Как подключить cloudflare к сайту

Настройка Cloudflare для сайта

Cloudflare — сервис, предоставляющий множество услуг в сфере безопасности и оптимизации, которые помогают как небольшим сайтам, так и крупным проектам. При помощи Cloudflare можно защитить сайт от DDoS-атак, настроить оптимизацию сайта, кеширование, защищенное соединение, анализировать трафик и другое. Многие функции мы разберем в этой статье.

Подключение и знакомство

Создание аккаунта

Для создания аккаунта вам нужно:

1. Перейти на страницу «Sign Up».
2. Ввести свою почту и придумать пароль. Он должен содержать не меньше 8 символов, цифру, а также специальные символы (например, !%@#*_-).
3. Нажать на кнопку «Create Account».

Аккаунт будет создан после подтверждения по почте.

Добавление домена

Следующим действием Cloudflare предложит вам добавить доменное имя. Введите зарегистрированный домен и нажмите кнопку «Add Site». Выберите тарифный план и нажмите «Confirm plan».

Cloudflare просканирует DNS-записи у вашего домена. Проверьте, все ли записи указаны и добавьте недостающие, если такие есть. В этом пункте вы сразу можете включить проксирование для всех записей.

Чтобы применить все настройки, измените NS-серверы у регистратора домена на те, которые вам предложит Cloudflare. Компания имеет больше сотни NS-серверов, поэтому не указывайте их заранее, вам попадутся другие.

Проверьте настройки и нажмите кнопку «Done». Домен добавлен на аккаунт.

После изменения NS-серверов и обновления DNS-кеша вам придет уведомление на почту, что домен успешно подтвержден и работает через Cloudflare.

DNS и статус проксирования

Изменять, добавлять и редактировать ресурсные записи можно в разделе «DNS». Для записей вы можете выбрать один из статусов проксирования:

1. Настройка «Proxied» (оранжевое облако) говорит о том, что вместо вашего IP-адреса будет указан адрес Cloudflare. Все запросы проксируются, то есть поступают сначала на сервера компании, а после отправляются на сервер, где сайт фактически размещен.
2. «DNS only» (серое облако) означает, что при обращении к домену Cloudflare будет отдавать IP-адрес вашего сервера. Настройки кеширования, Firewall и другие не будут применяться.

Чтобы изменить статус, нажмите на запись для перехода в режим редактирования, кликните на облако для изменения и нажмите «Save».

При использовании «Proxied» на бесплатном тарифе, подключиться по проксируемому домену к почте, FTP и SSH на хостинге не получится. Cloudflare пропускает запросы к вашему сайту только по 80 и 443 порту, поэтому используйте для подключения к почте и другим сервисам IP-адрес сервера, на котором находится ваш аккаунт (указан в Панели управления, раздел «Сайты и домены» → «IP-адреса»).

На платных тарифах вы можете воспользоваться специальным инструментом Spectrum, узнать подробнее можно в инструкции.

Возможности Cloudflare

Защита от DDoS-атак

В настоящее время количество DDoS-атак на сайты увеличивается, и от них нужно защищаться. Веб-сайты, приложения и сети — все это защищено глобальной облачной сетью компании со скоростью передачи данных несколько десятков Тбит/с. Размер и частота атак технически не ограничивается, а сеть Cloudflare блокирует до сотни миллиардов угроз в день.

Чтобы воспользоваться услугой защиты от DDoS-атак, включите проксирование (Proxied) для своего сайта в разделе «DNS». В результате все запросы к вашему сайту будут поступать сначала на сервер Cloudflare, а он в свою очередь будет отправлять проверенные запросы на сервер, откуда фактически работает сайт.

Web Application Firewall

WAF — это правила, благодаря которым вы можете настроить дополнительную защиту для своего сайта. Правила настраиваются в разделе «Firewall» личного кабинета Cloudflare. Они позволяют блокировать запросы от нежелательных роботов, разрешать доступ к сайту для проверенных сервисов, настроить дополнительные проверки для роботов, и многое другое. Более подробно можно почитать об этом в инструкции на сайте компании.

Каждый запрос в WAF проверяется списком правил и специальным интеллектом. Подозрительные запросы могут быть заблокированы, дополнительно проверены или занесены в журнал в зависимости от настроек пользователя, в то время как легитимные запросы успешно направляются к вашему сайту.

Защищенное соединение

При использовании проксирования от Cloudflare доступна настройка защищенного соединения для сайта в разных режимах: Flexible, Full или Full (Strict).

Режим «Flexible» шифрует трафик только между браузером и сервером Cloudflare. По мнению сервиса, эта настройка может помочь личным сайтам и блогам в продвижении, поскольку Google и другие поисковики обращают внимание на HTTPS.

Режимы Full и Full (Strict) устанавливают сквозное шифрование трафика с помощью SSL и гарантируют, что никто не сможет отслеживать передаваемые данные. Отличаются режимы тем, что при Full можно использовать самоподписанный сертификат, созданный на своем компьютере, а Full (Strict) требует сертификат от доверенного центра сертификации, например, Let’s Encrypt, Comodo или другой. Также можно установить Cloudflare Origin сертификат, который выдается на срок от 7 дней до 15 лет в разделе «SSL/TLS» → «Origin Server».

В разделе «SSL/TLS» → «Edge Certificates» вы можете включить настройку «Always Use HTTPS». В таком случае запросы к сайту будут автоматически перенаправлены с «http://» на «https://». Активируйте «Automatic HTTPS Rewrites», после чего все ссылки на сайте у подключаемых файлов и картинок будут заменены на «https://», и на сайте не будет смешанного контента.

При защите вашего сайта с помощью Cloudflare не рекомендуется иметь настроенные перенаправления на хостинге.

Кеширование контента

В Cloudflare доступны для использования CDN-серверы, или серверы сети доставки контента. Они позволяют быстрее получать картинки, документы, шрифты и другие статические файлы, кешируя их на серверах Cloudflare. Кеширование позволит снизить нагрузку на сайт, если на нем много посетителей и статических файлов.

Кеширование настраивается в разделе «Caching» → «Configuration» → «Caching Level» или в разделе «Page Rules», с помощью которого можно создать правила для файлов по определенному адресу сайта.

Есть три настройки кеширования:

1. No query string — доставляет файлы из кеша только при отсутствии строки запроса. Например: domain.com/pic.jpg
2. Ignore query string — доставляет один и тот же файл независимо от строки запроса. Например: domain.com/pic.jpg?ignore=this-query-string
3. Standart — рекомендуемая настройка. Доставляет обновленную версию каждый раз, когда изменяется строка запроса. Например: domain.com/pic.jpg?with=query

Можно настроить кеширование в браузере у посетителей сайта, пункт «Browser Cache TTL». Время жизни кеша будет установлено Cloudflare, если на веб-сервере не указаны более длительные периоды времени.

Настройка сервисов

Уровень защиты сайта

Cloudflare позволяет настроить автоматическую проверку трафика, чтобы защищаться от плохих посетителей. Для этого нужно настроить «Security Level» в разделе «Firewall» → «Settings». Выбранный вами уровень определит, какие посетители должны будут пройти дополнительную проверку перед входом:

1. «Essentially off» (Почти отключено) — только для самых тяжких нарушителей.
2. «Low» (Низкий) — только для наиболее угрожающих посетителей.
3. «Medium» (Средний) — дополнительная проверка для посетителей, которые представляют умеренную или большую угрозу.
4. «High» (Высокий) — проверка для всех посетителей, которые демонстрировали угрожающее поведение в течение последних 14 дней.
5. «I’m Under Attack!» (Я под атакой!) — данный режим должен использоваться только если ваш сайт находится под DDoS-атакой.

Когда на вас идет атака, то вам необходимо включить режим «Under Attack Mode» в разделе «Overview» или «Firewall» → «Settings». Cloudflare в этом режиме выполняет дополнительные проверки безопасности для всех посетителей сайта, чтобы помочь смягчить DDoS-атаки 7 уровня (HTTP-флуд, TCP-флуд, UDP-флуд и другие).

Когда выполняется дополнительная проверка, посетитель видит страницу от Cloudflare в течение 5 секунд, которая его анализирует. Проверенные посетители получают доступ к вашему сайту, а подозрительные блокируется.

Настройка защищенного соединения

Если у вас включено проксирование, тогда вы можете настроить для своего сайта HTTPS. Для этого перейдите в раздел «SSL/TLS» и выберите одну из настроек:

1. «Flexible». Сертификат будет установлен на сервер Cloudflare и автоматически будет продлеваться.
2. «Full» или «Full (Strict)». Для корректной работы потребуется установка SSL-сертификата на сервер хостинга. Если сертификат не установлен, тогда на сайте будет ошибка 520.

Создайте бесплатный сертификат Cloudflare Origin в разделе «SSL/TLS» → «Origin Server». Для этого нажмите «Create Certificate», выберите срок действия и нажмите кнопку «Next». После этого будет сгенерирован сертификат (Origin Certificate) и приватный ключ (Private key).

Скопируйте сертификат и приватный ключ в текстовый файл и загрузите на хостинг через Панель управления в разделе «Файловый менеджер». Для установки сертификата напишите нам через раздел «Поддержка».

Также в разделе «SSL/TLS» → «Edge Certificates» вам нужно включить две настройки:

1. «Always Use HTTPS» перенаправляет все запросы к сайту на защищенный протокол, то есть с HTTP на HTTPS.
2. «Automatic HTTPS Rewrites». Если ваш сайт содержит ссылки на файлы или страницы по протоколу HTTP, которые также безопасно доступны через HTTPS, тогда они автоматически перезапишутся с использованием безопасного соединения. Это поможет исправить ошибку в браузере посетителей, которая сообщает о смешанном контенте.

Оптимизация и очистка кеша

В разделе «Speed» → «Optimization» вы можете ускорить загрузку сайта благодаря нескольким настройкам:

1. «Auto Minify» удаляет ненужные символы из исходного кода без изменения его функциональности (например, пробелы, комментарии и т.д.). Минификация может сжимать размер исходного файла, что уменьшает объем данных, которые необходимо передать посетителям, и таким образом сокращает время загрузки страницы.
2. Сжатие «Brotli» или gzip, которое ускорит загрузку страницы для ваших посетителей.

Cloudflare автоматически кеширует изображения, шрифты и других статических файлы на своих серверах. Подробнее можно прочитать в инструкции.

Если вы обновили картинку или другой статический файл на сайте, но ничего не изменилось, тогда вам потребуется очистить кеш браузера и кеш на CDN-серверах. Это можно сделать в разделе «Caching» → «Configuration» → «Purge Cache». Нажав на кнопку «Custom Purge», вы сможете ввести ссылку на файл и очистить его на серверах Cloudflare, или же очистить весь кеш кнопкой «Purge Everything».

Зачем нужен Cloudflare и как подключить к нему сайт

25.11.2022

• Основные возможности Cloudflare
  • Защита от DDoS-атак
  • Увеличение скорости с помощью CDN
  • Обзор и аналитика
  • Управление DNS-записями
  • Работа с электронной почтой
  • SSL/TLS
  • Безопасность
  • Кэширование
  • Программы

  Cloudflare – это облачный сервис, созданный на основе сети серверов, размещенных по всему миру. Он помогает повысить скорость, уровень безопасности и конфиденциальность для клиентов, подключенных к платформе.

  Cloudflare охватывает более 100 стран, а прямые подключения к платформе имеют более 11 тысяч сетей, включая хостинг-провайдеров и крупные предприятия.

  Веб-мастера часто используют его, тем более что у сервиса есть бесплатный тариф, которого вполне хватает для базовых нужд. Сегодня поговорим о том, как работает Cloudflare, какие основные инструменты на этой платформе и как подключить сайт к Cloudflare.

  Основные возможности Cloudflare

  Главные возможности, благодаря которым Cloudflare пользуется такой популярностью, это защита от DDoS-атак и повышение скорости сайта с помощью кэширования контента.

  Защита от DDoS-атак

  Сам факт подключения сайта к сети Cloudflare уже дает определенный уровень защиты от DDoS. Злоумышленники не видят IP-адрес сайта, поэтому вынуждены атаковать его через сам сервис. Cloudflare в свою очередь фильтрует запросы таким образом, чтобы на сайт попадал только безопасный трафик.

  Платформа имеет 250 центров обработки данных по всему земному шару, которые используются для кибербезопасности.

  Кроме того, вы можете использовать для защиты сайта целый список инструментов, которые можно подключать и настраивать вручную.

  Увеличение скорости с помощью CDN

  Cloudflare состоит из системы CDN-серверов, кэширующих статический контент (видео, изображения) и код (HTML, CSS, JavaScript). Когда пользователь отправляет запрос на сайт, служба определяет его местоположение и отправляет ответ с ближайшего к клиенту CDN-сервера.

  

  Благодаря этому уменьшается время отклика сайта и нагрузка на выделенный сервер, хостинг или VDS, что положительно влияет на показатели скорости.

  Как подключить Cloudflare

  1. Зарегистрируйтесь в системе через кнопку Sign Up.
  2. Введите в специальное поле домен сайта, который вы планируете подключать, и нажмите кнопку Add site.
  3. Выберите наиболее подходящий тариф. Большинство вебмастеров пользуется пакетом FREE, ведь его вполне достаточно для защиты и ускорения работы сайта. Но если вам нужны дополнительные возможности, можно купить один из платных тарифов.
  4. Далее, система начнет искать DNS-записи для вашего домена. Обычно находятся все, но в случае чего можно также добавлять их вручную. Напротив каждой записи можно увидеть прокси-статус. Все записи, для которых это возможно, должны иметь статус Proxied. Если все записи найдены автоматически, просто нажмите кнопку Continue.
  5. Скопируйте предлагаемые NS-серверы и настройте перенаправление для домена. Это нужно сделать в панели управления на сайте вашего регистратора доменных имен.
  6. Если вы регистрировали домен в Cityhost, то нужно зайти во вкладку «Домены», нажать значок управления доменом (шестерня), затем нажать иконку редактирования напротив строки «NS сервера». Введите скопированные адреса серверов в поля «Новые NS-сервера» и сохраните изменения.

  

  Если вы все сделали правильно, в информации о домене в вашем аккаунте будут числиться NS-серверы с адресом, содержащим слово «cloudflare».

  Как пользоваться инструментами Cloudflare

  Сервис постоянно расширяется и предлагает новые инструменты. К примеру, на Cloudflare уже появилась платформа для стримингового видео и фотосток, собственная капча под названием Turnstile, высокопроизводительное хранилище R2 и многое другое.

  Мы не будем описывать отдельно все функции, тем более что к каждому разделу идет документация с подробными пояснениями (сервис поставляется на английском, но страницы можно легко перевести с помощью автопереводчика Google Chrome). Познакомим вас только с основными инструментами работы с сайтом, которые вы можете найти во вкладке Websites.

  Обзор и аналитика

  Эти два раздела помогают настроить защиту вашего домена и анализировать его состояние. В разделе Overview (Обзор) есть полезный раздел Review Settings (Просмотр настроек), в который мы рекомендуем обязательно заглянуть. Он помогает пользователю осуществить автоматическое перенаправление на HTTPS смешанного контента (HTTP + HTTPS), автоматически уменьшить файлы исходного кода JavaScript, CSS и HTML (можно выбрать). Впоследствии в этом разделе будут появляться полезные подсказки, советы и отчеты.

  

  Ккроме того, в Overview есть опции быстрой очистки кэша и включения режима Under Attack (Под атакой). В случае, если на ваш сайт осуществляется атака, активизируйте этот режим, и система будет более детально проверять и отсеивать все входящие запросы, пока атака не завершится.

  В разделе Analytics можно анализировать трафик, отслеживать угрозы, анализировать производительность и источники запросов.

  Управление DNS-записями

  Подключение DNS-серверов от Cloudflare позволяет обезопасить DNS-систему от атак, перехвата и подделки записей, что важно для безопасности сайтов и их пользователей. В этом разделе можно проверять и добавлять DNS-записи, а также создавать пользовательские имена серверов (на платном тарифе).

  Как добавить DNS-запись в Cloudflare? Разберемся на примере поддомена new.blue-sky.pp.ua.

  Выберите тип записи — A для сервера с IP-адресом IPv4 или АААА для IPv6, если речь идет о простом добавлении адреса в записи. В поле Name введите имя поддомена без основного адреса: в нашем примере это new. В случае добавления записи для целого домена необходимо ввести символ @. В поле IPv4 address (IPv6 address) введите IP-адрес вашего хостингового сервера, который можно найти в панели управления хостингом.

  После сохранения изменений должно пройти некоторое время, чтобы обновились DNS-записи.

  

  Также здесь можно настроить SPF, DKIM и DMARC и запретить отправку электронной почты для ящиков, предназначенных только для получения писем. Такое действие исключит возможность СПАМ-рассылки, если ящик взломают.

  Работа с электронной почтой

  В Cloudflare доступна маршрутизация электронной почты. С помощью этой опции, в частности, можно создавать множество новых электронных ящиков в домене и перенаправлять письма с них на рабочие адреса. Это позволяет скрыть реальный почтовый ящик и обезопасить его от попыток взлома.

  Чтобы подключить маршрутизацию, нужно ввести новое имя для email, который хотите создать, в поле «Custom address» и адрес рабочей почты, на который планируете отправлять письма, в поле «Destination address». После этого вы получите письмо для верификации почты для перенаправления. Верификация происходит только один раз, после чего можно добавлять к этому email любое количество адресов.

  

  Вторая полезная функция – это безопасность почты. Эта функция помогает защищать почту от попыток взлома и атак фишинга. Для работы с ней необходимо отправить запрос на использование пробной версии.

  SSL/TLS

  Cloudflare предоставляет бесплатную и платную защиту для протоколов шифрования SSL/TLS, которые обеспечивают безопасное соединение между браузером клиента и сервером. Это не только возможность приобрести стандартные SSL-сертификаты, но и подключение HTTP Strict Transport Security (HSTS), использование HTTP/2, создание сертификатов происхождения и многие другие полезные опции.

  После подключения сайта к Cloudflare пользователь получает сразу базовый бесплатный SSL-сертификат, все остальное нужно настраивать вручную.

  Безопасность

  В этом разделе размещены инструменты защиты для сайта:

  1. WAF — брандмауэр веб-приложений, помогающий фильтровать входящий трафик на основе местоположения, IP-адресов, юзер-агентов и т.д.
  2. Page Shield – отслеживает на страницах сайта состояние встроенного стороннего кода (внешние скрипты и библиотеки) и извещает о появлении новых или вредных сценариев. Доступен только на платных пакетах.
  3. Bots – режим боя с ботами, во время которого система находит и уменьшает автоматизированный трафик, тем самым снижая вредную нагрузку на сайт клиента.
  4. DDoS – автоматизированная система, которая защищает сайт от атак на нескольких уровнях: HTTP, SSL/TLS и сетевом уровне.

  Кэширование

  После обновления контента на сайте информация меняется на серверах через некоторое время (в зависимости от настроек). Поэтому для правильной работы службы сразу после обновления сайта нужно очистить кэш. Это делается в разделе Caching => Configuration, где также можно производить настройки кэширования: задать продолжительность жизни кэша, выбрать, какую часть статического контента вы хотите кэшировать, включить многоуровневое кэширование или временно отключить этот режим.

  Также есть хорошая функция «Всегда онлайн»: если сервер временно недоступен, посетители все равно смогут увидеть ограниченную версию страниц, сохраненных в Wayback Machine.

  Программы

  В Cloudflare есть магазин с программами, которые можно добавлять на свой сайт для улучшения взаимодействия с пользователями и производительности веб-ресурса. Среди них есть такие интересные инструменты как:

  • Живой чат;
  • Плагин обратного отсчета до определенного события;
  • AdBlock Minus (нивелирует блокировку рекламы);
  • Всплывающие окна;
  • Программы безопасности и т.д.

  Как удалить сайт с Cloudflare

  Cloudflare можно частично отключить или полностью удалить сайт с серверов службы. Все описанные ниже функции доступны на вкладке Overview.

  1. Включить Режим разработчика (Development Mode). Он временно отключает кэширование и требуется для того, чтобы контент при обновлении сайта сразу отображался в браузерах пользователей.
  2. Приостановить Cloudflare на сайте (Pause Cloudflare on Site) — трафик сайта перестает проходить через серверы, его реальный IP-адрес становится видимым, снимается защита. Вы фактически отключаете сервис, но не удаляете сайт с NS-серверов платформы.
  3. Удалить сайт с Cloudflare (Remove Site from Cloudflare) – полное удаление всех данных сайта с NS-серверов платформы и отмена всех подписок. В этом случае нужно снова установить актуальные NS-серверы на сайте регистратора доменных имен.

  Понравилась статья? Расскажите о ней друзьям:
  

  

  Автор: Богдана Гайворонская

  Журналист (с 2003 года), IT-копирайтер (с 2013 года), контент-маркетолог Cityhost.ua. Специализируется на статьях о технологиях, создании и продвижении сайтов.

  

  Технический консультант: Андрей Заровинский

  Руководитель команды технической поддержки Cityhost, автор инструкционных материалов в разделе FAQ. Обучает персонал технической поддержки и помогает решать самые сложные запросы от клиентов.

  Руководство по настройке Cloudflare

  В этом руководстве разберёмся зачем нужен Cloudflare, как подключить его к сайту и как пользоваться основными функциями сервиса: управлять DNS-записями, установить SSL-сертификат, защититься от DDoS-атак, показывать всем посетителям CAPTCHA или заблокировать доступ к сайту на основе параметров вроде IP-адреса или геолокации.

  Но сначала кратко введём в курс дела, если вы не знаете, как работает Cloudflare и что это вообще такое.

  Что внутри

  1. Что такое Cloudflare
  2. Как работает Cloudflare
  3. Как подключить Cloudflare к сайту
  4. Как очистить кэш
  5. Как работать с DNS-записями
  6. Как настроить HTTPS
  7. Как защитить сайт от DDoS-атак
  8. Как улучшить работу отдельных страниц
  9. Как удалить сайт из Cloudflare

  Что такое Cloudflare

  Cloudflare — это сеть серверов по всему миру, к которой люди подключают свои сайты, чтобы увеличить скорость их загрузки и защитить от DDoS-атак. Также при помощи этого сервиса можно управлять DNS-записями на домене и перевести сайт на HTTPS.

  У Cloudflare есть бесплатный тариф и несколько платных. В зависимости от тарифа уровень защиты и возможности по ускорению сайта будут отличаться. В этом руководстве рассмотрим только то, что есть в бесплатном тарифе.

  Как работает CloudFlare

  Как мы уже выяснили, две основных функции Cloudflare — это ускорить время загрузки сайта и защитить его от DDoS-атак. Кратко расскажем, как эти функции реализованы.

  Ускорение загрузки сайта происходит за счёт технологии CDN. Если опустить технические подробности, то у Cloudflare есть серверы по всему миру, на которые компания кэширует статические файлы с вашего сайта — картинки, CSS, Javascript — а потом раздаёт их с серверов, которые ближе к посетителям. Это снижает нагрузку на хостинг и расстояние, которое преодолевают данные.

  

  Защита от DDoS-атак работает за счёт того, что весь входящий трафик сначала проходит через Клаудфлер, как через фильтр. Компания анализирует входящий трафик, блокирует подозрительные запросы, а обычные отправляет к вам на сайт.

  

  Как подключить Cloudflare к сайту

  На сайте Cloudflare нажмите кнопку «Sign up» в правом верхнем углу:

  

  Укажите электронную почту в качестве логина и придумайте надёжный пароль: минимум 8 символов, хотя бы одна цифра и специальный символ. После этого нажмите «Create Account»:

  

  Введите домен, который собираетесь привязать к Cloudflare, и нажмите «Add site»:

  

  Выберите тарифный план — в нашем случае «Free» — и нажмите «Continue»:

  

  Запустится процесс сканирования DNS-зоны вашего домена. Cloudflare найдёт DNS-записи для домена и всех его поддоменов, а потом создаст их у себя:

  

  Обычно сервис не пропускает записи, но если какая-то из них пропала, добавьте её вручную. Если всё в порядке, нажмите внизу кнопку «Continue»:

  

  На следующей странице будут DNS-серверы для направления домена на Cloudflare. Установите их для вашего домена на сайте компании, у которой регистрировали домен.

  

  Если регистрировали домен у нас, чтобы изменить DNS-серверы, зайдите в вашу учетную запись и перейдите в раздел «Мои домены». Затем нажмите «Детали» в строке с нужным доменом и найдите раздел «NS серверы». Впишите неймсерверы, которые вам выдал Cloudflare, и сохраните изменения.

  

  Когда домен будет направлен на Cloudflare, вы увидите в верхней части панели управления разделы для работы с разными сервисами Cloudflare. В этом руководства мы рассмотрим только самые популярные из них: Caching, DNS, SSL/TLS, Firewall и Page Rules.

  

  Если подключаете сайт к Cloudflare во время DDoS-атаки

  Скорее всего, IP-адрес вашего сервера уже известен и его просто будут атаковать напрямую. Если это так, стоит поменять IP-адрес. Уточните этот момент с вашим провайдером.

  Отдельный момент — после переключения DNS-серверов на домене следующие несколько дней часть трафика всё равно будет идти через старые DNS-серверы, а значит защита Cloudflare будет работать только для половины запросов.

  Как очистить кэш

  Кэширование на Cloudflare включено по умолчанию. Поэтому чистить кэш нужно каждый раз, когда вы что-то меняете на сайте . Иначе после публикации изменений посетители ещё какое-то время будут видеть старый контент.

  Для этого откройте раздел «Caching» и перейдите на вкладку «Configuration». Дальше в первом же блоке нажмите «Custom Purge», чтобы очистить кэш выборочно, или «Purge Everything», чтобы очистить весь кэш на серверах Cloudflare.

  

  Как работать с DNS-записями

  Перейдите в раздел «DNS». Вы увидите таблицу со всеми DNS-записями в зоне вашего домена на серверах Cloudflare.

  Чтобы добавить новую запись, нажмите «+Add record» над таблицей со всеми записями:

  

  Для примера создадим А-запись для поддомена «blog». Выберите тип DNS-записи «A», заполните остальные поля и нажмите «Save»:

  

  • Name — хост на домене, для которого создаётся запись. Если создаёте запись для основного домена, впишите сюда @. А если для поддомена, то впишите только сам поддомен, без домена. Например, чтобы создать запись для поддомена www.vashdomen.com, сюда нужно вписать только www.
  • IPv4 address — IP-адрес, к которому нужно привязать хост. Для других типов DNS-записей это поле будет называться по-другому, но в нём всегда будет подразумеваться целевое назначение записи — какой-то текст, домен или URL.
  • TTL — время жизни DNS-записи в секундах на роутере посетителя сайта. Чем больше это число, тем дольше человеку придётся подождать, прежде чем он узнает, что вы изменили DNS-запись. Изменить этот параметр получится, только если отключить для записи прокси Cloudflare. В противном случае TTL будет в значении Auto.
  • Proxy status — статус прокси Cloudflare. Статус «Proxied» означает, что для этой DNS-записи все запросы сначала будут проходить через Cloudflare. Для записи будут работать все функции сервиса. Статус «DNS Only» означает, что запросы будут идти в обход Cloudflare. Для записи не будут работать основные функции сервиса: CDN, SSL, защита от DDoS.

  Чтобы изменить или удалить какую-то запись, нажмите в строке с ней кнопку «Edit». После этого поля со значениями записи станут доступны для редактирования, а в левом нижнем углу появится кнопка «Delete».

  

  Как настроить HTTPS

  Когда вы подключаете домен к Cloudflare, сервис становится дополнительным этапом между посетителем и вашим сайтом, а значит соединение нужно защитить в двух местах: на пути от посетителя сайта к Cloudflare и на пути от Cloudflare к сайту.

  Чтобы увидеть статус защиты на каждом из этапов, перейдите в раздел SSL/TLS. В верхней части страницы вы увидите схему и четыре настройки, которые нужно выбрать в зависимости от того, установлен у вас на хостинге SSL-сертификат или нет.

  

  Соединение на пути посетителя к Cloudflare компания защитит сама при помощи собственного бесплатного SSL-сертификата Universal. Он начнёт работать автоматически, как только вы добавите домен в аккаунт. А вот чтобы защитить соединение на пути от Cloudflare к вашему сайту понадобится установить SSL-сертификат на хостинг.

  Если у вас на хостинге уже есть SSL-сертификат, выберите режим «Full (Strict)». А если ещё нет, выберите режим «Flexible». Но в этом случае соединение не будет на 100% безопасным. Люди будут видеть у себя в браузере HTTPS при переходе на ваш сайт, хотя Cloudflare будет передавать данные на сайт в незашифрованном виде, а значит мошенники могут притвориться вашим сервером и перехватить данные. Используйте режим «Flexible» только как временную меру или в случае, если у вас нет возможности установить SSL-сертификат на хостинге.

  Не используйте режим «Full» или «Full (Strict)», если у вас на хостинге не установлен SSL-сертификат . Иначе при переходе на ваш сайт посетители будут видеть ошибку 525 или 526 соответственно. Выглядят они одинаково, разница только в коде ошибки:

  

  После того как выберете подходящий режим, специально введите домен вашего сайта в браузере с HTTP. Если сайт всё равно откроется по HTTPS, всё хорошо. Если откроется HTTP версия, значит ваш сайт доступен и по HTTP и по HTTPS. Чтобы это исправить, перейдите в верхней части раздела на вкладку «Edge Certificates» и включите опцию «Always Use HTTPS».

  

  Как защитить сайт от DDoS-атаки

  Даже просто подключив сайт к Cloudflare, вы уже защищаете его от DDoS-атак. Компания скрывает IP-адрес сервера, на котором расположен ваш сайт, заставляя хакеров атаковать её серверы вместо вашего. Дальше Cloudflare блокирует подозрительный трафик, а нормальный пропускает дальше.

  Кэширование тоже помогает при небольших атаках, поскольку снижает нагрузку на ваш хостинг. Но всё равно во время атаки желательно скорректировать настройки в вашем аккаунте Cloudflare, чтобы дополнительно смягчить атаку. В этом разделе поговорим о том, что именно можно сделать.

  Но бесплатный тариф Cloudflare защитит не от всех атак , а только от самых распространённых. Если разбираетесь в их разновидностях, то речь об атаках 3, 4 и 7 уровней. Для большинства сайтов этого будет достаточно, потому что не всех атакуют по-крупному, но серьёзная защита от DDoS начинается именно с платных тарифов Cloudflare.

  Включите режим «I’m Under Attack!»

  В этом режиме Cloudflare начнёт проверяет каждого пользователя, который пытается попасть на сайт. Все они будут сначала видеть вот такое межстраничное уведомление. Так алгоритмам компании будет проще отделить вредоносный трафик от нормального.

  

  Чтобы включить этот режим, перейдите в раздел «Firewall», откройте вкладку «Settings» и выберите «I’m Under Attack!» из выпадающего списка в блоке «Security Level»:

  

  Проверенный посетитель получит доступ к вашему сайту не навсегда. По умолчанию это 30 минут, но вы можете указать другие временные рамки на этой же вкладке в блоке «Challenge Passage»:

  

  Не забудьте выключить этот режим, когда атака закончится . Нет смысла просто так усложнять посетителям доступ к сайту. Если планировали сделать это в качестве превентивной меры, лучше выберите не «I’m Under Attack!», а «High». Тогда Cloudflare тоже будет показывать межстраничное уведомление, но не всем посетителям, а только тем, с чьих IP-адресов было зафиксировано сомнительное поведение в течение последних 14 дней.

  Настройте правила доступа

  С их помощью вы можете заставить посетителей проходить CAPTCHA при переходе на сайт или вообще заблокировать к нему доступ на основе региона, типа запроса, IP-адреса, диапазона IP-адресов или User Agent.

  В бесплатном тарифе Cloudflare вы сможете создать всего пять правил. Для этого перейдите в разделе «Firewall» на вкладку «Firewall Rules» и нажмите «Create a Firewall rule».

  Предположим, вы выяснили IP-адреса, с которых идёт атака. Показываем, как создать правило, которое заблокирует доступ к сайту для одного IP-адреса или диапазона адресов.

  

  Первое поле — «Rule name» — это название правила. Для нашего примера подойдет «Блокировка трафика»:

  

  Дальше будут поля с деталями правила:

  • Field — параметр, на основе которого будет фильтроваться трафик. В нашем случае это «IP address».
  • Operator — условие, при котором правило будет срабатывать. В нашем случае «equals», то есть «равно».
  • Value — значение параметра из первого поля. В нашем случае это IP-адрес, для которого нужно заблокировать доступ.

  Кнопки «And» и «Or» справа нужны, чтобы указать несколько условий для одного правила. «And» подразумевает, что правило сработает, если запрос соответствует обоим условиям, а «Or» — что правило сработает, если запрос соответствует хотя бы одному условию.

  Кроме одного IP-адреса мы дополнительно указываем диапазон IP-адресов, поэтому нажимаем «And» и в новой строке вписываем такие детали:

  • Field — «IP address».
  • Operator — «is in», то есть «входит в».
  • Value — диапазон IP-адресов в формате «IP-адрес/префикс CIDR». В нашем примере пишем «2.16.64.0/24». Это значит, что первые три октета — «2.16.64» — не будут меняться, а последний будет включать в себя все значения от 1 до 254. Если прописать «2.16.64.0/25», то первые три октета тоже не будут меняться, а последний будет включать в себя значения от 1 до 126.

  

  Таблица префиксов и калькулятор диапазонов

Под полями с деталями правила будет поле с действием, которое Cloudflare будет применять, если запрос соответствует условиям из правила:

• Block — заблокировать доступ.
• Challenge (CAPTCHA) — показывать капчу. Используется сервис Google reCAPTCHA.
• JS Challenge — показывать межстраничное уведомление, как при включенной опции «I’m Under Attack!».
• Bypass — отключить проверки со стороны Cloudflare.
• Allow — разрешить полный доступ.

В нашем примере мы хотим заблокировать трафик, поэтому выбираем «Block».

После создания правила остаётся нажать кнопку «Deploy» внизу страницы. Изменения вступят в силу немедленно.

Как улучшить работу отдельных страниц

Вы можете создать правила для отдельных страниц, чтобы отдельные компоненты Cloudflare не работали для них вообще или работали по-другому.

В бесплатном тарифе Cloudflare вы сможете создать всего три таких правила. Сначала расскажем, как в общем устроен процесс. А потом рассмотрим несколько конкретных правил, которые могли бы вам пригодиться.

Перейдите в раздел «Page Rules» и в первом же блоке нажмите кнопку «Create Page Rule»:

На следующей странице вы увидите два блока с полями:

If the URL matches — URL, для которого будет работать правило. При необходимости используйте звёздочку (*) в любом сегменте URL-адреса, чтобы превратить URL в шаблон.

В конце сохраните правило, нажав кнопку «Save and Deploy»:

Правила применяются в зависимости от того, в каком порядке они расположены . Если хотите изменить их очерёдность, просто перетащите нужное правило вверх или вниз по списку при помощи значка слева:

Мы показали, как в общем устроен процесс. Теперь рассмотрим несколько конкретных правил.

Дополнительная защита для страницы входа в аккаунт

По умолчанию Cloudflare устанавливает на сайте уровень защиты Medium. Но для некоторых страниц — например, страницы входа в панель управления сайтом или в аккаунт клиента — можно установить более высокие требования, потому что именно их часто атакуют хакеры. Для этого создайте правило с такими условиями:

• В блоке If the URL matches впишите URL админки вашего сайта. Например, для WordPress это обычно vashdomen.com/wp-admin/*;
• В блоке Then the settings are выберите настройку Security Level – High. Так вы повысите вероятность, что Cloudflare заблокирует доступ, если кто-то будет себя подозрительно вести. Например, долго безуспешно ломиться в аккаунт.
• Дополнительно нажмите + Add a Setting и выберите настройку Cache Level – Bypass. Так вы отключите кэширование для этих страниц. На страницах входа в аккаунт лучше обойтись без него.

Кэширование для контента, который редко будет меняться

Часть контента на вашем сайте, например картинки, не будет часто меняться. Правильно настроив кэширование для такого контента, вы снизите объём используемого трафика и нагрузку на сервер. Создайте правило с такими условиями:

• В блоке If the URL matches впишите URL-адрес к папке, где хранятся изображения и другие мультимедийные файлы.
• В блоке Then the settings are выберите Cache Level — Cache Everything, чтобы Cloudflare кэшировал всё содержимое этой папки без исключения.
• Нажмите + Add a Setting и добавьте настройку Browser Cache TTL — a day, чтобы кэш в браузерах посетителей обновлялся раз в день.
• Нажмите + Add a Setting ещё раз и добавьте настройку Edge Cache TTL — 7 days, чтобы Cloudflare проверял файлы на стороне хостинга и обновлял кэш раз в 7 дней, если это нужно.

Редирект сайта с www на без www

Обычно на одну и ту же страницу на сайте можно зайти по двум адресам: https://www.vashdomen.com и https://vashdomen.com. Поисковые системы не понимают, что это одна и та же страница, поэтому две версии будут конкурировать за место в результатах поиска.

Будет выгоднее настроить 301 редирект с одной версии на другую. Тогда позиции одной версии передадутся другой и сайт в итоге может даже улучшить свои позиции в выдаче. На жаргоне SEO-специалистов это действие называется «склеить домен».

Вот как сделать основной версию без www:

• Впишите www.vashdomen.com/* в блоке If the URL matches.
• В блоке Then the settings are используйте Forwarding URL — 301 – Permanent redirect, указав полный путь к версии без www — https://vashdomen.com/$1.

Как удалить домен из Cloudflare

Перейдите в раздел «Overview» и в правом нижнем углу этой страницы нажмите «Remove Site from Cloudflare» в разделе «Advanced Actions», после чего подтвердите свои действия:

Если же вы просто хотите временно приостановить работу Cloudflare, выберите опцию, которая стоит чуть выше — «Pause Cloudflare on Site». Тогда домен продолжит использовать DNS-хостинг Cloudflare, но запросы будут идти сразу к вашему хостинг-провайдеру. Кэширование, SSL и защита от DDoS-атак перестанут работать.

Как подключить CloudFlare?

CloudFlare CDN (Content Delivery Network) — это сеть доставки контента нового поколения, которая обеспечивает безопасность, производит оптимизации сайта «на лету», а также ускорит работу Вашего сайта. По состоянию на 2020й год, в инфраструктуру CloudFlare датацентры в 200 городах более 95 стран.

Как работает сервис CloudFlare?

Работа CloudFlare построена на принципе reverse proxy (обратного прокси). При подключении к CloudFlare весь трафик Вашего сайта пропускается через глобальную сеть CloudFlare.

На серверах CloudFlare кэшируется статический контент Вашего сайта (CSS, JavaScript, изображения). При чем пользователи получают контент от близлежащих серверов сервиса, в зависимости от географического положения.

Пропуская весь входящий трафик через свою сеть, CloudFlare анализирует и фильтрует входящие запросы. В результате легитимные пользователи получают доступ к Вашему сайту, а запросы злоумышленников отсеиваются.

Где расположены сервера CloudFlare?

Сеть CloudFlare быстрорастущая. На данный момент сеть CloudFlare насчитывает 200 датацентра, расположенных на 4 континентах: Северная Америка, Европа, Азия, Австралия и Океания. В том числе CDN CloudFlare распложены в Москве, Петербурге, Киеве, Риге, Вильнюсе и Кишиневе.

Как подключить CloudFlare?

Прежде всего Вам необходимо зарегистрировать аккаунт на сайте сервиса: https://dash.cloudflare.com/sign-up.

Следующий шаг: добавление Вашего веб-сайта в базу CloudFlare:

После этого необходимо выбрать тариф, для сайтов с небольшой и средней посещаемостью подойдет бесплатный тариф

Далее, сервис просканирует записи Вашего сайта.

После сканирования будет предложена более тонкая настройка DNS-записей. Вы можете добавить или изменить какие-то записи. Также, Вы можете выбрать какой из поддоменов необходимо подключить к CF, а какой нет.

Затем Вам выдадут новые NS-сервера, уже от CloudFlare. Вам необходимо будет в панели регистратора Вашего домена сменить текущие NS, на те, которые будут указаны на странице

Следующим шагом будет производиться настройка защищенного соединения SSL для сайта. Если у Вашего сайта включен SSL в панели управления нашего хостинга — Вам следует выбрать режим Full, в случае отсутствия у Вашего сайта SSL в панели — выбирайте Flexible.

Ниже будет предложено включить принудительное перенаправление на https и оптимизации статических файлов «на лету»

После того как Вы подтвердили DNS записи для домена, необходимо произвести конфигурацию CF для Вашего сайта. Выберите необходимые параметры исходя из собственных нужд.

Уровни защиты CloudFlare

Выбрать уровень защиты можно в разделе Firewall — Settings

— I’m Under Attack: уровень безопасности, который необходимо включить для сайта, когда его атакуют. В результате CloudFlare подключит особые средства защиты, для отсечения вредоносного HTTP-трафика. Визуально пользователи сайта при первом посещении сайта увидат промежуточную страницу с обратным отсчетом пяти секунд, пока будет производиться проверка посетителя. Данную страницу следует расценивать как автоматическую CAPTCHA.

— High: обеспечивает широкую защиту от спама, хакерских атак, а также атак типа DoS. Данный уровень безопасности требует ввода капчи каждым пользователем, который был уличен в злонамеренном поведении на других сайтах. Сервис проверяет браузер пользователя на наличие вредоносных сигнатур. Этот уровень безопасности подойдет администраторам, для которых безопасность веб-сайта находится на первом месте.

— Medium: при использовании данного уровня безопасности пользователи будут отсеиваться на основе случаев спама, хакерских атак или атак типа DoS, которые производились данными пользователями на других сайтах. Необходим ввод капчи пользователям, которые были уличены в частых атаках на другие сайты. Сервис также проверит браузер пользователя на наличие вредоносных сигнатур. Идеально подойдет для сайтов с высокими требованиями безопасности. На данном уровне риск ложного срабатывания системы безопасности минимален.

— Low: данный уровень безопасности предусматривает отсеивание только тех пользователей, которые регулярно и с высокой периодичности участвуют в хакерских атаках на другие сайты. Мы не советуем использовать данный уровень безопасности, так как он позволит проникнуть на Ваш сайт пользователям, которые, возможно, могут оказаться злоумышленниками.

— Essentially off: запретит доступ к Вашему сайту только тем пользователям, которые на данный момент участвуют в известной сервису DoS атаке. Подойдет веб-мастерам, которые используют CF в основном для увеличение скорости выдачи контента пользователям. Мы также не рекомендуем использовать данный уровень в целях безопасности.

Важно!

CloudFlare не подключается моментально. После настройки всех опций в интерфейсе следует дождаться обновления информации на DNS серверах, после чего Ваш сайт будет успешно подключен к сервису CloudFlare.
Обновление NS серверов для домена может занимать от 1 до 72-х часов.