Как работает CloudFlare и как его настроить?

Что такое Cloudflare?

Cloudflare – это сеть доставки контента (CDN) и облачная платформа безопасности, которая предоставляет услуги защиты подключенных к ней сайтов, оптимизирует их и повышает производительность. 

Вот лишь несколько самых популярных функций Cloudflare: 

• настройка кэширования и оптимизации (для лучшей скорости загрузки),
• защита от онлайн-угроз, в частности DDoS-атак,
• управление DNS-записями,
• перевод сайта на HTTPS,
• анализ трафика. 

Посмотреть тарифы Cloudflare можно на странице.

Как работает CloudFlare?

Без Cloudflare. Когда вы хотели загрузить страницу веб-сайта, запрос поступал с вашего компьютера на сервер, который затем возвращал запрашиваемую страницу. Если сервер физически был размещен слишком далеко, путь передачи данных был длиннее, и соответственно время отклика сервера больше.

С Cloudflare. А вот статические файлы с подключенных к сети сайтов кэшируются на серверы Cloudflare географически распределенные по всему миру. И посетитель значительно быстрее получает ответ с сервера, который расположен к нему ближе всего.

Без Cloudflare. Если на сервер поступало слишком много запросов одновременно, он мог выйти из строя, и не отвечать никому, кто пытался получить доступ к контенту. 

С Cloudflare. Если злоумышленник попытается взломать ваш сайт, его трафик будет направляться на машины CloudFlare по всему миру, а не непосредственно на ваш вебсервер. Периферийная сеть будет действовать как фильтр, чтобы блокировать плохой трафик и отправлять на исходный сервер только законный.

Инструменты Cloudflare и как ими пользоваться? 

Перед настройкой Cloudflare следует подключить к сайту. Подробный гайд по ссылке.  

Пользоваться инструментами Cloudflare можно как из вашего аккаунта на cloudflare.com, так и из личного кабинета хостинга. 

Рассмотрим основные инструменты. 

Очистка кэша

С Cloudflare кэширование будет происходить по умолчанию, поэтому после каждого обновления на сайте придется вручную чистить кэш. Если этого не сделать, определенное время пользователи будут видеть контент, который был до изменений.  

Чтобы очистить кэш, перейдите на вкладку Caching в личном кабинете. Кнопка «Очистить отдельный файл» очистит кэш любого отдельного URL, кнопка «Очистить все файлы» заберет весь кэш на серверах Cloudflare, однако полная очистка временно увеличит количество запросов к серверу, и сайт может замедлиться. Мы рекомендуем выбирать 1-ый вариант.

На сайте cloudflare.com это можно сделать в разделе «Caching» ⇒ «Configuration».

Работа с DNS-записями

Подключение к DNS-серверам от Cloudflare позволяет защититься от перехвата и подделки записей и DDoS-атак. Перейдя в раздел DNS вы сможете увидеть список записей, получите возможность добавлять новые и редактировать существующие. 

Чтобы добавить новую DNS-запись, указываем тип, например A, AAAA, CNAME, MX, TXT и т.д. 

«Name» / «Название» – это домен, которого касается запись. Здесь вводим название поддомена (без основного домена) или же название домена через знак @. 

TTL – интервал времени, на который промежуточный DNS-сервер будет хранить закешированную информацию. По умолчанию этот параметр в значении Auto, а из Личного кабинета можно настроить нужное время. 

Если вы работаете непосредственно с сайта Cloudflare, отключите для записи Proxy Status перед тем, как захотите изменить TTL на свое значение. Proxy status предполагает, что для этой записи запросы будут проходить через Cloudflare, если его изменить на DNS Only, то основные функции (CDN, DDoS-защита) работать не будут, поскольку запросы будут идти в обход Cloudflare.

Настройка HTTPS

Как только вы укажете домен в аккаунте, сеть будет защищать соединение от браузера к Cloudflare с собственным SSL. А вот на пути от Cloudflare к вашему сайту нужно настроить безопасное соединение – сделать это можно путем установки на Хостинг SSL-сертификата. Как подключить на сайт SSL-сертификат, читайте здесь.

Если у вас еще нет SSL на Хостинге, выберите опцию «Flexible». Тогда пользователи будут видеть в браузере HTTPS-соединение, но сам Cloudflare все равно будет передавать данные в незащищенном виде. Поэтому мы не рекомендуем оставаться надолго в этом режиме, чтобы уберечь собственные и пользовательские данные от перехвата, желательно как можно скорее установить на сайт SSL.

В случае, если на Хостинге у вас уже установлен сертификат, выберите в чек-боксе «Full (Strict)».  

Обратите внимание! Если на Хостинге не установлен SSL, не выбирайте опции «Full» и «Full (Strict)», иначе посетителям сайта будут отображаться ошибки 525 и 526.

После того, как мы выбрали соответствующую опцию, следует проверить, не открывается ли сайт и через HTTP, и через HTTPS. Для этого в поиске вводим наш домен, но преднамеренно через http, если нас перенаправит на https, значит мы все сделали правильно. Если нет, тогда в разделе «Edge Certificates» надо включить опцию «Always Use HTTPS».

Защита от DDoS

Cloudflare по умолчанию скрывает IP вашего сервера, из-за чего хакеры будут атаковать ее серверы вместо вашего. К тому же, сеть отсеивает большинство опасного трафика (ботов, краулеров), и пропускает на ваш сайт уже отфильтрованный.

Сразу заметим, что на тарифе Free вы будете защищены только от самых распространенных типов DDoS.

Режим «I’m Under Attack»

Если атака все же произойдет, админы вашего хостинг-провайдера (по крайней мере так происходит в HostPro) должны поставить IP на фильтр. Но чтобы дополнительно смягчить нагрузку на Хостинг, включите режим «I’m Under Attack» в вашем кабинете Cloudflare. Опция эта находится в разделе «Security» ⇒ «Settings» ⇒ «Security Level».

При включении этого режима посетители, которые будут заходить на сайт, получат вот такое сообщение. В течение 5 сек с помощью JavaScript будет происходить проверка – вредоносный это посетитель/бот или нет.

Не забудьте выключить режим по окончанию атаки. Просмотреть статистику запросов потом можно будет в разделе «Analytics». 

Режим «High»

Еще в качестве профилактической меры можно воспользоваться режимом «High», тогда та же самая «заглушка» будет отображаться не всем пользователям, а лишь тем, кто обнаружил подозрительную активность за предыдущие 14 дней.

Настройка Firewall

Чтобы достичь лучшей защиты от DDoS, bruteforce-атак, взломов, избавиться от спама и снизить нагрузку на сервер, и при этом не помешать правильной индексации сайта, можно настроить Firewall от CloudFlare. Для этого создаются правила, на бесплатном тарифе всего их можно добавить 5. 

Для этого переходим в «WAF» ⇒ «Create Rule».

Пример на скрине ниже — защита от bruteforce-атак. Подобное правило, где будет указан адрес вашей страницы авторизации, будет проверять все посещения страницы авторизации и защищать от массового перебора паролей.

В поле «Rule Name» вписываем название правила. 

• Field — это параметр, на основе которого будет осуществлена фильтрация. 
• Operator — условие выполнения правила. 
• Value — значение параметра. 

Кнопки справа означают: 

• Or — правило должно сработать, если запрос соответствует хотя бы 1 условию.
• And — правило должно сработать, если запрос соответствует обоим условиям. 

В выпадающем списке «Then take action» выбираем действие, которое будет выполняться, если запрос соответствует условиям. 

Чтобы запустить правило по завершению настроек, нажимаем кнопку «Deploy».

Маршрутизация электронной почты

С этой опцией можно скрыть реальный электронный ящик и защитить его от взлома. Для этого создаются дополнительные кастомные адреса, письма с которых уже перенаправляются на рабочие ящики. 

Настраивается маршрутизация в Cloudflare в разделе «Email» ⇒ «Email Routing».

В завершение

Мы с вами выяснили, как работает Cloudflare и сколько пользы эта услуга может принести как небольшим, так и масштабным сайтам. С ней можно защититься от DDoS, настроить оптимизацию, кэширование, защищенное соединение, анализировать трафик и многое другое. 

Если материал оказался полезным, делитесь им с друзьями. А если возникнут дополнительные вопросы, мы с радостью ответим вам 24/7. Просто напишите нам в техподдержку.