對於大部分的公司來說其實最害怕的就是網站或是網路遭受攻撃,造成資料外洩。為了抵禦駭客入侵,其實不一定要全部採購專屬硬體設備,有時直接採用雲服務來串接地端,也是一個快速可行的方案。提及 Cloudflare 在資安防護的地位,莫過於對於 DDos 分散式阻斷服務攻擊的流量清洗能力。這會讓你的網站在遭受攻擊時,Cloudflare 會將惡意流量導流到其他地方。只將正常流量導入你的網站,如此就不會影響到一般客戶瀏覽你的網站。隨著時間推移, Cloudflare 提供的服務愈來愈多,有很多服務我覺得都是非常不錯,即便有些需要付費,但是如果對你有幫助,付點費用讓服務做的更好,我覺得都是非常值得。接下來就來介紹 Cloudflare 上好用的服務
DNS 名稱解析服務
DNS 的重要性在網際網路上具有舉足輕重的地位。沒有DNS 的正常運作,所有網站及 mail 等服務都將停擺,這也讓 DNS 容易遭受到攻擊,例如早期的 DNS 放大攻擊就會影響到網路流量。Cloudflare 提供免費的 DNS 代管服務,基本上就是申請 Cloudflare 帳號,然後建立對應網域的名稱解析,再到你購買 domain name 的廠商,將DNS 指向到Cloudflare 提供給你的網址即可。目前Cloudflare 也有直接提供 domain name 的申請及購買服務。
至於為何要大費周章將DNS 搬上 Cloudflare ,這邊就來說明這樣作的好處
- 首先就是比較安全。Cloudflare 在 200 多個國家及250 個城市設有資料中心,你的DNS 服務可穩定工作且免於遭受攻擊。
- DNS 同步是業界最快的,例如你改了一個網站 IP,可能不到半分鐘,就全世界同步完畢,速度非常驚人,這是因爲 Cloudflare 重新定義了 DNS,讓原本需要數天的DNS 同步時間縮短到數秒鍾。
- 一般我們使用 let’s encrypt 自動更新網站憑證會用到 http 協定更新,但若伺服器是放在負載平衡器下面或是內部網站沒有對外,就必須使用 DNS 方式更新。DNS 方式更新憑證會需要 DNS 託管商有提供 DNS API 的串接服務,而 Cloudflare 就是其中一家可以提供 DNS API
- Cloudflare 對於 DNS 的每一筆記錄,可以透過 reverse proxy 保護主機,你只要在記錄上將保護按鈕打開即可,非常方便。
HTTP 網頁保護及加密
HTTP 網頁保護及加密是 Cloudflare 的強項。基本上加密憑證可在 Cloudflare 自動更新,也可以在地端做更新,Cloudflare 提供了多種配置做選擇。對於一般想走 https 的網站,其實可以簡易地由上層的 Cloudflare 來處理,而不需要自行在網頁伺服器內做配置,方便許多。另外透過 Cloudflare 的 reverse proxy 網頁保護就是多了一層保護,免於遭受攻擊,並可以提高網頁下載速度,這對於有經營電子商務的商家,非常有幫助。關於如何保護網頁及加快網頁連線,Cloudflare 上有很多選項可以調整。當然有些是需要付費,如果這是關鍵需要的,不妨試試看吧!
網站流量分析
一般網站如果需要觀看網站流量報告,大部分會使用 Google Analytics 。Cloudflare 本身預設就有免費的流量分析。你可以看到每天有多少人造訪你的網站,使用 Cloudflare 服務後省下多少網路頻寬,經由 Cloudflare 回應的要求數目,各國網頁的流量要求,甚至可以看到封鎖攻擊的次數。如果需要更詳細的數據,也可以付費升級成 Pro 版。Cloudflare 也會定期email 網站流量報告,包含 Cloudflare 為你節省了多少頻寬等數據。我覺得即便是使用免費服務,都是非常有幫助,值得推廣。
網頁規則
我們可以直接在 Cloudflare 的服務上設定網頁規則。例如我想把多個網站的聯絡資訊導向同一URL 網址,這樣就可以統一管理。或是有些網站要停用了,可以直接設定重新導向到新網站上,這些都是很方便就可以設定的。基本上Cloudflare 可依據位置、IP 位址、使用者代理程式、URI 及其他條件來篩選要求,以控制傳送到區域的傳入流量。例如有些特定 URI 被多個分散 IP 高頻存取,造成 404 not found,那最簡單的方式就是設定防火牆規則,將此行爲阻擋在外。
CDN
網路無國界。你的網站是全世界都看得到,但因爲地理位置的關係,如果主機擺在台灣,則美國或歐洲人來看,體驗就會變差,那是因為距離遙遠又沒有快取,就會讓網頁下載速度變得很慢。藉由 Cloudflare 全球的機房佈建 CDN,可以讓當地人藉由快取加快網頁下載速度。甚至當原始主機故障。CDN 在某種程度上可以快取整個網站,也就是說可以讓你的網站隨時在線。Cloudflare 沒有收 CDN 的費用,而且隨者機房的不斷擴建,更多快取伺服器會讓你的網站加速,這是我們樂於見到的。
WAF 及防火牆
一般在地端或雲端建置網站時,大部分會部署防火牆硬體來做導 port 及防護,但一般人比較忽略要部署 WAF (Web Application Firewall)。WAF 其實就是會根據一些網頁瀏覽行爲作規範,例如駭客的網頁語法帶有 SQL 注入或 XSS 跨網站程式攻撃,用來取得資料庫的資料,例如帳密等資訊。如果沒有預先阻擋,有可能會入侵成功。常見的攻撃還有對特定URL 大量連線,這時你可以啟動限速功能,避免網站被癱瘓。如果你有購買 Cloudflare WAF 及防火牆,則在網頁載入前就會先檢查既有的規則做阻擋。其實即便是沒有購買 WAF 及防火牆,還是有一些基本防護,對一般的網站來說,其實也夠用了。Cloudflare 的儀表板會記錄攻撃的事件,這有助於網站管理人員了解駭客的思維,可以預先做檢查。
Cache 及 負載平衡器
當你建置的網站流量變大,一般會配置 Cache 主機及負載平衡器。專業的Cache 主機及負載平衡器價格不斐,如果能夠直接用雲服務來做,其實有很好的CP 值。尤其如果屬性是全球的網站,藉由Cloudflare 地理分佈極廣的架構,可最佳平衡伺服器的運算效能,分散因為一地主機故障的風險。Cache 及 Lod Balancer 有很多選項可以調整,如果你不了解,也有原廠的技術支援可幫忙。我覺得這部份解決方案反而較地端自行部署更有優勢。
郵件安全
郵件安全防護也是企業常會面臨的問題。舉凡 垃圾郵件/釣魚郵件/病毒郵件,甚至是對企業郵件伺服器收信及發信 port 產生攻擊,都可能造成企業營運損失。當你把 DNS 的 MX 記錄交由 Cloudflare 作 mail reverse proxy,則 mail server 或過濾器是被保護在 Cloudflare 下面,可將前面所提的威脅降到最低。當然地端的郵件安全防護還是不可少,如果能夠作雲地整合,那麼基本上就是雙重保護,會是更加安全的作法。
零信任網路
疫情帶來給我們的啟示就是集中會有風險。所以人們工作的地點與時間的確發生了變化。也就是說傳統辦公室不再是唯一可以辦公的地方,有很多時候是隨時隨地可以辦公的。這樣分散工作的模式,基本上就會需要有虛擬私有網路 VPN 來存取資源。但 VPN 不是萬靈丹,當你開車在公路上奔馳,VPN 可能斷斷續續或是當所有人連上 VPN,效能可能異常緩慢。另外一點是可能外部的合作夥伴或廠商臨時需要連入公司內網,請他們用 VPN 又不太妥當,這時零信任的網路就會派上用場。基本上 Cloudflare 的零信任網路可讓外部廠商使用公開的網址連入內網,只要通過 email 或其他認証方式取得認証碼,就可以無縫接軌內部網路,省掉設定 VPN 的麻煩事。當然Cloudflare零信任網路不是用來取代 VPN,它比較像是解決 VPN 的缺點,讓你或是外部合作夥伴做事更方便。
Workers 路由
這是一種無伺服器的執行環境,藉由特定事件做觸發。例如我希望某個國家的網頁瀏覽,要導流到哪一個網站,當瀏覽器偵查到使用者語言,就可以自動或手動導到那個國家的網站。藉由 Workers 你可以擴充你的網站規模,達到分流的效果。當然 Workers 還有很多功能,你可以參考 Cloudflare 的範例來部署路由。
網路設定
因爲網站是部署在 Cloudflare reverse proxy 下,所有流量會先經過 Cloudflare,因此 Cloudflare 提供豐富的設定,可以調整網路參數。例如上傳大小上限,IP 地理資訊等。有些參數設定是需要付費的,就看你需不需要
了。
結論
除了上述所列,Cloudflare 其實還有很多不錯的服務陸續推出。我個人覺得 Cloudflare 用來做雲地整合,非常有幫助。在整個網站資料傳輸過程中, 有些服務放在雲端,有些服務放在地端會是比較好的成本效益。如果您的公司需要一些雲地整合的建議,也許我們的經驗可以幫助到你。