CDN 调教指南（二）充分利用 Cloudflare

0、前言

谈到 DDoS 防御，所有人可能立刻想起的就是 Cloudflare 了。即使是免费版，Cloudflare也提供无上限的 DDoS 防御，强大的控制台更是提供了丰富的功能等待我们去探索。所以，我们在接入任何其他 CDN 前，都应该先考虑充分利用免费版的 Cloudflare（买得起付费计划当然更好，可以省略很多步骤）。

1、接入

接入方式分为两种：

1. NS 接入；
2. CNAME 接入。

1.1、NS 接入

使用第一种方法就是把域名 DNS 服务器设置为 Cloudflare 的 DNS 服务器，这是最简单的方法。然而这种方法存在以下问题：

• 解析 IP 随机

如果 IP 被屏蔽，网站就无法访问。

• 按计划分配 IP

另外，Free、Pro 计划分配的 IP 往往有很多人，甚至有很多违规站点使用，这对 SEO 可能是非常不利的。

• 不能自定义 IP

如果不能自定义 IP，很多节点都不会被命中，因为亚洲等地区的流量、带宽费用比欧美等地区高，因此在这些地区可能会命中更远但是对 Cloudflare 而言费用更便宜的地区。

特别是，如果不能自定义 IP，也就无法使用优选 IP 的方法加快访问速度。此外，这种方法也只适用于使用 Cloudflare 作为纯 CDN，而不考虑融合 CDN 的方案。

• 无 DNS API 支持

使用 Freenom 的免费域名无法使用 Cloudflare 的 DNS API。

1.2、CNAME 接入

这是我抢了推荐的方法，后续教程也将以此方法示例。

参考本站文章：

使用 SaaS 方式接入 Cloudflare
https://blog.tsinbei.com/archives/1315/

使用 CNAME 接入后，就可以把在 DNSPod 等处的 CNAME 记录自行修改为需要的 Cloudflare IP，例如下文提到的优选 IP。

2、绕过备案

参考本站文章：

使用 Cloudflare 自定义回源端口绕过备案阻断
https://blog.tsinbei.com/archives/1281/

3、优选 IP

参考本站文章：

CDN 调教指南（三）优选 Cloudflare IP
https://blog.tsinbei.com/archives/1349/

4、避坑

新手要使用 Cloudflare 还是有很多坑要避开的，我简单说说我自己和朋友们的踩坑经历。

4.1、HTTPS

Too many redirects.

如果源站使用了强制 SSL 或者 HTTP 跳转 HTTPS 等 HTTPS 重定向，则 SSL 一定要设置“完全”；如果源站设置了有效的证书（例如我在源站也配了 Let's Encrypt 的证书，或者你使用 Cloudflare Origin CA 的证书）就可以设置为“完全（严格）”。

说明：“完全”就是 HTTPS 回源，“灵活”就是 HTTP 回源。如果开启了跳转，HTTP 回源就会把用户跳转到 HTTPS，但是只是使用 HTTPS 访问 Cloudflare，回源仍然是 HTTP，然后就死循环了。

其实考虑速度的话可以关闭源站的强制 SSL，使用 HTTP 回源。

证书不受信任。

可能是你使用了 Cloudflare Origin CA 的证书作为源站证书，并且在 DNS 那里没有开启“代理”。这个证书不是直接用来访问的，只能用于回源。

4.2、隐藏源站 IP

不少人认为网站挂到 Cloudflare 上，勾选“代理”就可以隐藏源站IP了。其实不完全正确，因为还有 Censys、SecurityTrail 这种扫描器，会扫描 0.0.0.0/0 即所有主机，然后放到他们的搜索引擎上供所有人查询。因此正确的隐藏源站 IP 方法是：

1、默认网站设置空证书

以宝塔面板为例，添加一个网站并设为默认，并且设置空白证书：

（私钥）

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

（证书）

1
2
3
4
5
6
7
8
9
10
11

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

效果：

然后在伪静态（或者配置文件，找个空白行）填入：

1

return 444;

如果是 Apache：

1
2

RewriteEngine On
RewriteRule .* - [R=404,L]

2、屏蔽其他 IP 访问

这个是一劳永逸的方法，除了使用 Cloudflare CDN，其他 CDN 也通用。

原理：查询 CDN 的所有 IP 段，然后放入访问白名单；其他 IP 禁止访问。

如果整个服务器的网站都使用了 CDN，可以直接在安全组仅放行 CDN IP 段的 80、443 端口，如果是个别网站使用，则可编辑配置文件（下面以 Nginx 为例）。

首先查看 Cloudflare IP 段：

IPv4
https://www.cloudflare.com/ips-v4

IPv6
https://www.cloudflare.com/ips-v6

然后粘贴以下内容到配置文件空白处：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

# IPv4
allow 103.21.244.0/22;
allow 103.22.200.0/22;
allow 103.31.4.0/22;
allow 104.16.0.0/12;
allow 108.162.192.0/18;
allow 131.0.72.0/22;
allow 141.101.64.0/18;
allow 162.158.0.0/15;
allow 172.64.0.0/13;
allow 173.245.48.0/20;
allow 188.114.96.0/20;
allow 190.93.240.0/20;
allow 197.234.240.0/22;
allow 198.41.128.0/17;

# IPv6
allow 2400:cb00::/32;
allow 2405:8100::/32;
allow 2405:b500::/32;
allow 2606:4700::/32;
allow 2803:f800::/32;
allow 2c0f:f248::/32;
allow 2a06:98c0::/29;

# Block
deny all;

按需设置，如果服务器只有 IPv4（或 IPv6）可以删除 IPv6（或 IPv4）的那部分。

5、其它配置

启用 WebSocket、gRPC 才能反向代理某些网站：

Cloudflare 不只是 CDN，也是一个免费的 DNS，并且支持免费的 DNSSEC：

需要顶级域名支持，一般而言，通用顶级（例如.com）、新顶级（例如.top）都支持，部分国家域名（例如.al）不支持。

其它配置如页面规则、缓存在之后的文章中会和所有 CDN 的通用配置一同讲解。

6、写在最后

国内虽然访问 Cloudflare 慢：

并且时常被阻断，但是 Cloudflare 的防御能力确实强大。在被攻击时，不妨切换到 Cloudflare 上试试，或者像我一样，把境外、云厂商都 CNAME 到 Cloudflare SaaS，而把境内解析到更快的 CDN。

另外，网站访问速度是较主观的，因为网页加载速度也会影响“访问速度”。例如由清北科技和 IURT 合作运营的 思刻问答 就托管于 Cloudflare 并且未自选任何 IP，用的就是默认的 IP，但是访问速度依然较好，这就是因为前后端分离，加载、切换页面的动画流畅，给用户一种近似于手机App 的使用体验。