在美国有一家叫Cloudflare的IT企业,专门做防火墙、DDoS 保护、CDN等业务。Cloudflare占有全球18%以上的CDN市场。到底Cloudflare有多厉害呢?
在正确配置的情况下,Cloudflare可以让你的网站成为永远打不死的网站。不但可以让你的网站更快,还能抵御绝大部分的网络攻击,智能过滤可疑流量,隐藏你的真实网站IP地址。当攻击者看到下面的画面时他只能望洋兴叹。在国内让许多中小网站十分头疼的DDoS攻击在Cloudflare面前都是战5渣。
更了不得的是,Cloudflare这玩意儿还特别的便宜。人人都能用得起,免费计划就可以无限防御DDoS攻击,根本不和你算什么流量清洗费用。几个TB的数据打过来那都是小场面,家常便饭,不值一提。花20个美金购买专业版还可以有更多功能,并提升防火墙的能力。
便宜是一方面,配置还极其地简单。只需要修改域名的DNS服务器,在CF后台就可以一键开启防护。即使是一个人的小破博客,挂了Cloudflare也是铁墙铁壁。Cloudflare能够承受比有史以来最庞大DDos攻击还要强10倍的攻击。
欧美国家网站普遍使用Cloudflare,你要去攻击这些网站将会是非常吃力的,实际上对绝大多数人来说是根本不可能的,所有攻击都是考虑怎样绕过Cloudflare直接攻击源服务器,但是如果配置正确源站也很少会暴露。
即使暴露了不是很严重的问题,还记得AWS和GCP吗,他们的服务器重启一次就可以更换一次IP,对于站长们来说根本不缺IP。
如果你用的是OVH这样的高防服务器,就更加有恃无恐了,无限流量,500M ~1GB带宽了解一下,OVH高防本身可以顶半边天,套上Cloudflare再想攻击它?想想就可以了,要真去干就是自取其辱。
Cloudflare还支持IPv6解析,要扫描IPv6是不可能完成的任务。懂点技术的话,在服务器上配置好防火墙,只允许Cloudflare的IP列表使用80和443端口,这样就完全解决了暴露源站IP的问题。cloudflare有专门用于源服务器与CDN网络之间双向TLS加密的方法。即只能由Cloudflare的CDN与源服务器之间进行通信。
反观中国,有这样意识的站长就非常少,一般都是一个IP裸奔,网站前面根本就没有什么防御能力,属于一打就死的那种。当然没多少人敢用国内服务器进行境内大规模网络攻击,一般屏蔽了国外流量相对来说还是安全的。
退一步讲,如果源服务器挂掉了会怎么样?只要你将页面缓存入Cloudflare,你的网页一样可以继续呈现,即使在缓存过期之后,还可以通过 Cloudflare Always Online 在你的服务器不可用时为用户提供有限的网页副本,而不是显示错误。Cloudflare告诉你,你的网站可以永远在线!事实上很多静态网页发布系统就是直接存储进 Cloudflare workers KV 从而展示内容的。这样的网站根本没有源服务器,内容就在CDN网络中,Cloudflare不死,这个网站就可以永远存在。
这么好的东西能不能为我所用呢?很遗憾,由于国内网站实行的备案制度要求网站IP列表要归属于你网站所备案的主机服务商所有。一旦接入了Cloudflare你的网站所接入的IP就会变化,那样就会掉备案,所以使用Cloudflare 的网站是不能备案的。
这里就要说到互联网精髓了,那就是开放与包容,固步自封不会让我们更加安全,跟进潮流会让我们变得更为强大。
当然了,如果网站主要是面向国外访客的,我强烈推荐你使用Cloudflare,它一定不会让你失望。
补充说几个Cloudflare的“缺点”:
1、在大陆访问Cloudflare较慢
国内到国际骨干网的通道十分拥堵,这是老生常谈了。法律要求使用国内服务器必须备案,所以Cloudflare在国内的节点是不能直接提供给任何网站使用的。
2、Cloudflare高级版本昂贵
Cloudflare当然有十分棒的免费版和20美元每月的Pro版。可是再向上升级的话费用跨度非常大,Business版直接到200美元月付,Enterprise需要联系经销商购买,价格不等,我所了解到的一个报价是5000美元一个月。
Cloudflare低端版本不包含一些重要的功能,比如正则表达式匹配功能,这在防御CC攻击时显得很被动。
Cloudflare付费版本中不包含其它一些增值服务,比如要使用国内的CDN网络要另外付费,不用说肯定是狮子大开口。
目前,Cloudflare还处于亏损状态,它的主要目标客户群是企业用户。
但总的来说,cloudflare是一个很不错的工具,在免费服务已经做到了很多付费工具都难望其项背的地步了。
发表回复