【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

保护之前请关闭所有之前设置的WAF→防火墙规则/速率限制规则/托管规则/工具，以及包含安全性的页面规则！因为在这之前您可能按照网上的教程进行设置过，可能会影响到下面的规则优先级（如果您之前没有可以忽略这条）

第一步：安全级别设置

CF→安全性→设置→安全级别设置为：高（可以打开I'm Under Attack!我受到攻击，任何人访问都会等待5秒钟进行检查，也就是常说的CF五秒盾！这里慎重打开I'm Under Attack!，因为会影响到网站收录、API、正常用户访问！）
质询通过期设置成：15分钟或者30分钟，严重可以设置5分钟（这里慎重设置，不要太低，不要太高！）
浏览器完整性检查：打开

图片[1]-【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

第二步：攻击防护设置

CF→安全性→DDOS→HTTP DDoS 攻击防护，点右边的配置进入

规则集操作（必填）设置为：托管质询或者直接阻止
规则集敏感度（必填）设置为：高

图片[2]-【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

第三步：自动程序打开

CF→安全性→自动程序：打开自动程序攻击模式

图片[3]-【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

第四步：速率限制

CF→安全性→WAF→速率限制规则，创建一条速率限制规则，规则如下：

规则名称（必需）：自己填个

此处内容已隐藏，请评论后刷新页面查看.

如果您的网站是一个博客，我建议这里设置成60以上。如果你的网站类型有文字、有图片、有视频，这里不要低。如果你是CF付费版，建议用托管质询，而不是直接阻止。

图片[4]-【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

图片[5]-【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

第五步：关掉洋葱路由

在CF网络→路由→洋葱路由关掉

图片[6]-【原创教程】自己网站简单接入Cloudflare教程有效防CC攻击-安鹿轩

最后等cf规则生效，大概30秒，一定要重启一下服务器，让服务器断开所有的程序连接！

不要依赖在服务器上设置系统防火墙，因为瞬间的CC攻击流量一开始就会占用大量CPU资源，像宝塔这种防火墙，就算有用，前期的识别匹配规则也需要消耗一定资源和时间。之后哪怕防火墙拦截了，但实际上DDOS L4攻击一直存在，如果攻击足够多，类型足够复杂，服务器上的系统防火墙也只不过拦截了DDOS L7攻击，但DDOS L4攻击把你宽带占满了，一样会挂。

防火墙日志以及规则排除

您可以在安全性→概述→防火墙事件，查看被拦截的日志记录。

排除：上面的功能有两个容易触发误报，建议在没有任何攻击的情况下去排除。一个是“自动程序攻击模式”，除非你的API明确被拦截了可以关掉。
另外一个是“速率限制”，如果你的网站是一个博客，是一个论坛等，可以把第四步规则速率限制，其中的请求数调高。

上面所有的功能规则，实际上API不会被影响，整体误报率真的很低或几乎没有。如果您真的十分信任您的API，保证API不被泄露，而你的API真的会触发最低的安全级别/浏览器完整检查/速率限制/DDOS防护可以用以下方式：
安全性→ WAF→ 防火墙规则 → 创建防火墙规则→ 当传入请求匹配时...字段。
字段：IP源地址
运算符：等于

如果你知道API请求IP就选择IP源地址：
URL完整——URL——URL路径——URL查询字符串

如果IP是多变的，就选择URL，不要单纯选择URL，除非只有你一个人知道。
如果都不知道，可以用引用方匹配。

有多个字段需要匹配，就选Or加一个规则，不要选And，And不是单独匹配。
选择操作（必需）
绕过
选择功能（必需）
用户代理阻止、浏览器完整性检查、Hotlink保护、安全级别、速率限制

再次重复上面的创建一个新的防火墙规则，这次选择允许！

1.本网站名称：安鹿轩

2.本站永久网址:www.anlu1314.com

3.本站提供的所有内容仅供学习、交流和分享用途，一经转载，即表示您已经接受上述声明！需自行承担一切风险与责任！

4.关于本站的所有留言评论与转载、引用文纯属文字原作者个人观点，与本站观点及立场无关！

5.本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

6.有任何侵权问题请联系E-mail: [email protected]