Cloudflare 设置:提高网站安全性和性能
介绍
对于任何网站所有者来说,安全性和速度是同一枚硬币的两个方面。缓慢的网站会让访问者感到沮丧并损害转化率;不安全的网站会使数据和声誉面临风险。 Cloudflare 通过位于访问者和源服务器之间的集成平台解决了这两个问题,该平台同时充当反向代理、内容交付网络和安全网关。本指南逐步介绍如何配置 Cloudflare 的核心功能(从基本 DNS 设置到高级安全规则),以便您可以放心地保护和加速您的网站。
第 1 步:注册并添加您的网站
首先在 cloudflare.com 创建一个免费的 Cloudflare 帐户。登录后,单击“添加站点”并输入您的域名。 Cloudflare 将扫描您现有的 DNS 记录并自动导入它们。
扫描后,仔细检查导入的记录。指向您的 Web 服务器的 IP 地址应标记为代理(橙色云图标) — 这将启用 Cloudflare 的安全性和性能功能。接下来,Cloudflare 为您提供两个名称服务器。您必须更新您的域名注册商(GoDaddy、Namecheap、Google Domains 等)才能使用这些域名服务器。 DNS 传播通常需要几分钟到几个小时。
Cloudflare 提供了多种计划。 免费计划包括共享 SSL 证书、基本 DDoS 保护和全球 CDN — 足以满足大多数个人网站和小型企业的需求。付费计划添加了专用 SSL 证书、高级 WAF 规则和优先支持。
步骤 2:SSL/TLS 配置
对访问者和 Cloudflare 之间以及 Cloudflare 和源服务器之间的流量进行加密至关重要。导航到仪表板中的 SSL/TLS 部分。
Cloudflare 提供多种加密模式:
| 模式 | Cloudflare 访客 | Cloudflare 到 Origin | 使用案例 |
|---|---|---|---|
| 关闭 | HTTP | HTTP | 仅测试 |
| 灵活 | HTTPS | HTTP | 快速设置,无需原始证书 |
| 完整 | HTTPS | HTTPS(自签名可以) | 原产地有证书 |
| 完整(严格) | HTTPS | HTTPS(有效的 CA 证书) | 最大安全性 |
建议生产站点使用完整(严格)。它需要您的源服务器上有一个有效的 TLS 证书 - Let’s Encrypt 提供完美运行的免费证书。
步骤 3:Web 应用程序防火墙 (WAF)
WAF 保护您的站点免受常见攻击模式的影响 - SQL 注入、跨站点脚本 (XSS) 和路径遍历等。在 防火墙 部分下启用它。
首先打开 托管规则 集,其中包括 Cloudflare 策划的威胁签名。这些内容由 Cloudflare 的安全团队定期更新。为了更好地控制,创建自定义防火墙规则:
(http.host eq "example.com" and not ip.geoip.country in {"US" "CA" "GB"})
=> Block
此规则阻止来自特定国家/地区之外的流量。您还可以对端点进行速率限制、使用验证码挑战可疑机器人,并将受信任的 IP 范围(例如您的办公室 VPN)列入白名单。
第 4 步:DDoS 防护
Cloudflare 的网络自动吸收和缓解分布式拒绝服务攻击。免费计划提供开箱即用的第 3 层和第 4 层 DDoS 保护。在 防火墙 > DDoS 下,您可以调整敏感度级别并配置特定攻击媒介的规则。在大多数情况下,默认设置就足够了 - Cloudflare 在网络边缘处理容量攻击,然后再到达您的服务器。
第五步:性能优化
CDN 和缓存
Cloudflare 在世界各地的边缘位置缓存静态资源(图像、CSS、JavaScript)。要配置缓存行为,请转至 速度 > 优化:
- 自动缩小:自动去除 HTML、CSS 和 JavaScript 文件中的空格和注释,将文件大小减小 10-30%。
- Brotli 压缩:一种优于 gzip 的现代压缩算法。为较小的传输大小启用它。
- 缓存级别:一般使用时设置为 标准,对于不经常更改的内容设置为 激进。
图像优化(波兰语)
Cloudflare Polish 可动态压缩和优化图像。无损模式保留完整质量,同时减小文件大小;有损模式可实现更高的压缩比和最小的视觉差异。在 速度 > 优化 > 抛光 下启用它。
负载均衡
对于具有多个源服务器的站点,Cloudflare 的负载均衡器会在它们之间分配流量,从而提高可靠性和冗余性。通过定义源服务器池并配置运行状况检查,在 流量 > 负载平衡 下进行设置。如果一台服务器出现故障,流量会自动重新路由到健康的服务器。
第 6 步:分析和监控
Cloudflare 在 Analytics 选项卡下提供详细分析。您可以查看流量、请求最多的 URL、缓存命中率、WAF 阻止的安全事件以及源服务器响应代码。对于自定义报告,请使用 见解 部分构建有针对性的仪表板。
| 公制 | 它告诉你什么 |
|---|---|
| 缓存比率 | 缓存与源站提供的流量有多少? |
| 带宽 | 通过 Cloudflare 传输的总数据量 |
| 主要威胁 | 阻止最常见的攻击类型 |
| 来源响应代码 | 5xx 错误表明服务器出现问题 |
定期监控这些指标可以帮助您在流量异常发生之前发现它们。
概括
Cloudflare 不仅仅是一个 CDN,它还是一个用于保护、加速和管理网络流量的综合平台。通过正确配置 SSL/TLS、启用 WAF、优化缓存和审查分析,您可以将网站转变为快速、有弹性且安全的服务。该平台的分层方法意味着即使在免费层上,您的站点也可以从企业级基础设施中受益。花时间探索仪表板的每个部分并根据您的特定需求定制设置 - 您的用户会注意到其中的差异。

