看前说明

Cloudflare提供的免费版Waf防火墙规则可以为我们提供不开启Under'Attack模式的情况下,访客无感防御CC 很可惜这是有弊端的,仅适用于个人博客等不需要外部API调用的站点(例如A站对接B站)你需要更多的Waf策略规则组 例如Cloudflare Pro 提供高达20个规则组页面。

基础规则

首先你需要将域名的DNS接入Cloudflare DNS 这将有助于隐藏你的站点的源IP

基础SSL加密

点击SSL/TLS 选择【完全严格模式】并自行生成一个仅用于Cloudflare的加密证书安装在源站

1679939014-严格-tuya.png

开启自动保护

点击安全性-自动程序 勾选自动程序攻击模式保证在开启状态

1679939051-自动-tuya.png

开启DDoS防护

点击安全性-DDoS 创建并勾选下图配置 保证在开启状态

1679939047-配置-tuya.png

1679939035-dd-tuya.png

开启基础HTTP保护

点击安全性-安全级别-高 按照下图配置 保证下列设置在开启状态

1679939027-设置-tuya.png

设置SSL/防止追踪源站

点击网络 按照下图配置 自行观看不描述

1679939017-网络1-tuya.png

1679939020-网络2-tuya.png

至此 基础配置完毕

至此 Cloudflare Waf配置完毕

测试防御拦截

1679941269-效果-tuya.png

源站负载甚至没有很大的波动 规则并没有因为中国大陆的宽松规则而造成大陆代理防御失效 如图

1679939039-chi-tuya.png

有话要说

或许你想说 Cloudflare直接拉满五秒盾不就可以了吗 何必大费周章的配置规则 麻烦还不省心 据我所知 Cloudflare自带的五秒盾规则在TLS或一些浏览器攻击脚本上可以完美绕过 并且在文章开头我特意强调了无需开启强制Attack页面即可完美防御 这对于个人博客或一些没有API对接需求的网站非常友好

这套简单的策略防御了大部分的脚本绕过 简单的来说 这套规则很硬性 但同时也很轻便 并没有强制锁死了某些区域 只是需要访客质询即可