату, и так далее. Если вы на начальном этапе сделаете глупость, то ваш бизнес пострадает от того, что почта ходить перестанет.
Поддомены, как правило, располагаются на том же айпи адресе, что и основной домен. Логично A записи поддоменов заменить на CNAME записи.
Необходимо убедиться в том, что в TXT SPF записи домена отсутствует айпи адрес. Если адрес сервера прямо указан в почтовой записи - его нужно скрыть.
Например, вот такую конструкцию (на примере хостинга Beget) v=spf1 ip4:45.12.17.59 a mx ~all
необходимо заменить на такую v=spf1 redirect=_spf.beget.com
Если вами по незнанию допущена ошибка, и реальный адрес сервера доступен всем желающим при просмотре через специализированные сервисы, то ДДОС атаку на сайт можно организовать, обращаясь напрямую к айпи адресу сайта, в обход любых защит.
Вас спасет только четкое выполнение всех указанных в этой статье рекомендаций.
Далее настраивается защищенное соединение между сервером и Cloudflare.
Первое, с чем вы скорее всего точно столкнетесь - после подключения Cloudflare ваш сайт перестанет работать.
Вместо сайта будет показываться белая страница с надписью: Сайт выполнил переадресацию слишком много раз.
Необходимо переключить режим SSL Cloudflare с Flexible на Full.
Также, через какое-то время (к моменту окончания стандартного SSL сертификата на хостинге, как правило это Let's Encrypt со сроком действия 3 месяца) может случиться так, что хостер больше не сможет обновить сертификат автоматически (так как NS записи сайта теперь указывают на Cloudflare, а не на хостинг).
При необходимости, на сервер устанавливается SSL сертификат Cloudflare (он выдается на 10-15 лет). Снаружи же, в своем браузере, вы видите данные второго ССЛ сертификата, автоматически обновляемого Cloudflre раз в три месяца (сертификат Google Trust Services LLC).
Также в данном разделе необходимо настроить параметры HTTPS и HTTP Strict Transport Security (HSTS), установить версию TLS.
Здесь необходимо активировать параметры в подразделе DDoS (DDoS Level 7). Это поможет вам в том случае, если ваш сервер подвергнется ДДОС атаке.
Далее - настройки кеширования, базовые настройки оптимизации сайта, из инструментов, что предоставляет Cloudflare. Полностью вас это не спасет, так как ДДОС бывает не только 7 уровня, но еще и DDoS Level 3, DDoS Level 4 (т.е. нужна профессиональная настройка правил фильтрации трафика WAF, о которой мы поговорим в следующей статье). Но как минимум, это смягчит атаку.
В разделе Settings необходимо выставить оптимальные настройки безопасности.
Для того, чтобы максимально использовать предоставляемые Cloudflare настройки быстродействия, вам нужно настроить параметры быстродействия, сжатие Brotli, выдачу корректных заголовков Early Hints, параметры минификации кода сайта.
В этом разделе устанавливаются сроки кеширования статического контента. Это ускоряет загрузку страниц сайта при возвращении посетителя через какое-то время. Если вы некорректно настроили этот раздел, то при повторном посещении изображения, скрипты, CSS стили сайта будут грузиться в браузер посетителя с вашего сервера. Это долго. Если же все корректно - они мгновенно загрузятся из кэша вашего браузера.
Также есть параметры, которые напрямую будут влиять на то, сколько обращений к вашему серверу будет осуществляться со стороны Cloudflare во время ДДОС атаки. Если вы здесь ошибетесь или обратитесь за настройкой к малограмотному специалисту - ваш сайт врядли сможет выдержать ДДОС.
Хостер вас просто отключит, чтобы снизить нагрузку на все остальные сайты, располагающиеся на том же сервере (т.е. при Shared хостинге - вас отключат гарантированно).
По умолчанию контент (страницы) вашего сайта грузятся именно с вашего сервера. А значит, чем дальше территориально посетитель находится от вас (например, хостинг в Москве), а посетитель в Калининграде, тем дольше для него будут загружаться страницы вашего сайта.
Только грамотно прописанные правила кеширования страниц (Page Rules) позволят вам снизить пинг. Например, страницы этого сайта мгновенно отдаются посетителю прямо с серверов Cloudflare, в какой бы точке мира не находился посетитель. Без обращения к моему серверу, с ближайшего к посетителю датацентра Cloudflare. Да вы и сами заметили, переход между страницами сайта antiddos24.ru происходит мгновенно.
Обратите внимание на параметр CF-Cache-Status: HIT
Проверить ответ сервера вы можете с помощью инструментов Яндекс вебмастер (либо в инструментах браузера по кнопке F12). Если у вас стоит CF-Cache-Status: DYNAMIC - это приемлемо, пока хватает ресурсов сервера на обработку входящих соединений.
А вот если cf-cache-status: BYPASS - у вас проблемы.
Также настраивается запрет кеширования административной части сайта. Бывали случае, когда в силу допущенной ошибки на данном этапе любой, даже не зарегистрированный посетитель сайта видит элементы админки сайта (верхнюю строку, в которой есть данные администратора, установленных плагинов и прочую служебную информацию).
Для уменьшения трафика ботных переходов, вам необходимо отключить протокол IPv6. Как это правильно сделать, вы можете узнать по ссылке.
В этом небольшом разделе вы можете управлять видимостью вашего адреса электронной почты для сканирующих ботов. Также Cloudflare предоставляет возможность заблокировать хотлинкинг (загрузку на сторонних сайтах изображений, загружающихся при этом по прямым ссылкам с вашего сайта). Такое бывает, если у вас украли контент, и разместили его у себя на сайте, вместе со ссылками на ваши картинки внутри.
Возможно, для вас стало открытием то, сколько знаний необходимо для того, чтобы максимально защитить и оптимизировать сайт с помощью инструментов, предоставляемых Cloudflare.
Функцию фильтрации ботов Cloudflare может на себя взять российский антибот Killbot. Вот к нему у РКН точно претензий нет, сервера компании находятся в РФ. Принцип работы отличается от привычного, отслеживаются не знакомые всем при настройке Cloudflare параметры (входящие IP адреса, AS подсети ботов, User Agent и прочее), а уникальные для каждого набора браузеров слепки. По отличию оригинального браузера от модифицированного, тот или иной заход определяется либо как заход реального посетителя, либо как заход бота. Чтобы не повторяться - расписывал более подробно в статье Альтернатива Cloudflare в России.
Подпишитесь на Telegram канал для того, чтобы всегда быть в курсе последних новостей и обновленных настроек для защиты от ботов через Cloudflare, а также оперативно получать новые материалы, выходящие на antiddos24.ru
Всегда нужно иметь в виду, что те советы, которые вы прочли в статьях на сайте antiddos24.ru - это лишь часть настроек, которые я делаю при профессиональной экспертной настройке фильтрации поведенческих ботов. Все остальное - это непубличные профессиональные секреты. Любая информация, становящаяся общедоступной - достаточно быстро устаревает и перестает быть эффективной.
Если вы столкнулись с повышенной ботностью в Яндекс метрике, увеличением числа прямых заходов, увеличением количества отказов - вы всегда можете заказать у меня настройку Cloudflare или Killbot.