Cloudflare WAF防护策略介绍

已于 2023-11-07 16:57:22 修改
阅读量1.1k 收藏 1
点赞数
文章标签: 网络 nginx 爬虫 网络安全 程序人生
于 2023-11-07 16:54:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73142349/article/details/134264887
版权

上篇文章介绍了如何配置Cloudflare防火墙及其相关的防护体系,这次简单介绍一下Cloudflare的WAF防护策略,方便大家在设计防火墙规则的时候对不同的情况选择更加合适的防护方案

一、托管质询

这个是我选择的比较多的一个策略,既可以有效阻挡非法流量,也不影响正常流量的访问,相当好用

托管质询是 Cloudflare 根据请求的客户端特征动态选择适当类型的质询。一般而言用户会无感,不会出现验证码,减少了人们访问网站解决验证码所花费的时间。Cloudflare会根据请求客户端User-Agent的不同而选择不同的拦截策略

对于托管质询,客户端可能会出现以下几种情况:网页出现非交互式质询;交互式质询(类似于点击按钮确定是否为真人);对浏览器直接质询;专有的访问标识;验证码质询(成功输入验证码之后才能访问)

例如,用户如果触发了域名为abc.edf的网站的托管质询策略,他可能会看到这样的提示:

abc.edf
Checking if the site connection is secure
abc.edf needs to review the security of your connection before proceeding.
您大概需要等上几秒才能看到网页

免费用户不能退出托管质询

二、JS质询

JS质询,就是直接向浏览器发起的一种质询方式,浏览器负责处理该质询,对于用户几乎无感,也是一种对用户访问影响较小的质询方式

用户必须等待他们的浏览器完成对JavaScript事件的处理后才能看到网页,处理的时间应当小于5s。如果超过这个时间Cloudflare就会阻止访问。因为基于Python等语言的爬虫程序一般不自带对JS处理的功能,所以可以有效组织恶意爬虫的访问,且对真人影响较小

如果真人访问网站发现图片、css、js等无法加载或出现503,可以重新刷新一次网页,一般就能重新加载出来了

三、阻止

顾名思义,就是直接阻止访问,可能是特定IP或ASN,也可能是特定行为(例如一些恶意流量扫站内路径的)

个人建议是对特定IP(就是那种一眼就能看出来不是搜索引擎的爬虫,或者是恶意流量在扫站内路径的),直接添加IP或者ASN进行封禁,并且把站内一些关键路径添加上保护,如果有客户端试图访问就直接阻止

这里要提一下,如果选择封禁ASN,那么该ASN下所属的其他正常流量都不能访问,ASN是一组IP的集合,里面肯定有正常流量也有恶意流量。所以封禁ASN要谨慎操作

四、跳过

顾名思义就是允许访问,建议把访问设置成自己的IP和一些搜索引擎的正常爬虫(如果你想要你的网站通过搜索引擎检索到),通过权限很重要,不要随便开,互联网的恶意流量太多了

一般是添加你个人的cookie,或者你本人的IP地址,或者直接添加经过Cloudflare认可的威胁性低的爬虫(cf.client.bot)

跳过WAF组件方面,可以跳过所有自定义规则和托管规则即可

这四个策略,跳过的优先级应该是最高的,其次是阻止,托管质询和JS质询优先级最低,具体要根据自己的网站、访客的实际情况来布设,尽可能做到对正常流量影响小甚至没有影响,对恶意流量阻挡

Yonagi833
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
分享一个 CloudFlare 免费版完美抵挡 CC 攻击的 WAF 规则
草根博客站长明月登楼的CSDN博客
06-13 749
最后就是保持这个 WAF 规则是开启状态即可,这时候在 CloudFlare 后台【安全性】——【事件】里可以看到所有的请求都被要求质询了,只要是 CC 攻击请求都会被触发这个质询的,因为都是机器模拟行为自然数是无法通过验证的,攻击流量也就无法到达服务器了,被 CloudFlare 完美的阻挡屏蔽掉了。CloudFlare 可是不计算攻击流量的哦,所以让对方随便打,大多久都可以,你的服务器稳如泰山。
如何关闭或者减少屏蔽 CloudFlare 的真人检测
最新发布
草根博客站长明月登楼的CSDN博客
05-22 2226
明月在实测的时候发现 Privacy Pass 扩展会跟浏览器的代理扩展有冲突,这可能会影响到访问境外站点的体验,需要根据自己的情况设置排查一下。并且,基于安全考虑,明月其实也是不建议大家关闭这个【浏览器完整性检查】的,尤其是国内安全防护不足的站点,毕竟现在恶意的爬虫和自动程序太多,太防不胜防了!安全第一、安全第一嘛!
简单操作让你的网站不受恶意流量恶意爬虫威胁!Cloudflare防火墙部署指南_cloudflare部署
m0_60707538的博客
04-07 2735
你现在应该在Cloudflare控制台主页了,点进你的域名(就是我上面这张图最底下码住的地方),进入域名控制台左侧栏点击“安全”————“设置“
全新 Cloudflare Web 应用程序防火墙(WAF
taotaozii的博客
08-23 1032
CloudflareWeb 应用程序防火墙(WAF)每天阻止超过 570 亿次 HTTP 请求,按照没秒计算可达到65万次。过滤这些流量的原始代码是由 Cloudflare 现任 CTO 编写的,迄今 WAF 已享誉无数,包括在 2020 年度 Gartner Magic Quadrant WAF 评测中获得“执行能力”最高分。 由于我们非常重视在代码不便于维护、性能下降或无法扩展时对代码进行替换,我们经常重写 Cloudflare 堆栈的关键部分。这样做很有必要,因为我们的快速成长使得昨日的解决方案不.
cloudflare配置防火墙WAF阻止或允许特定国家或地区访问
LordForce的博客
09-19 5560
cloudflare防火墙配置|如何配置域名防火墙|阻止特定国家或地区访问|允许特定国家或地区访问网站
Cloudflare防火墙其他WAF设置
u010066597的博客
04-30 348
缓存设置好也可以帮助我们抵挡巨量的CC攻击。有些CC是很多IP随即攻击一个地址,如果我们的安全策略没有拦截到攻击。但是我们设置了缓存,那这些请求则会在CloudFlare边缘节点直接将缓存内容返回给请求。也达到了抗攻击的效果。缓存设置是在多个位置进行的。下面大家看截图就好。
cloudflare的新waf,用Lua实现的
囧囧有神的专栏
07-03 8629
我们使用nginx贯穿了我们的网络,做前线web服务,代理,流量过滤。在某些情况下,我们已经扩充了nginx上我们自己的模块的核心C代码,但最近我们做了一个重大举措,与nginx结合使用lua 几乎全部用lua写的我们的一个项目是新的cloudflare WAF。这个我们另有博客。​http://blog.cloudflare.com/heuristics-and-rules-why-w
Cloudflare反代测速
08-11
8. **安全考量**:Cloudflare提供了许多安全特性,如Web应用防火墙(WAF)、防火墙规则和SSL/TLS加密。确保这些设置符合你的安全需求。 9. **CDN缓存策略**:优化Cloudflare的缓存设置可以进一步提高性能。理解哪些...
detectify-cloudflare
06-02
Cloudflare则是一个广泛使用的CDN(内容分发网络)和网络安全服务提供商,提供DDoS防护、SSL加密、网页加速等功能。 描述中提到“Detectify 在 cloudflare 平台上可用”,这意味着Detectify已经与Cloudflare平台...
ThemeBlue:用于链接cloudflare
03-20
4. **安全设置**:Cloudflare提供了Web应用防火墙(WAF)、DDoS防护和SSL加密等安全服务。ThemeBlue可能已经考虑了这些安全特性,确保与这些服务兼容。 5. **性能优化**:Cloudflare有Page Rules功能,允许自定义...
awesome-cloudflare::sun_behind_cloud:精选的Cloudflare工作人员食谱,开源项目,指南,博客和其他资源的清单
02-01
- **DDoS防护**:Cloudflare提供了强大的DDoS防护,能够防御各种类型的分布式拒绝服务攻击。 - **WAF(Web应用防火墙)**:内置的Web应用防火墙可以帮助识别并阻止恶意流量,保护网站免受SQL注入、XSS攻击等威胁。...
grpc-cf-test:grpc cloudflare测试
03-13
4. **防火墙与访问控制**:Cloudflare提供Web应用防火墙(WAF),可以自定义规则过滤不安全或非法的请求,还可以设置访问控制策略。 5. **缓存服务**:对于静态资源,Cloudflare可以自动缓存,减轻源服务器的负载。 ...
不再担忧Cloudflare的5秒盾WAF,CC防护限制:穿云API助您轻松应对
2301_78495464的博客
06-13 571
通过四个方面的阐述,包括WAF绕过、CC攻击应对、IP代理和智能识别,读者将了解到如何利用穿云API轻松应对Cloudflare的限制,顺利完成爬虫和自动化任务。穿云API为开发者提供了丰富的工具和功能,帮助他们轻松应对Cloudflare的限制,确保爬虫和自动化任务的顺利进行。在这一部分,我们将讨论穿云API提供的IP代理功能,帮助开发者绕过IP限制。WAF绕过、CC攻击应对、IP代理和智能识别是穿云API提供的关键功能,帮助开发者轻松应对Cloudflare的限制,确保正常的爬虫和自动化任务的进行。
Cloudflare高级防御规则 看看我的网站如何用防御的
u010066597的博客
04-30 1060
对于海外独立站电商网站,Cloudflare的CDN服务是首选,它强大无比,毫无疑问。对于中小型需求,直接免费使用就可以了,接入后网站的加速和防护都交给CF处理,这是最稳妥的选择。
突破Cloudflare WAF反爬检查的绝密技巧
06-30 995
爬虫技术在信息采集、数据分析和业务发展中起着重要的作用。然而,随着互联网保护技术的不断进步,Web 应用防火墙(WAF)作为一种常见的安全工具,经常阻止爬虫的访问。
cloudflare防CC、DDOs攻击保姆级教程,附带防御规则
A1_3_9_7的博客
03-27 899
1、创建一个规则,名称随意2、点编辑表达式,把表达式代码复制进去保存六、网络 > 洋葱路由 关掉七、重启服务器配置完以大概30秒生效,一定要重启一下服务器,让服务器断开所有的程序连接。
Cloudflare开启域名真人验证防止被DDoS攻击
LordForce的博客
10-09 3572
cloudflare开启域名真人验证|cloudflare托管的域名遭受DDoS攻击防护配置
Cloudflare策略&介绍
weixin_63660670的博客
03-23 927
上面的那条防火墙规则,可以屏蔽阿里云、腾讯云和华为云这三家云服务商的IP地址的访问,常言道,同行是冤家,使用阿里云、腾讯云和华为云来抓取你网站的,通常都不是善类,一般情况下都是恶意采集、恶意抓取、CC攻击和DDOS攻击等等,通过ASN屏蔽可以一次屏蔽数百万IP地址,非常高效。挑战解决率 (CSR)可以评估每个防火墙规则的优劣,这个指标的含义是指被解决了发出挑战的百分比,公式为CSR=解决的挑战数量/发出的挑战数量,这个数值越低越好。此外,防火墙的执行顺序就是右侧的序号,拖动序号可修改防火墙规则的执行顺序。
Cloudflare防护机制主要从哪些方面对爬虫进行阻断与防护
06-10
Cloudflare防护机制主要从以下方面对爬虫进行阻断与防护: 1. IP 地址过滤:Cloudflare 会根据用户的 IP 地址判断是否为爬虫,如果是则禁止访问。 2. User-Agent 过滤:Cloudflare 会根据请求的 User-Agent 判断是否为爬虫,如果是则禁止访问。 3. JavaScript 验证:Cloudflare 会要求用户进行 JavaScript 验证,如果无法验证则认为是爬虫并禁止访问。 4. Challenge 页面:Cloudflare 会跳转到 Challenge 页面,要求用户进行一些特定的操作,例如点击某个按钮、填写验证码等,以验证用户的真实性,如果无法通过验证则认为是爬虫并禁止访问。 5. 基于流量的防护Cloudflare 会根据流量分析和机器学习等技术对请求进行分类和过滤,识别和阻止恶意流量和爬虫。 总的来说,Cloudflare防护机制主要是基于 IP 地址、User-Agent、JavaScript 验证、Challenge 页面和流量分析等多种技术手段,从多个角度对爬虫进行阻断和防护
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值