Cloudflare设置是通过正确配置DNS、SSL/TLS、WAF、访问规则、机器人过滤和缓存选项,让网站更快、更安全、并具备抵御DDoS攻击能力的关键步骤。安全的基础配置建议:将域名添加到Cloudflare、准确迁移DNS记录、SSL模式优先选择Full (Strict)、启用WAF托管规则、对可疑请求设置挑战或限流、并在攻击时合理启用“Under Attack Mode”等防护措施。
Cloudflare像CDN与安全防护层一样,介于网站和访客之间。当访客访问你的站点,请求会先到达Cloudflare网络,在这里恶意流量被过滤,静态资源可直接缓存分发,合规请求再转发至源服务器。这种架构对WordPress、WooCommerce、企业门户、SaaS面板、高流量内容站点尤其有利。但Cloudflare配置不当,可能导致SSL错误、无限重定向、后台无法访问、缓存导致页面无法更新及安全漏洞等问题。
本指南将逐步讲解Cloudflare从零开始的部署,关键安全选项的启用,DDoS防护的场景化配置,以及如何在保证安全的前提下优化性能。如果你想打造一个快速、安全、兼容性强的基础架构,域名、主机和SSL的牢固基础非常重要:域名注册, 虚拟主机套餐, SSL证书。
Cloudflare是什么?对网站安全有何作用?
Cloudflare是一款云端安全与性能平台,提供DNS管理、CDN加速、DDoS防御、网站应用防火墙、机器人识别、SSL/TLS管理和流量分析。在传统架构下,访客直接连接主机服务器;而使用Cloudflare后,访客先连接其全球节点,让恶意流量在到达源服务器前被拦截。
举例:一个小型WordPress站点,平时每天约2000访客、每分钟20-30请求。若遭受简单的HTTP flood攻击,每分钟请求可暴增至2万,服务器因CPU/RAM/带宽限制无法响应。Cloudflare通过IP信誉、行为分析、限流、挑战和DDoS特征识别,帮助真实访客顺利访问。
Cloudflare并非万能安全工具。只有与强大的主机、最新软件、安全密码、备份、SSL和正确服务器配置配合使用时,才能充分发挥效果。特别是WordPress用户,主题/插件要及时更新,后台安全、强密码政策仍不可忽视:WordPress主机, WordPress安全。
Cloudflare部署前准备清单
在切换Cloudflare前,做好基础检查可减少后续访问和SSL等问题。尤其在高流量站点,DNS变更要有计划。
- 导出现有DNS记录:包括A、AAAA、CNAME、MX、TXT、SPF、DKIM、DMARC以及各子域名。
- 核实主机IP地址:错误A记录会导致网站指向错误服务器。
- 检查SSL状态:源服务器有有效SSL时,可在Cloudflare选择Full (Strict)模式。
- 注意邮箱相关记录:MX及邮箱相关CNAME/A一般需设为DNS only(关闭代理)。
- 备份:DNS与网站数据备份,出错时能快速恢复。
- 选择维护时间:Nameserver更改一般数分钟生效,全球同步最长24小时。
企业网站实用做法:先完整迁移DNS记录,仅将www和根域名用于代理。邮箱、FTP、cPanel、webmail等服务则视具体场景谨慎处理。比如cPanel用独立子域时,建议设为DNS only更稳定:cPanel主机管理。
Cloudflare DNS设置方法
Cloudflare部署从将域名添加到控制面板开始。Cloudflare会自动扫描并列出现有DNS记录,但自动扫描可能不全,需人工核对。
1. 添加域名到Cloudflare
登录Cloudflare账号,点击“Add a site”添加域名。选定套餐后,检查DNS记录。根域名通常为A记录,www为CNAME记录。示例结构:
- A记录:example.com → 192.0.2.10
- CNAME记录:www → example.com
- MX记录:example.com → 邮箱服务商
- TXT记录:SPF、DKIM、DMARC等身份验证
需注意哪些记录经过Cloudflare代理。用于网站访问的A和CNAME建议启用橙色云(代理)。邮箱、FTP或直接服务器访问的记录建议灰色云(DNS only)。
2. 更改Nameserver
Cloudflare会提供两个Nameserver。在域名注册商处将原Nameserver更换为Cloudflare提供的。Hostragons注册的域名可在域名管理面板操作:域名管理。更改后,Cloudflare面板显示“Active”状态。
3. 选择正确代理状态
启用橙色云时HTTP/HTTPS流量通过Cloudflare并应用安全功能。灰色云则仅作DNS解析。网站主域名建议启用代理;如mail.example.com、ftp.example.com或服务器管理子域名一般关闭代理。
SSL/TLS设置:最安全配置
Cloudflare的SSL/TLS设置决定浏览器至Cloudflare、Cloudflare至源服务器间的加密方式。错误的SSL模式是常见的Cloudflare故障原因。
Flexible、Full与Full (Strict)区别
| SSL模式 | Cloudflare-访客 | Cloudflare-服务器 | 建议 |
|---|---|---|---|
| Flexible | HTTPS | HTTP | 仅临时使用,不推荐;易产生重定向循环与安全风险。 |
| Full | HTTPS | HTTPS | 服务器有SSL但证书未严格验证。 |
| Full (Strict) | HTTPS | HTTPS,证书有效 | 最安全标准,建议优先采用。 |
专业使用建议以Full (Strict)为目标。源服务器需部署有效SSL证书(如Let’s Encrypt、商用SSL或Cloudflare Origin Certificate)。Hostragons主机套餐支持SSL安装与续签,助你安全启用该模式:SSL证书安装。
Always Use HTTPS与Automatic HTTPS Rewrites
“Always Use HTTPS”会将HTTP请求自动重定向到HTTPS。“Automatic HTTPS Rewrites”可将页面内部分HTTP资源自动转换为HTTPS。但如遇混合内容问题,根本解决方案是彻底将数据库、主题内的所有HTTP链接改为HTTPS。
启用HSTS需谨慎
HSTS能强制浏览器仅通过HTTPS访问网站,是强力安全措施。但SSL配置出错时,访客可能无法访问。启用前须确保Full (Strict)、有效SSL、所有子域及重定向正常。初次建议设置较短max-age测试。
Cloudflare WAF设置与网站应用安全
WAF(网站应用防火墙)可过滤SQL注入、XSS、文件包含、恶意机器人行为及已知应用漏洞。Cloudflare WAF设置对于WordPress、Joomla、Laravel、定制后台及电商网站尤为重要。
启用托管规则(Managed Rules)
托管规则是Cloudflare维护的安全规则集。WordPress用户可启用专属规则、OWASP标准规则和已知CVE特征,降低攻击面。初次部署建议先用“Log”或低影响模式观察误拦,后续再启用“Block”或“Managed Challenge”。
自定义规则保护关键区域
自定义规则可精准保护网站。例如为wp-login.php或/admin登录页限定特定国家访问,或对某些URI拦截可疑user-agent。编写规则时要避免误伤真实用户。电商网站如错误挑战支付页,会影响转化。
举例:针对中国市场的企业站,可对/wp-admin路径设置海外访问“Managed Challenge”。但如有远程办公或海外分部,需设IP白名单,既防止暴力破解,又保障授权访问。
如何配置DDoS防护?
DDoS攻击是用高流量让网站或服务器瘫痪。Cloudflare最大优势在于全球网络可吸收流量,仅将过滤后的请求送至源服务器。要想效果最佳,DDoS防护不能“被动等待”,而应按场景主动设置。
1. 网站流量务必启用代理
Cloudflare DDoS防护仅对启用代理的记录有效。若根域名和www未启用橙色云,流量直达服务器,Cloudflare无法拦截。此外,源IP不能暴露于网络。旧DNS记录、邮件头或直接IP访问均可能绕过Cloudflare。
2. 利用Security Level与挑战设置
Security Level决定访客是否看到挑战页面。正常时“Medium”适合多数站点;遇攻击或异常流量,可提升至“High”或临时启用“I’m Under Attack Mode”。该模式会弹出控制页面,影响用户体验,不宜长期开启。
3. 使用Rate Limiting限制请求频率
Rate limiting按IP或客户端在一定时间内的请求次数限流。例如登录页每分钟超20请求即挑战,能降低暴力破解。API端点需更谨慎,若有移动端或业务集成,建议先统计正常流量,避免过度拦截:API与集成安全。
4. 源服务器限于Cloudflare IP访问
高级安全可在服务器防火墙只允许Cloudflare IP段访问HTTP/HTTPS。即使攻击者知晓源IP,也无法直连。操作需谨慎,Cloudflare IP列表要定期更新,SSH、管理面板、备份服务等需单独考虑。
机器人防护与暴力破解防范
并非所有机器人流量都是坏事;如Googlebot等搜索引擎机器人对网站收录至关重要。真正问题是垃圾机器人、爬虫工具、假登录尝试和恶意自动化。Cloudflare机器人防护可通过行为信号识别。
- Bot Fight Mode:可减少简单机器人流量,部分集成需测试兼容性。
- Turnstile:作为人机验证替代,用户体验更佳。
- 登录页防护:如wp-login.php、xmlrpc.php及后台路径可用规则限制访问。
- XML-RPC控制:WordPress如不需此功能建议屏蔽,降低暴力破解风险。
- 表单垃圾减少:联系表单可结合Turnstile和限流。
例如WordPress网站遇到xmlrpc.php每分钟数千POST请求,CPU迅速飙升。可用Cloudflare自定义规则屏蔽xmlrpc.php请求,或仅允许Jetpack等必要服务IP访问,显著降低服务器负载。
缓存与性能设置:安全加速并重
Cloudflare不仅安全强大,性能提升亦显著。静态资源可从最近节点分发,减少页面加载时间。但不宜全部缓存:登录用户页面、购物车、支付、会员后台及个性化内容应绕过缓存。
推荐缓存设置
- Caching Level:标准模式适合大多数网站。
- Browser Cache TTL:静态资源建议设为1周或更长。
- Cache Rules:/wp-admin、/cart、/checkout、/my-account等动态路径需绕过缓存。
- Always Online:断网时有限帮助,动态站点需合理预期。
- Purge Cache:内容或设计更新后,建议按URL清理,避免全站清除。
性能优化还需主机支持。LiteSpeed、NVMe硬盘、最新PHP版本与合适缓存插件配合Cloudflare效果更佳:LiteSpeed主机, 网站加速。
Cloudflare安全设置推荐初始配置
下表为中小型网站通用安全配置。每站点流量、软件与业务不同,建议结合实际监测调整。
| 选项 | 推荐值 | 重要原因 |
|---|---|---|
| SSL/TLS | Full (Strict) | 端到端验证HTTPS。 |
| Always Use HTTPS | 开启 | 将HTTP流量转为安全连接。 |
| WAF托管规则 | 开启 | 自动拦截已知网站攻击。 |
| Security Level | Medium | 日常较均衡防护。 |
| Under Attack Mode | 仅攻击时开启 | DDoS高峰期增加验证。 |
| 速率限制 | 登录/API适度限流 | 减少暴力破解与滥用。 |
| Cache Rules | 动态页面绕过 | 避免购物车、支付、后台出错。 |
| DNSSEC | 如适用开启 | 防止DNS伪造。 |
常见Cloudflare错误及解决方法
无限重定向循环
常因Cloudflare SSL模式为Flexible,同时源服务器启用HTTPS重定向。解决办法:部署有效SSL后,将Cloudflare SSL模式调整为Full或Full (Strict)。
521, 522, 525等错误
521为服务器拒绝连接,522为超时,525为SSL握手失败。建议检查防火墙是否拦截Cloudflare IP、主机是否正常运行、SSL证书有效、DNS记录是否指向正确IP。
后台更新无法显示
多因过度缓存导致。后台、购物车、支付、会员页面需绕过缓存。WordPress配合缓存插件与Cloudflare缓存清理集成,可简化管理。
邮件问题
Cloudflare代理不处理邮件流量。MX记录需正确,指向邮件服务器的记录应设为DNS only。SPF、DKIM、DMARC TXT记录不足也会导致收件异常。
安全Cloudflare部署步骤清单
以下流程适合新手安全部署Cloudflare:
- 1. 添加域名到Cloudflare,并核对DNS记录与原服务商一致。
- 2. 网站主域名与www启用代理。
- 3. 邮箱、FTP和管理服务考虑DNS only。
- 4. 在域名面板更换Nameserver。
- 5. 源服务器部署有效SSL,Cloudflare选择Full (Strict)。
- 6. 启用Always Use HTTPS和Automatic HTTPS Rewrites。
- 7. 开启WAF托管规则,初期观察日志和误拦。
- 8. 登录页设置限流或挑战。
- 9. 动态路径用Cache Rules绕过缓存。
- 10. 遇攻击时提升Security Level,如有需要临时开启Under Attack Mode。
- 11. 计划服务器防火墙仅允许Cloudflare IP访问。
- 12. 每周检查安全事件、分析与DNS记录。
本清单能显著减少首次部署错误。高流量电商或会员站建议在低峰时段调整,并监控转化数据。
Cloudflare分析与安全事件监控
Cloudflare部署后,监控与优化才是关键。在Security Events可查看各规则拦截请求数、攻击来源国家与IP、被攻击URL。数据驱动下,编写规则更科学。
例如日志显示/wp-login.php一天内有18000次失败请求,与其提升整体安全级别,不如为该端点专设限流与挑战。若API端点被频繁访问,也应针对恶用方法、国家或user-agent定制规则,而非全站严控。
Cloudflare是否足够?
Cloudflare是强力安全层,但安全需多层次防护。若主机过时、软件有漏洞、后台密码弱、无备份政策,Cloudflare无法消除所有风险。建议结合安全主机、最新PHP、定期备份、SSL、安全插件、文件权限和访问控制综合治理。
在Hostragons平台选择合适主机套餐,可与Cloudflare共同构建更稳定的安全与性能架构。流量增长时,建议由共享主机升级至VPS或云服务器,以满足资源和防御需求:VPS服务器, 企业主机方案。
总结:安全Cloudflare设置的平衡之道
正确的Cloudflare设置需:精准迁移DNS记录、Full (Strict) SSL、WAF规则、合理机器人防护、限流、正确缓存例外及针对攻击的DDoS模式。最佳效果应将设置视为持续的安全流程,按流量和数据定期优化。
简言之:网站流量经代理,源服务器保护,SSL用严格模式,WAF与限流规则按实际调整。如需在域名、主机或SSL方面打造安全基础,可参考Hostragons方案,规划适合网站需求的架构:Hostragons主机套餐。
常见问答
Cloudflare设置中最安全的SSL模式是什么?
一般认为Full (Strict)是最安全的SSL模式。此模式下,访客至Cloudflare、Cloudflare至源服务器均为HTTPS,且证书严格验证。源服务器需部署有效SSL证书。
Cloudflare免费套餐能用DDoS防护吗?
免费套餐也提供基础DDoS防护。但高级WAF、更细致限流、机器人管理和企业级控制需付费套餐。中小网站使用免费套餐,若配置得当,也能获得不错防护。
Under Attack Mode要长期开启吗?
不建议。Under Attack Mode仅在攻击时临时使用。长期开启会让真实访客看到额外验证,影响体验。平时用WAF、限流和适当Security Level即可。
用Cloudflare后还需主机吗?
是的。Cloudflare只是网站前置的安全与加速层,网站文件、数据库和应用仍需主机或服务器存储。因此可靠主机基础在Cloudflare部署时也是必需。
Cloudflare缓存设置会影响电商网站吗?
配置不当会有影响。购物车、支付、用户账户、后台等动态页面应绕过缓存。静态资源可缓存,个性化内容保持例外,Cloudflare即可安全用于电商网站。
