網站安全性
深入瞭解 Cloudflare 產品如何保護您的資產,並選擇適合您的網路安全設定。
通知
管理通知以定義要警告的內容以及警告方式。我們建議啟用:
- 被動來源監控警示:當無法從我們的邊緣網路連線到您的原始網頁伺服器長達至少 5 分鐘時獲得通知,以便您可以快速解決問題。
- HTTPS DDoS 警示:註冊即可在 Cloudflare 自動偵測並緩解針對您的網際網路設備的 DDoS 攻擊時,即時收到電子郵件。
- 網路安全事件警示:在產生相關記錄項目的所有 Cloudflare 服務中發生任何防火牆相關事件激增的兩小時內收到警示。
管理 DNS 記錄
您使用 Cloudflare DNS 時,我們的全球 Anycast 網路將回答對您網域的所有 DNS 查詢。DNS 記錄有助於將您的網域相關資訊傳達給訪客和其他 Web 服務。
有了 Cloudflare DNS,您可以在 [DNS] 索引標籤中管理您網站的所有記錄——請觀看可用選項的 Cloudflare 儀表板逐步介紹。
橙色雲與灰色雲
橙色雲符號 意指送往該主機名稱的流量會經過 Cloudflare。這將啟用多項功能,如隱藏您的來源 IP 位址、快取、SSL 和 Web 應用程式防火牆。我們建議啟用橙色雲來處理 A、AAAA 和 CNAME 記錄。
灰色雲 意指 Cloudflare 將在 DNS 中公佈這些記錄,但是所有流量都會路由至原點,而非經過 Cloudflare。如果您嘗試使用記錄或非 Web 流量(包括郵件和 FTP)驗證服務,則這在一些非 A、AAAA 或 CNAME 的記錄情境中很實用。如果您在 Cloudflare 上遇到記錄問題,可以在 DNS 索引標籤上對該記錄啟用灰色雲,以便為該記錄暫停 Cloudflare。
如果您在上線後遇到電子郵件無法送達的問題,請在 DNS 索引標籤上對用於接收郵件的 DNS 記錄啟用灰色雲。預設設定僅允許透過 Proxy 處理 HTTP 流量,並將分解郵件流量。
隱藏您的來源 IP 位址
Cloudflare 提供許多可偵測和封鎖惡意流量的功能。但是,如果惡意使用者找到您的伺服器的來源 IP(亦即託管您實際資源的位置),就可能能夠將流量或攻擊直接傳送到伺服器。
請考慮採取以下步驟防止洩露此資訊:
- 檢閱區域的 DNS 記錄。如果可以,請將所有子網域保持在 Cloudflare 上,並檢查 SPF 和 TXT 記錄以取得來源資訊。
- 切勿在與要保護的 Web 資源相同的伺服器上託管郵件服務,因為傳送到不存在地址的電子郵件會被退回給攻擊者並洩露郵件伺服器 IP。
- 確保您的 Web 伺服器不會連線到使用者提供的任意位址。
- 開始啟用後請變換來源 IP,因為 DNS 記錄是在公用網域中。系統會保留歷史記錄,而且會在加入 Cloudflare 之前包含 IP 位址。
啟用 SSL 加密
SSL 憑證加密使用者資訊並在網際網路上保護使用者安全。手動設定 SSL 需要幾個步驟,然而設定錯誤可能會阻礙使用者造訪您的網站。
使用 Cloudflare,按一下按鈕即可啟用 HTTP 功能。我們提供邊緣憑證及原始伺服器憑證。
- 邊緣憑證:依據預設,我們會對所有 Cloudflare 網域簽發和續約免費、未共用、公開信任的 SSL 憑證。您的網域應在網域啟動後的 24 小時內自動收到其 Universal SSL 憑證。我們建議啟用「完全」或「完全(嚴格)」這兩種設定中之任一項,以確保您網站的資料機密性。
- 原始憑證授權單位 (CA):使用這些憑證來加密 Cloudflare 與您的原始網頁伺服器之間的流量。部署後,這些憑證將與嚴格 SSL 模式相容。
WAF 設定建議
使用受管理規則集時:
- 僅啟用與您的技術堆疊對應的規則集群組。例如,如果您使用 WordPress,請啟用 Cloudflare WordPress 群組。您還可以製作自訂規則。
- 我們建議開啟 WAF 並啟用 Cloudflare Specials 以自動防護最新攻擊手段。
瞭解瀏覽器快取 TTL和邊緣快取 TTL
這些重要功能有助於保護您的網站並確保內容為最新。
- 邊緣快取 TTL (存留時間) 指定在邊緣網路上快取資源的時間長度。您可以設定在再次向原始伺服器請求提供所快取資源之前,我們保留快取資源的時間長度。
- 瀏覽器快取 TTL 設定在訪客的瀏覽器中快取之資源的有效期限。
例如,如果您要使用我們每 20 分鐘自動快取的資源更新選舉結果頁面,請將邊緣快取 TTL 設定為 20 分鐘,瀏覽器快取 TTL 設定為約 1 分鐘,以便使用者擁有最新資料。或者,您可以在每次更新檔案時依據檔案 URL 或主機名稱手動清除快取。