Руководство по работе с Cloudflare для новичка

Cloudflare — высокоскоростная сеть из серверов, которые расположены по всему миру. Предназначение платформы — защита сайта от DDoS-атак, настройка кэширования, подключение CDN сети доставки содержимого для ускорения загрузки.

Благодаря этому руководству вы узнаете, как работает Cloudflare, научитесь добавлять сайты и настроите параметры безопасности.

Содержание:
1. Преимущества Cloudflare
2. Принцип работы Cloudflare
3. Как подключить Cloudflare к сайту
4. Как очистить кэш
5. Как работать с DNS-записями
6. Как настроить HTTPS
7. Как защитить сайт от DDoS-атак
8. Как ускорить загрузку сайта
9. Как улучшить работу отдельных страниц
10. Как удалить сайт из Cloudflare
11. Сколько стоит Cloudflare
12. Аналоги Cloudflare
Заключение

1. Преимущества Cloudflare

Автоматическая минификация кода

Если вы еще не минифицируете файлы HTML/CSS/JavaScript сами, то Cloudflare поможет сделать это автоматически. В настройках доступна опция автоминификации. При ее включении система проверяет файлы HTML, CSS и JavaScript, после чего удаляет из них ненужные символы: пробелы, строковые символы, разделители, комментарии — все, что не нужно браузеру для нормального отображения сайта.

После минификации файлы весят меньше, но их отображение в браузере никак не изменяется. Это приводит к увеличению скорости загрузки сайта у клиентов.

Оптимизация изображений

Еще один способ ускорить загрузку сайта — оптимизировать изображения. Для этого файлы сжимаются. Cloudflare предлагает два режима сжатия — без потери качества и с потерей. Выбор зависит от того, насколько важно высокое качество изображений на сайте.

Кэширование статических ресурсов

Если статические ресурсы редко обновляются, можно настроить их длительное хранение в кэше. При запросе они будут загружаться из локального хранилища, что увеличивает скорость отображения в браузере. Все необходимые настройки кэширования есть в панели Cloudflare.

Использование протокола HTTP/2

На Cloudflare по умолчанию включено использование протокола HTTP/2. Он в два раза быстрее, чем HTTP/1.1. HTTP/2 загружает несколько элементов по одному TCP-соединению, а также сжимает заголовки.

Бесплатный SSL

SSL предлагает бесплатный сертификат для шифрования трафика. Вы также можете купить и установить любой другой сертификат.

Повышенная безопасность DNS

DNSSEC — расширение безопасности DNS. Помогает противодействовать уязвимостям подделки запроса. Включается в настройках Cloudflare на вкладке «DNS», не требует дополнительной платы за использование.

Облако WAF

WAF — брандмауэр веб-приложений. Защищает сайт от уязвимостей CMS, спама в комментариях, межсайтового скриптинга (XSS), SQL-инъекций. Доступен только на платном тарифе. Главный плюс — автоматическое обновление правил для новых уязвимостей.

WebSockets

Cloudflare поддерживает WebSockets и перенаправляет трафик на исходный сервер без ручной настройки.

Балансировка нагрузки

Балансировщик нагрузки распределяет трафик между несколькими серверами. Это гарантирует, что веб-приложение будет доступно, даже если один из серверов упадет. Балансировщик также уменьшает время загрузки страниц за счет обслуживания контента с ближайшего сервера. Точку он выбирает автоматически, основываясь на местоположении пользователя.

2. Принцип работы Cloudflare

Cloudflare работает как фильтр или как прокси между вашим сайтом и пользователями. Все запросы сначала поступают на серверы платформы и только затем перенаправляются вам. Благодаря этому подходу появляется возможность:

1. Скрыть свой IP-адрес от злоумышленников.
2. Защититься от DDoS-атак — Cloudflare проверяет трафик и блокирует подозрительные запросы.
3. Ускорить загрузку сайта за счет включения кэширования, за счет собственных высокоскоростных выделенных каналов связи и использования серверов, которые расположены ближе всего к пользователям.

Cloudflare предлагает все необходимые инструменты для защиты и ускорения сайта. Нужна минификация кода — пользуйтесь. Требуется SSL-сертификат — получаете его бесплатно при добавлении сайта в сеть.

3. Как подключить Cloudflare к сайту

Чтобы создать аккаунт, зайдите на сайт Cloudflare и нажмите Sign Up. В качестве логина используйте адрес электронной почты. Для защиты аккаунта придумайте сложный пароль — не менее восьми символов, обязательно одна цифра и один специальный символ.

1. Укажите домен, который собираетесь защитить с помощью Cloudflare. Нажмите Add Site.
2. Выберите тарифный план. Начать можно с бесплатного тарифа.
3. Подождите, пока Cloudflare найдет DNS-записи для домена и всех поддоменов. После обнаружения он создаст их у себя. Если обнаружены не все записи, добавьте их вручную.

Скопируйте адреса DNS-серверов Cloudflare для перенаправления домена. Их нужно вставить в настройки домена на сайте компании, где вы регистрировали домен.

Если вы подключаете сайт к Cloudflare во время DDoS-атаки, чтобы защитить его, поменяйте IP-адрес. Этот вопрос нужно решать с хостинг-провайдером. Без предварительной замены IP-адреса Cloudflare не поможет с отражением атаки.

После подключения DNS-серверов Cloudflare трафик в течение нескольких дней будет идти через старые DNS. Защита Cloudflare будет работать только с частью запросов. Поэтому лучше не ждать атаки на сайт, а защитить его заранее, уменьшив риск полного отказа.

4. Как очистить кэш

На Cloudflare по умолчанию включено кэширование. Поэтому каждый раз, когда вы что-то меняете на сайте, нужно очищать кэш. Иначе пользователи не увидят изменения.

Чтобы очистить кэш:

• Откройте раздел Caching.
• Перейдите на вкладку Configuration.
• Нажмите Custom Purge, если хотите очистить кэш выборочно.
• Нажмите Purge Everything, если хотите очистить весь кэш на серверах Cloudflare.

Чтобы автоматизировать очистку кэша, используйте режим разработки Cloudflare. Включить его можно в разделе Quick Actions на вкладке Overview.

В режиме Development Mode кэш отключается на три часа. Это удобно при проведении работ на сайте, чтобы изменения сразу отображались в браузере.

5. Как работать с DNS-записями

После переключения вы можете работать с DNS-записями через панель Cloudflare. Для этого перейдите в раздел DNS. Здесь размещена таблица со всеми записями вашего домена на серверах.

Чтобы добавить новую запись, нажмите Add record. В качестве примера создадим запись типа A для поддомена forum.

• Выберите тип записи A.
• В поле Name укажите хост на домене, для которого создаете запись. Если это запись для основного домена, впишите знак @. Если запись для поддомена, впишите сам поддомен, без имени домена.
• IPv4 address — адрес для привязки хоста. Поле меняет название в зависимости от типа записи. Но здесь всегда нужно указывать целевое назначение — домен, URL, текст.
• Proxy status — статус прокси Cloudflare. Proxied означает, что все запросы для этой записи сначала пройдут через Cloudflare. Благодаря этому будут работать все сервисы: SSL, CDN, защита от DDoS. DNS Only означает, что запросы пойдут в обход Cloudflare. Сервисы работать не будут.
• TTL — время жизни записи на роутере посетителя сайта в секундах. Чем больше число, тем дольше пользователю придется ждать, прежде чем он узнает об изменении DNS. Параметр меняется только при отключении прокси Cloudflare. По умолчанию он работает в режиме Auto.

Записи можно не только добавлять, но и редактировать и удалять. Это дает гибкость в настройке сайта. Более подробно по этой теме можно почитать в официальной документации.

6. Как настроить HTTPS

Cloudflare — дополнительный слой между сайтом и пользователями. Это значит, что соединение теперь нужно защищать в двух местах — от пользователя к Cloudflare и от Cloudflare к сайту.

Чтобы увидеть статус защиты на каждом этапе, откройте раздел SSL/TLS. В верхней части страницы отображается схема взаимодействия и четыре режима. Выбирать режим нужно с учетом того, установлен на вашем хостинге SSL-сертификат или нет.

Соединение от посетителя к Cloudflare защищено по умолчанию благодаря бесплатному SSL-сертификату. Вы получаете его при добавлении домена в аккаунт. Вам нужно защитить только соединение на этапе от Cloudflare к вашему сайту.

Если на хостинге установлен SSL-сертификат, выберите режим Full (Strict). Так вы настроете полностью безопасное соединение, в котором весь трафик шифруется.

Если на хостинге нет SSL-сертификата, выберите режим Flexible. Однако в таком случае соединение не будет полностью защищенным. Более того, вы вводите пользователей в заблуждение. При переходе на сайт они будут видеть HTTPS, так как на Cloudflare сертификат есть. Но данные от Cloudflare на ваш сайт будут передаваться уже в незащищенном виде через HTTP. Это значит, что злоумышленники теоретически могут притвориться вашим сервером и перехватить данные пользователей.

Режим Flexible можно использовать как временную меру, пока вы не установите SSL-сертификат на хостинге. Если на вашем хостинге нет сертификата, нельзя выбирать режим Full и Full (Strict). Иначе посетители сайта при переходе будут видеть ошибку 525 или 526.

После настройки защищенного соединения убедитесь, что ваш сайт доступен только по HTTPS. Для этого специально введите в браузере адрес с HTTP. Если сайт открывается с HTTP, исправьте уязвимость.

1. Вернитесь в панель Cloudflare.
2. В разделе SSL/TLS откройте вкладку Edge Certificates.
3. Включите режим Always Use HTTPS.

7. Как защитить сайт от DDoS-атак

Подключение сайта к Cloudflare уже снижает опасность DDoS-атак. IP-адрес сервера с сайтом по умолчанию скрыт, так что злоумышленники атакуют его через серверы Cloudflare. Те настроены таким образом, чтобы заблокировать подозрительный трафик и пропустить нормальный.

Однако бесплатный тариф не защищает от всех атак. Для большинства сайтов его возможностей достаточно. Но если у вас популярный и высоконагруженный ресурс, то нельзя просто сидеть и ждать, пока атака закончится. Нужно помогать Cloudflare бороться со злоумышленниками, корректируя настройки доступа.

Использование режима I’m Under Attack!

При включении этого режима Cloudflare начинает проверять каждого, кто пытается зайти на сайт. Пользователи видят предупреждение с текстом: Checking your browser…. Посетителей это может раздражать, зато Cloudflare так проще отделить вредоносный трафик от нормального.

Чтобы включить режим I’m Under Attack:

1. Перейдите в раздел Firewall.
2. Откройте Settings.
3. В блоке Security Level выберите режим I’m Under Attack.

По умолчанию проверенный пользователь получает доступ к сайту на 30 минут. Продолжительность сеанса можно изменить на той же вкладке Settings в поле Challenge Passage.

Обязательно отключите режим I’m Under Attack после завершения атаки, иначе все пользователи так и будут ждать окончания проверки, прежде чем попадут на ваш сайт.

Вместо I’m Under Attack можно выбрать режим защиты High. В таком случае Cloudflare будет проверять не всех пользователей, а только тех, с чьих адресов в последние 14 дней было зафиксировано странное поведение — например, попытки зайти в чужие аккаунты или сбор данных со страниц сайта.

Настройка правил доступа

Cloudflare предлагает гибкие настройки доступа. Можно включить обязательное прохождение капчи или заблокировать посетителей из конкретных регионов, диапазонов IP-адресов, информации об операционной системе и версии браузера.

На бесплатном тарифе можно создать пять таких правил. В качестве примера заблокируем доступ по IP-адресам:

1. Откройте раздел Firewall.
2. Перейдите на вкладку Firewall Rules.
3. Нажмите Create Firewall rule.
4. В поле Rule name впишите любое имя правила.
5. В поле Field выберите параметр для фильтрации трафика. В нашем случае это IP-адрес.
6. В поле Operator выберите условие срабатывание. В рассматриваемой ситуации это равно — equals.
7. В поле Value введите IP-адрес, трафик с которого нужно заблокировать.

Это очень простое правило. Давайте его усложним, добавив еще условие. Например, мы знаем не только «плохой» IP-адрес, но и диапазон IP-адресов злоумышленников. Его можно добавить к правилу с помощью кнопок And и Or.

• And — правило сработает, когда оба условия соблюдаются.
• Or — правило сработает, когда соблюдается хотя бы одно условие.

Диапазон адресов добавляется так же, как один IP. В поле Field — IP-адрес, в поле Operator — is in (проверка на вхождение), в поле Value — сам диапазон в формате «IP-адрес/префикс CIDR».

После настройки условий укажите, что нужно делать при их соблюдении. Доступные варианты:

1. Block — блокировка доступа.
2. Challenge (CAPTCHA) — включение проверки с помощью Google reCAPTCHA.
3. JS Challenge — показ межстраничного уведомления как при включении режима I’m Under Attack.
4. Bypass — отключение проверки.
5. Allow — полный доступ.

Чтобы сохранить изменения, в левом нижнем углу нажмите Deploy.

8. Как ускорить загрузку сайта

В панели управления Cloudflare есть вкладка Speed, внутри которой собраны все инструменты для ускорения загрузки сайта.

На странице Overview отображается статистика загрузки. Например, если вы добавили на сайт, но не обновили DNS-серверы, то увидите, насколько быстрее мог бы загрузиться сайт при использовании Cloudflare.

Внизу отображается скорость загрузки на мобильных устройствах с 3G и при проводном подключении к интернету. Улучшить все эти показатели можно в разделе Optimization. Здесь доступны несколько наборов инструментов.

Оптимизация размера файлов

• Image Resizing — можно изменить размер, настроить качество, конвертировать разные форматы изображений в легковесный и оптимизированный WebP. Доступно на тарифе Pro и выше.
• Polish — оптимизация изображений, размещенных на домене, которая позволяет сократить время загрузки контента. Доступно на тарифе Pro и выше.
• Auto Minify — автоматическое уменьшение размера файлов HTML/CSS/JavaScript. Из них удаляются все символы, которые не нужны браузеру для обработки кода. Доступно на бесплатном тарифе.
• Brotli — сжатие для ускорения загрузки страницы. Доступно на бесплатном тарифе.

Оптимизация доставки

1. Early Hints — функция кэширования и отправки ответов браузеру с заголовками HTML-страниц. Ранние подсказки помогают браузерам начинать загрузку связанных ресурсов до того, как они увидят 200 ОК или другой окончательный ответ. Доступно на бесплатном тарифе.
2. Automatic Platform Optimization for WordPress — автоматическая оптимизация сайтов на WordPress. Для использования нужно приобрести плагин.
3. Enhanced HTTP/2 Prioritization — оптимизация порядка доставки ресурсов благодаря приоритетному использованию HTTP/2. Доступно на тарифе Pro и выше.
4. TCP Turbo — уменьшение задержки и увеличение пропускной способности с помощью настраиваемых оптимизаций TCP.
5. Mirage — сокращение времени загрузки страниц с изображениями на мобильных устройствах с медленным подключением. Доступно на тарифе Pro и выше.
6. Rocket Loader — ускорение отрисовки страниц с JavaScript. Доступно на тарифе Pro и выше.
7. Automatic Signed Exchanges (SXGs) — повышение производительности сайта. Включите браузеры на основе Chromium для предварительной загрузки вашего сайта на страницу результатов поиска Google. Доступно на тарифе Pro и выше.

Кэширование

В разделе Optimization для кэширования представлена только функция предварительной загрузка URL-адресов из выборки, доступная на платном тарифе Enterprise.

Для управления кэшированием на других тарифах в панели Cloudflare есть отдельная вкладка — Caching. Здесь можно:

• Включить многоуровневое кэширование.
• Очистить кэш.
• Указать, какую часть статического контента следует кэшировать.
• Указать время жизни кэша в браузере.

Есть и другие функции — например, режим разработчика с временно отключенным кэшированием или режим Always Online, при котором посетителям доступны ограниченные копии страниц, даже если сервер с сайтом недоступен.

Настройка под мобильные устройства

1. AMP Real URL — на AMP-страницах будут отображаться фактические адреса страниц вашего сайта, а не URL кэша Google AMP. Доступно на бесплатном тарифе.
2. Mobile Redirect — автоматическое перенаправление мобильных пользователей на сайт, оптимизированный под мобильные устройства. Доступно на бесплатном тарифе.

Mobile Redirect — очень полезная настройка для проектов, у которых есть отдельная мобильная версия. Перенаправление включается одним ползунком — достаточно выбрать поддомен. Доступно также управление редиректом через API.

9. Как улучшить работу отдельных страниц

Cloudflare дает возможность настроить правила работы отдельных страниц. На бесплатном тарифе доступно добавление трех таких правил.

Чтобы создать особые условия для страницы:

1. Перейдите в раздел Page Rules.
2. Нажмите Create Page Rule.

На странице есть два блока. Первый — If the URL matches. Здесь нужно указать адрес страницы, для которой вы создаете правило. Можно сделать шаблон, добавив звездочку (*) в URL. Например, шаблон site.com/blog/* указывает, что правило должно работать для всех страниц внутри блога.

Второй блок — Then the settings are. Это сама настройка, которая применяется к странице или шаблону. Можно добавить несколько правил не более трех в бесплатной версии. Важно соблюдать порядок — правила применяются по очереди. Для изменения очередности используется простое перетаскивание.

Правила можно отменять, сохранять как черновик и применять. Вот несколько примеров таких особых условий для страниц.

Защита страницы аутентификации и авторизации

По умолчанию Cloudflare устанавливает на все страницы защиту уровня Medium (средняя). Но для некоторых точек входа можно и нужно выбирать более высокий уровень, потому что они чаще подвергаются атакам. В качестве примера можно привести вход в личный кабинет пользователя или в панель управления сайтом.

Например, у вас сайт на WordPress. Вы хотите дополнительно защитить страницу авторизации администраторов. Это просто:

1. В поле If the URL matches укажите адрес страницы — site.com/wp-admin/*.
2. В поле Then the settings are выберите правило Security Level – High. Это повышает вероятность блокировки при обнаружении подозрительной активности. Например, если кто-то будет пытаться подобрать пароль и несколько раз подряд введет неверное значение.
3. Добавьте еще одно правило и выберите Cache Level – Bypass. Это отключает кэширование страниц по шаблону site.com/wp-admin/*.

Эти настройки могут добавить неудобств. Например, если вы ошибетесь несколько раз при вводе пароля, то придется подтверждать, что вы не робот. При попытке зайти в админку с другого IP также может появиться дополнительная проверка. Зато при таком подходе повышается безопасность одной из критически важных точек входа.

Кэширование контента, который редко меняется

На сайте может быть много контента, который не меняется или меняется очень редко. Это статические файлы — например, изображения для оформления дизайна. Если их кэшировать, то они будут загружаться быстрее. Это положительно повлияет на скорость отображения страниц у пользователей.

Чтобы кэшировать контент:

• В поле If the URL matches укажите адрес к папке, на которой хранятся изображения и другие медиафайлы.
• В поле Then the settings are выберите Cache Level — Cache Everything. С этой настройкой Cloudflare будет кэшировать все содержимое папки без исключений.
• Добавьте еще одно правило: Browser Cache TTL — a day. С этой опцией кэш в браузерах пользователей будет обновляться один раз в день.
• Добавьте правило: Edge Cache TTL — 7 days. С этой настройкой Cloudflare будет проверять файлы на хостинге и обновлять кэш раз в семь дней.

Аналогичным образом вы можете кэшировать любые другие данные, которые редко обновляются. Периодичность обновления кэша вы устанавливаете самостоятельно.

Настройка редиректа

Стандартная практика — склеивание домена с www и без www, чтобы поисковики не принимали их за разные сайты.

1. В поле If the URL matches укажите адрес сайта с www — например, www.site.com.
2. В поле Then the settings are выберите правило Forwarding URL — 301 – Permanent redirect и укажите путь к версии сайта без www — https:/site.com.

Редиректы можно настраивать на любые страницы.

10. Как удалить сайт из Cloudflare

Cloudflare предлагает два режима — временная приостановка работы и удаление домена.

Чтобы приостановить работу Cloudflare, перейдите в раздел Overview и выберите опцию Pause Cloudflare on Site. Домен продолжит использовать DNS-хостинг Cloudflare, но запросы сразу будут направляться к вашему провайдеру. Ваши SSL, защита от DDoS, кэширование, редирект — все перестанет работать.

Чтобы удалить домен, перейдите в раздел Overview. В правом нижнем углу нажмите Remove Site from Cloudflare и подтвердите действие.

11. Сколько стоит Cloudflare

В этом руководстве мы использовали бесплатный тариф Cloudflare. Он подходит для небольших личных проектов, сбой в работе которых не критичен для бизнеса. Если вам не хватает его возможностей для защиты, нужно перейти на платный тариф. Всего их три:

1. Pro ($20 в месяц) — отличается от бесплатного тем, что поддерживает фаервол, оптимизацию изображений, а также контента для мобильных страниц. Появляется также поддержка через email, а количество правил для отдельных страниц вырастает до 20. Это все еще решение, которое не гарантирует полную защиту бизнеса.
2. Business ($200 в месяц) — для небольших компаний, которые работают онлайн. Здесь гарантируется 100% доступность сайта, есть оперативная поддержка по почте и в чате.
3. Enterprise (стоимость по запросу) — решение для крупного бизнеса, который хочет защитить себя от DDoS-атак и повысить скорость работы онлайн-проектов. Включает все возможности сервиса, круглосуточную поддержку по почте, по телефону и в чате.

12. Аналоги Cloudflare

Вместо CLoudflare можно использовать другие платформы для защиты от DDoS и подключения к CDN. Рассмотрим инструменты двух популярных облачных решений — Amazon Web Services и Microsoft Azure.

Amazon Web Services

Amazon предоставляет доступ к инструментам для защиты от DDoS-атак. Они собраны в сервис AWS Shield. Он защищает приложения, которые работают на AWS.

У AWS Shield есть подписка Advanced, которая обеспечивает защиту на более высоком уровне. Здесь доступны средства обнаружения и нейтрализации атак, видимость угроз практически в реальном времени, интеграция с брандмауэром интернет-приложений AWS WAF.

Для быстрой доставки контента AWS предлагает сервис CloudFront. В течение 12 месяцев им можно пользоваться бесплатно. Для увеличения скорости доставки используются более 300 точек присутствия, распределенных по миру.

Microsoft Azure

Облачная платформа от Microsoft тоже предлагает сервисы, которые помогают защитить и ускорить сайт.

Например, для отражения DDoS-атак есть сервис «Защита от атак DDoS Azure». Его возможности:

• Мониторинг и автоматическое устранение риска сетевой атаки.
• Использование брандмауэра веб-приложения.
• Защита от непредвиденных расходов при обнаружении DDoS-атаки «мусорный» трафик не оплачивается.
• Сбор информации для аналитической сводки по атакам.

Стоимость защиты от DDoS — $2944 в месяц. В подписку включено 100 ресурсов. Если нужно защитить больше, то за каждый дополнительный ресурс придется заплатить $29,5 в месяц.

Для балансировки нагрузки Azure предоставляет сразу несколько сервисов:

1. Диспетчер трафика.
2. Load Balancer — подсистема балансировки нагрузки сетевого уровня.
3. Шлюз приложений.
4. Azure Front Door — служба с интеллектуальной защитой от угроз и доступом к глобальной сети доставки контента.

Есть у Azure и собственная сеть доставки содержимого. Она позволяет разработать собственную стратегию ускорения загрузки. Стоимость CDN зависит от зоны, объема переданного трафика и начинается от $0,081 за гигабайт.

Заключение

Cloudflare — недорогая и функциональная платформа, которая помогает защитить сайт и ускорить его загрузку.

Если хотите узнать больше о возможностях Cloudflare, посмотрите это видео: