Введение
Cloudflare – это компания, предоставляющая услуги сети доставки контента (CDN) и распределенных DNS, действуя как обратный прокси для веб-сайтов. Бесплатные и платные услуги Cloudflare могут использоваться для улучшения безопасности, скорости и доступности веб-сайта различными способами.
В этом руководстве вы узнаете, как использовать бесплатный тарифный план Cloudflare для защиты ваших веб-серверов от непрерывных HTTP-атак распределенного отказа в обслуживании (DDoS), включив режим “I’m Under Attack”. Этот режим безопасности может смягчить атаки DDoS, представляя промежуточную страницу для проверки легитимности подключения перед передачей его на ваш веб-сервер.
Необходимые условия
Этот учебник предполагает, что у вас есть следующее:
- A web server
- A registered domain that points to your web server
- Доступ к панели управления регистратора домена, выдавшего домен
Вы также должны зарегистрироваться в учетной записи Cloudflare перед продолжением.
Примечание: Для этого учебника потребуется использование именных серверов Cloudflare.
Шаг 1 – Настройка вашего домена для использования Cloudflare
Прежде чем использовать любые функции Cloudflare, вы должны настроить свой домен для использования DNS Cloudflare.
Если вы еще этого не сделали, войдите в систему Cloudflare.
Добавьте веб-сайт и отсканируйте DNS-записи
После входа в систему вы перейдете на страницу Начало работы с Cloudflare. Здесь вам нужно нажать кнопку Добавить сайт вверху, чтобы добавить свой веб-сайт в Cloudflare:
Введите доменное имя, с которым вы хотите использовать Cloudflare, и нажмите кнопку Добавить сайт. Вас должно перенаправить на страницу, похожую на эту:
В этом руководстве мы выберем вариант Бесплатный план. Если вы хотите выбрать другой план и оплатить его из-за дополнительных функций Cloudflare, не стесняйтесь это делать. Затем нажмите кнопку Продолжить.
На следующей странице отображаются результаты сканирования DNS-записей для вашего сайта. Убедитесь, что все ваши существующие DNS-записи присутствуют, так как именно они будут использоваться Cloudflare для разрешения запросов к вашему домену. В нашем примере мы использовали домен flippeddev.com:
Обратите внимание, что для ваших записей A и CNAME, указывающих на ваши веб-серверы, столбец Статус должен иметь оранжевое облако с стрелкой, проходящей сквозь него. Это указывает на то, что трафик будет проходить через обратный прокси Cloudflare перед попаданием на ваши серверы.
Измените свои DNS-серверы
На следующей странице будут отображены DNS-серверы, которые нужно удалить, и DNS-серверы Cloudflare, которые следует добавить. Вот пример того, как может выглядеть страница:
Чтобы изменить DNS-серверы вашего домена, войдите в панель управления регистратором домена и внесите изменения DNS, представленные Cloudflare. Например, если вы приобрели свой домен через регистратора, такого как Google или NameCheap, вам нужно войти в соответствующую панель управления регистратором и внести изменения там.
Процесс различается в зависимости от вашего конкретного регистратора доменов. Если вы не можете понять, как это сделать, это похоже на процесс, описанный в Как указать DNS-серверы DigitalOcean от обычных регистраторов доменов, за исключением того, что вы будете использовать DNS-серверы Cloudflare вместо DNS-серверов DigitalOcean.
В приведенном примере домен использует DNS-серверы DigitalOcean, и нам нужно обновить его для использования DNS-серверов Cloudflare.
Когда вы закончите изменение ваших nameservers, нажмите кнопку Продолжить. Переключение nameservers может занять до 24 часов, но обычно это занимает всего несколько минут.
Ожидание обновления nameservers
Поскольку обновление nameservers занимает непредсказуемое количество времени, вероятно, вы увидите следующую страницу:
Статус Ожидание означает, что Cloudflare ожидает обновления nameservers до тех, которые он предписал (например, olga.ns.Cloudflare.com и rob.ns.Cloudflare.com). Если вы изменили nameservers вашего домена, вам просто нужно подождать и проверить позже статус Активен. Если вы нажмете кнопку Повторная проверка nameservers или перейдете в панель управления Cloudflare, он проверит, обновились ли nameservers.
Cloudflare активен
Как только nameservers обновятся, ваш домен будет использовать DNS Cloudflare, и вы увидите, что у него статус Активен.
Это означает, что Cloudflare выступает в качестве обратного прокси-сервера для вашего веб-сайта, и у вас есть доступ к функциям, доступным в тарифном плане, на который вы подписались. Если вы используете бесплатную версию, как мы делаем в этом руководстве, у вас будет доступ к некоторым функциям, которые могут улучшить безопасность, скорость и доступность вашего сайта.
Мы не рассмотрим все функции в этом руководстве, так как мы сосредоточены на смягчении текущих DDoS-атак, но они включают CDN, SSL, кэширование статического контента, брандмауэр (до достижения трафика вашего сервера) и инструменты аналитики трафика.
Также обратите внимание на Сводку настроек, прямо под вашим доменом будет отображаться текущий уровень безопасности вашего веб-сайта (по умолчанию средний) и некоторая другая информация.
Перед продолжением, чтобы получить максимальную отдачу от Cloudflare, рекомендуется следовать этому руководству: Рекомендуемые первые шаги для всех пользователей Cloudflare. Это важно, чтобы Cloudflare разрешал легитимные соединения от сервисов, которые вы хотите разрешить, а также чтобы в журналах вашего веб-сервера отображались исходные IP-адреса посетителей (а не обратные прокси-адреса Cloudflare).
Как только все будет настроено, давайте рассмотрим настройку Режим «Я под атакой» в брандмауэре Cloudflare.
Шаг 2 – Включение режима «Я под атакой»
По умолчанию безопасность брандмауэра Cloudflare установлена на уровне Средний. Это обеспечивает некоторую защиту от посетителей, которых оценивают как умеренную угрозу, предоставляя им страницу с вызовом перед разрешением им продолжить использование вашего сайта. Однако, если ваш сайт становится объектом DDoS-атаки, этого может быть недостаточно для поддержания его работоспособности. В таком случае режим Режим “Атака!” может быть подходящим для вас.
Если вы включите этот режим, любому посетителю вашего веб-сайта будет предложена промежуточная страница, которая выполняет некоторые проверки браузера и задерживает посетителя примерно на 5 секунд перед передачей его на ваш сервер. Это будет выглядеть примерно так;
Если проверки пройдены, посетителю разрешится доступ к вашему веб-сайту. Комбинация предотвращения и задержки соединения злонамеренных посетителей обычно достаточна для поддержания его работы, даже во время DDoS-атаки.
Примечание: Посетителям сайта необходимо включить JavaScript и Cookies для прохождения промежуточной страницы. Если это неприемлемо, рассмотрите вариант использования уровня безопасности брандмауэра “Высокий”.
Имейте в виду, что режим Режим “Атака!” следует включать только тогда, когда ваш сайт становится жертвой DDoS-атаки. В противном случае его следует отключить, чтобы не задерживать обычных пользователей в доступе к вашему веб-сайту без веской причины.
Как включить режим “Атака!”
Если вы хотите включить режим Я под атакой, самый простой способ – перейти на страницу Обзора Cloudflare (страница по умолчанию) и включить его в правой боковой панели:
Настройки безопасности сразу переключатся в состояние Я под атакой. Теперь любые посетители вашего сайта будут видеть промежуточную страницу Cloudflare, описанную выше.
Как отключить режим “Я под атакой”
Поскольку режим Я под атакой должен использоваться только в случае чрезвычайных ситуаций с DDoS, вы должны отключить его, если вы не подвергаетесь атаке. Для этого перейдите на страницу Обзора Cloudflare и отключите его. Это откроет модальное окно вот такое:
Затем выберите уровень безопасности, на который хотели бы переключиться. Режим по умолчанию и обычно рекомендуемый – Средний.
Ваш сайт должен вернуться к состоянию Активен, и страница защиты от DDoS будет отключена.
Вывод
Сейчас, когда ваш веб-сайт использует Cloudflare, у вас есть еще один инструмент для легкой защиты от атак DDoS на основе HTTP. Есть также различные другие инструменты, которые предоставляет Cloudflare, и вам может быть интересно настроить их, такие как бесплатные SSL-сертификаты. В связи с этим рекомендуется изучить варианты и посмотреть, что может быть полезным для вас.
Вы можете узнать больше о том, как использовать Cloudflare для защиты ваших сайтов, прочитав наш учебник Как разместить сайт с использованием Cloudflare и Nginx на Ubuntu 22.04.