先确保源站 IP 没有暴露,不然 CF 没有任何效果,在服务器防火墙仅允许 Cloudflare IP 段回源。并且配置 Authenticated Origin Pulls ,不要使用 CF 提供的默认证书。原因可参考这个文章:Relying solely on IP Allowlisting with Cloudflare is WRONG
然后在 Cloudflare 仪表盘设置速率限制规则,速率限制规则可以防小型 CC ,因为小型 CC 可能不会触发 CF 的 http ddos 检测。
以上是众所周知的防 CC 方法。但是在大型 CC 攻击下,仍会有不少漏网之鱼打到源站。我们可以在 Cloudflare 边缘缓存页面,把 TTL 设置成 1 小时,检测 cookie 为登录用户绕过缓存,然后在源站添加代码在内容更新时调用 Cloudflare API 清除缓存。这样可以防止恶意流量打崩服务器,也可以加速正常用户的访问。
这种方法适合论坛、博客这类对实时性要求不高的网站。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.