網站安全性

深入瞭解 Cloudflare 產品如何保護您的資產,並選擇適合您的網路安全設定。

帳戶安全性

為您的 Cloudflare 帳戶採用強大的網路安全狀態是確保網站整體安全的重要一步。雙因素驗證 (2FA) 透過在登入時索取第二項資訊驗證您的身分,以提高帳戶安全性。

請遵循這些指示以透過您偏好的行動驗證應用程式註冊來啟用雙因素驗證 (2FA)。將復原碼複本儲存在安全位置,以避免無法登入帳戶的情況。

通知

管理通知以定義要警告的內容以及警告方式。我們建議啟用:

  • 被動來源監控警示:當無法從我們的邊緣網路連線到您的原始網頁伺服器長達至少 5 分鐘時獲得通知,以便您可以快速解決問題。
  • HTTPS DDoS 警示:註冊即可在 Cloudflare 自動偵測並緩解針對您的網際網路設備的 DDoS 攻擊時,即時收到電子郵件。
  • 網路安全事件警示:在產生相關記錄項目的所有 Cloudflare 服務中發生任何防火牆相關事件激增的兩小時內收到警示。
瞭解詳情

管理 DNS 記錄

您使用 Cloudflare DNS 時,我們的全球 Anycast 網路將回答對您網域的所有 DNS 查詢。DNS 記錄有助於將您的網域相關資訊傳達給訪客和其他 Web 服務。

有了 Cloudflare DNS,您可以在 [DNS] 索引標籤中管理您網站的所有記錄——請觀看可用選項的 Cloudflare 儀表板逐步介紹

橙色雲與灰色雲

橙色雲符號 意指送往該主機名稱的流量會經過 Cloudflare。這將啟用多項功能,如隱藏您的來源 IP 位址、快取、SSL 和 Web 應用程式防火牆。我們建議啟用橙色雲來處理 A、AAAA 和 CNAME 記錄。

灰色雲 意指 Cloudflare 將在 DNS 中公佈這些記錄,但是所有流量都會路由至原點,而非經過 Cloudflare。如果您嘗試使用記錄或非 Web 流量(包括郵件和 FTP)驗證服務,則這在一些非 A、AAAA 或 CNAME 的記錄情境中很實用。如果您在 Cloudflare 上遇到記錄問題,可以在 DNS 索引標籤上對該記錄啟用灰色雲,以便為該記錄暫停 Cloudflare。

如果您在上線後遇到電子郵件無法送達的問題,請在 DNS 索引標籤上對用於接收郵件的 DNS 記錄啟用灰色雲。預設設定僅允許透過 Proxy 處理 HTTP 流量,並將分解郵件流量。

瞭解詳情

隱藏您的來源 IP 位址

Cloudflare 提供許多可偵測和封鎖惡意流量的功能。但是,如果惡意使用者找到您的伺服器的來源 IP(亦即託管您實際資源的位置),就可能能夠將流量或攻擊直接傳送到伺服器。

請考慮採取以下步驟防止洩露此資訊:

  1. 檢閱區域的 DNS 記錄。如果可以,請將所有子網域保持在 Cloudflare 上,並檢查 SPF 和 TXT 記錄以取得來源資訊。
  2. 切勿在與要保護的 Web 資源相同的伺服器上託管郵件服務,因為傳送到不存在地址的電子郵件會被退回給攻擊者並洩露郵件伺服器 IP。
  3. 確保您的 Web 伺服器不會連線到使用者提供的任意位址。
  4. 開始啟用後請變換來源 IP,因為 DNS 記錄是在公用網域中。系統會保留歷史記錄,而且會在加入 Cloudflare 之前包含 IP 位址。

啟用 DNSSEC

DNSSEC 對現有 DNS 記錄新增加密簽章,藉此保護網域名稱系統的安全。這些數位簽章與 A、AAAA、MX 和 CNAME 等常見記錄類型一起儲存在 DNS 名稱伺服器中。

透過檢查其相關聯之簽名,您可以驗證所請求的 DNS 記錄是否來自其權威名稱伺服器,並且在途中沒有被變更,不是在中間人攻擊中注入的虛假記錄。

我們極力建議啟用 DNSSEC 以在 Cloudflare 上網域的 DNS 上方新增一層驗證。

啟用 SSL 加密

SSL 憑證加密使用者資訊並在網際網路上保護使用者安全。手動設定 SSL 需要幾個步驟,然而設定錯誤可能會阻礙使用者造訪您的網站。

使用 Cloudflare,按一下按鈕即可啟用 HTTP 功能。我們提供邊緣憑證及原始伺服器憑證。

  • 邊緣憑證:依據預設,我們會對所有 Cloudflare 網域簽發和續約免費、未共用、公開信任的 SSL 憑證。您的網域應在網域啟動後的 24 小時內自動收到其 Universal SSL 憑證。我們建議啟用「完全」或「完全(嚴格)」這兩種設定中之任一項,以確保您網站的資料機密性。
  • 原始憑證授權單位 (CA):使用這些憑證來加密 Cloudflare 與您的原始網頁伺服器之間的流量。部署後,這些憑證將與嚴格 SSL 模式相容。
開始使用

獲取 WAF 保護

部署 Web 應用程式防火牆 (WAF),您可以透過規則集(通常稱為原則)決定是否允許不同類型的傳入和傳出流量通過。WAF 可防禦如 SQL 資料隱碼攻擊、跨網站指令碼攻擊跨網站偽造 等攻擊。

我們的 WAF 可提供自動保護及建立自訂規則的靈活彈性:

  • 限速規則: 定義當傳入要求符合運算式時限速,及當已達到限制時採取的動作。
  • WAF 受管理規則集: 啟用預先設定的原則(包括先進的零時差安全漏洞),以獲得即時保護。
  • 暴露憑證檢查: 監測並封鎖使用被盜/被暴露憑證接管帳戶。
  • 防火牆分析: 調查網路安全威脅,然後基於活動記錄定制您的網路安全設定。
閱讀開發人員文件

WAF 設定建議

使用受管理規則集時:

  • 僅啟用與您的技術堆疊對應的規則集群組。例如,如果您使用 WordPress,請啟用 Cloudflare WordPress 群組。您還可以製作自訂規則。
  • 我們建議開啟 WAF 並啟用 Cloudflare Specials 以自動防護最新攻擊手段。

瞭解快取的基本知識

快取是指將檔案複本儲存在暫存位置中,使得其可快速存取。Web 瀏覽器快取 HTML 檔案、JavaScript 及影像,以加速載入時間;DNS 伺服器快取 DNS 記錄 ,以加快查詢速度;以及 CDN 伺服器快取內容以減少延遲

  • 瞭解我們的預設快取行為
  • 對於快取 HTML,您可以使用 Cloudflare Page Rules 設定有關如何快取動態內容的規則。

瞭解瀏覽器快取 TTL和邊緣快取 TTL

這些重要功能有助於保護您的網站並確保內容為最新。

  • 邊緣快取 TTL (存留時間) 指定在邊緣網路上快取資源的時間長度。您可以設定在再次向原始伺服器請求提供所快取資源之前,我們保留快取資源的時間長度。
  • 瀏覽器快取 TTL 設定在訪客的瀏覽器中快取之資源的有效期限。

例如,如果您要使用我們每 20 分鐘自動快取的資源更新選舉結果頁面,請將邊緣快取 TTL 設定為 20 分鐘,瀏覽器快取 TTL 設定為約 1 分鐘,以便使用者擁有最新資料。或者,您可以在每次更新檔案時依據檔案 URL 或主機名稱手動清除快取。

自訂快取設定