介绍
CloudFlare是通过作为网站的逆向代理提供内容传送网络(CDN)和分布式DNS服务的公司。 CloudFlare的免费和付费服务可以用于以各种方式提高网站的安全性,速度和可用性。 在本教程中,我们将向您展示如何使用CloudFlare的免费层服务,通过启用“我处于攻击模式”来保护您的Web服务器免受正在进行的基于HTTP的DDoS攻击。 此安全模式可以通过展示插页式网页来验证连接的合法性,然后再将其传递到Web服务器,从而减轻DDoS攻击。
先决条件
本教程假设您具有以下内容:
- Web服务器
- 指向您的Web服务器的注册域
- 访问发出域的域名注册商的控制面板
您还必须注册CloudFlare帐户,然后才能继续。 请注意,本教程将需要使用CloudFlare的Nameservers。
将您的域配置为使用CloudFlare
在使用任何CloudFlare的功能之前,您必须将您的域配置为使用CloudFlare的DNS。
如果您尚未登录CloudFlare,请登录。
添加网站和扫描DNS记录
登录后,你将采取的获取与CloudFlare的页面开始 。 在这里,您必须将您的网站添加到CloudFlare:
输入您要使用的CloudFlare与并点击开始扫描按钮的域名。 你应该被带到一个看起来像这样的页面:
这需要大约一分钟。 当它完成后,单击继续按钮。
下一页显示DNS记录扫描的结果。 确保所有现有的DNS记录都存在,因为这些是CloudFlare将用于解析对您的域的请求的记录。 在我们的例子中,我们使用cockroach.nyc作为域:
需要注意的是,你的A和指向您的Web服务器(S)CNAME记录, 状态列应该有一个箭头经历一个橙色的云。 这表示在击中您的服务器之前,流量将通过CloudFlare的反向代理。
接下来,选择您的CloudFlare计划。 在本教程中,我们将选择免费方案选项。 如果您想要支付不同的计划,因为您需要额外的CloudFlare功能,请随时这样做:
更改您的Nameservers
下一页将显示您域的当前Nameservers及其应更改为的表格。 其中两个应该更改为CloudFlareNameservers,其余的条目应该删除。 下面是一个示例,如果您的域使用DigitalOceanNameservers,页面可能是什么样子:
要更改域的Nameservers,请登录到您的域名注册商控制面板,并更改CloudFlare提供的DNS。 例如,如果您通过GoDaddy或NameCheap等注册商购买了域名,则需要登录相应的注册商控制面板进行更改。
此过程因您的特定域名注册商而异。 如果你不能弄清楚如何做到这一点,它类似于中描述的过程中如何指向DigitalOcean域名服务器从常见的域名注册商 ,除非你将使用CloudFlare的域名服务器,而不是DigitalOcean的。
在示例中,域使用DigitalOcean的Nameservers,我们需要更新它以使用CloudFlare的DNS。 域通过NameCheap注册,所以我们应该去更新Nameservers。
当您完成改变你的服务器,点击Continue按钮。 域名服务器最多可能需要24小时才能切换,但通常只需要几分钟。
等待Nameservers更新
由于更新Nameservers需要不可预测的时间量,因此您很可能会看到此页面:
待处理状态表示的CloudFlare正在等待域名服务器更新到它规定的(如那些olga.ns.cloudflare.com和rob.ns.cloudflare.com )。 如果您改变了您的域名的域名服务器,你需要做的就是等待,请稍后再检查活动状态。 如果您单击重新检查域名服务器按钮或导航到仪表板的CloudFlare,它会检查是否有域名服务器更新。
CloudFlare是活动的
一旦域名服务器更新后,您的域名将使用CloudFlare的DNS,你会看到它有一个活跃的状态,就像这样:
这意味着CloudFlare充当您网站的反向代理,并且您可以访问您注册的定价层可用的任何功能。 如果您使用免费的一层,因为我们是在本教程中,你将有机会获得一些可以提高网站的安全性,速度和可用性功能。 我们不会覆盖本教程中的所有功能,因为我们专注于减轻正在进行的DDoS攻击,但它们包括CDN,SSL,静态内容缓存,防火墙(流量到达服务器之前)和流量分析工具。
还要注意设置摘要 ,下方您的域名会显示您网站的当前安全级别(默认介质)和其他一些信息。
在继续之前,以获得最大的CloudFlare的,你会想按照本指南: 推荐第一步为所有的CloudFlare用户 。 这对于确保CloudFlare将允许您希望允许的服务进行合法连接很重要,这样您的Web服务器日志将显示原始访问者IP地址(而不是CloudFlare的反向代理IP地址)。
一旦你已经设置好了,让我们在CloudFlare的防火墙来看看我在攻击模式设置。
我在攻击模式
默认情况下,CloudFlare的防火墙安全设置为中等 。 这可以针对被评为中度威胁的访问者提供一些保护,方法是在允许他们继续访问您的网站之前向其提供一个质疑页面。 但是,如果您的网站是DDoS攻击的目标,这可能不足以保持您的网站可操作。 在这种情况下, 我在攻击模式可能适合你。
如果您启用此模式,您网站的所有访问者都会看到一个插页式网页,执行某些浏览器检查,并将访问者延迟约5秒钟,然后将其传递到您的服务器。 它看起来像这样;
如果支票通过,访问者将被允许访问您的网站。 防止和延迟恶意访问者连接到您的网站的组合通常足以保持其运行,即使在DDoS攻击。
注:该网站的访问者必须启用JavaScript和Cookies通过插页。 如果这不可接受,请考虑改用“高”防火墙安全设置。
请记住,你只是想拥有我当你的网站是一个DDoS攻击的受害者在启用攻击模式 。 否则,它应该被关闭,所以它不会拖延正常用户访问您的网站没有理由。
如何启用我处于攻击模式
如果你想使我在攻击模式 ,最简单的方法是去到的CloudFlare概览页面(默认页面),然后从快捷操作菜单中选择:
安全设置会立即切换到我的攻击下的状态。 现在,您网站的所有访问者都将看到上述CloudFlare插页式广告页面。
如何禁用我处于攻击模式
由于我在攻击模式应仅在DDoS的紧急情况下使用,则应禁用它,如果你不受到攻击。 要做到这一点,去到的CloudFlare概览页面,并单击禁用按钮:
然后选择要切换到的安全级别。 默认和一般建议,模式中 :
您的网站应恢复到Active状态和DDoS防护页面将被禁用。
结论
现在你的网站正在使用CloudFlare,你有另一个工具,轻松保护它免受基于HTTP的DDoS攻击。 还有CloudFlare提供的各种其他工具,您可能有兴趣设置,如免费SSL证书。 因此,建议您浏览选项,看看什么对您有用。
祝你好运!
