技术指南

标签: CloudFlare

  • CDN服务商 Cloudflare 优缺点:国内访问比较慢,备案网站用不了

    在美国有一家叫Cloudflare的IT企业,专门做防火墙、DDoS 保护、CDN等业务。Cloudflare占有全球18%以上的CDN市场。到底Cloudflare有多厉害呢?

    在正确配置的情况下,Cloudflare可以让你的网站成为永远打不死的网站。不但可以让你的网站更快,还能抵御绝大部分的网络攻击,智能过滤可疑流量,隐藏你的真实网站IP地址。当攻击者看到下面的画面时他只能望洋兴叹。在国内让许多中小网站十分头疼的DDoS攻击在Cloudflare面前都是战5渣。

    Cloudflare:5秒盾面前人人平等

    更了不得的是,Cloudflare这玩意儿还特别的便宜。人人都能用得起,免费计划就可以无限防御DDoS攻击,根本不和你算什么流量清洗费用。几个TB的数据打过来那都是小场面,家常便饭,不值一提。花20个美金购买专业版还可以有更多功能,并提升防火墙的能力。

    便宜是一方面,配置还极其地简单。只需要修改域名的DNS服务器,在CF后台就可以一键开启防护。即使是一个人的小破博客,挂了Cloudflare也是铁墙铁壁。Cloudflare能够承受比有史以来最庞大DDos攻击还要强10倍的攻击

    欧美国家网站普遍使用Cloudflare,你要去攻击这些网站将会是非常吃力的,实际上对绝大多数人来说是根本不可能的,所有攻击都是考虑怎样绕过Cloudflare直接攻击源服务器,但是如果配置正确源站也很少会暴露。

    即使暴露了不是很严重的问题,还记得AWS和GCP吗,他们的服务器重启一次就可以更换一次IP,对于站长们来说根本不缺IP。

    如果你用的是OVH这样的高防服务器,就更加有恃无恐了,无限流量,500M ~1GB带宽了解一下,OVH高防本身可以顶半边天,套上Cloudflare再想攻击它?想想就可以了,要真去干就是自取其辱。

    Cloudflare还支持IPv6解析,要扫描IPv6是不可能完成的任务。懂点技术的话,在服务器上配置好防火墙,只允许Cloudflare的IP列表使用80和443端口,这样就完全解决了暴露源站IP的问题。cloudflare有专门用于源服务器与CDN网络之间双向TLS加密的方法。即只能由Cloudflare的CDN与源服务器之间进行通信。

    反观中国,有这样意识的站长就非常少,一般都是一个IP裸奔,网站前面根本就没有什么防御能力,属于一打就死的那种。当然没多少人敢用国内服务器进行境内大规模网络攻击,一般屏蔽了国外流量相对来说还是安全的。

    退一步讲,如果源服务器挂掉了会怎么样?只要你将页面缓存入Cloudflare,你的网页一样可以继续呈现,即使在缓存过期之后,还可以通过 Cloudflare Always Online 在你的服务器不可用时为用户提供有限的网页副本,而不是显示错误。Cloudflare告诉你,你的网站可以永远在线!事实上很多静态网页发布系统就是直接存储进 Cloudflare workers KV 从而展示内容的。这样的网站根本没有源服务器,内容就在CDN网络中,Cloudflare不死,这个网站就可以永远存在

    这么好的东西能不能为我所用呢?很遗憾,由于国内网站实行的备案制度要求网站IP列表要归属于你网站所备案的主机服务商所有。一旦接入了Cloudflare你的网站所接入的IP就会变化,那样就会掉备案,所以使用Cloudflare 的网站是不能备案的。

    这里就要说到互联网精髓了,那就是开放与包容,固步自封不会让我们更加安全,跟进潮流会让我们变得更为强大。

    当然了,如果网站主要是面向国外访客的,我强烈推荐你使用Cloudflare,它一定不会让你失望。

    补充说几个Cloudflare的“缺点”:

    1、在大陆访问Cloudflare较慢

    国内到国际骨干网的通道十分拥堵,这是老生常谈了。法律要求使用国内服务器必须备案,所以Cloudflare在国内的节点是不能直接提供给任何网站使用的。

    2、Cloudflare高级版本昂贵

    Cloudflare当然有十分棒的免费版和20美元每月的Pro版。可是再向上升级的话费用跨度非常大,Business版直接到200美元月付,Enterprise需要联系经销商购买,价格不等,我所了解到的一个报价是5000美元一个月。

    Cloudflare低端版本不包含一些重要的功能,比如正则表达式匹配功能,这在防御CC攻击时显得很被动。

    Cloudflare付费版本中不包含其它一些增值服务,比如要使用国内的CDN网络要另外付费,不用说肯定是狮子大开口。

    目前,Cloudflare还处于亏损状态,它的主要目标客户群是企业用户。

    但总的来说,cloudflare是一个很不错的工具,在免费服务已经做到了很多付费工具都难望其项背的地步了。

  • https网站如何申请CloudFlare免费SSL证书安装部署BT宝塔面板?

    最近有部分网友访问奇点资讯www.nssdd.com可能会出现以下情况:

    您的连接不是私密连接

    攻击者可能会试图从 www.nssdd.com 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情

     

    NET::ERR_CERT_AUTHORITY_INVALID

     

    如果您想获得 Chrome 最高级别的安全保护,请开启增强型保护

     

    此服务器无法证明它是www.nssdd.com;您计算机的操作系统不信任其安全证书。出现此问题的原因可能是配置有误或您的连接被拦截了。

     

    继续前往www.nssdd.com(不安全)

     

    这是奇点资讯正在更换SSL证书时,DNS服务没生效时出现的,现在奇点资讯(www.nssdd.com)新申请一个一免费的CloudFlare SSL证书,到期时间15年,因为奇点用的面板就是宝塔面板,下面我们就来教大家BT宝塔面板如何安装部署CloudFlare SSL免费证书HTTPS,网站上没有一个HTTPS认证都可以了,现在的谷歌浏览器必须是HTTPS的网站才能直接访问,现在所有的http网站都要点击三次才能访问,会出现开关的危险提示,下面给大家介绍一个CloudFlare+宝塔面板实现免费cdn加速和启用HTTPS的方法:

     

    首先我们来了解一下什么是CDN加速和SSL证书,以及开启它们的好处是什么?

    检查网站连接是否安全
    要确认访问某个网站是否安全,可以查看有关该网站的安全信息。如果您无法安全和私密地访问某网站,Chrome 将会发出提醒。

    在 Chrome 中,打开相应网页。
    要确认网站的安全性,请查看网址左侧显示的安全状态图标:
    Lock 安全
    查看网站信息 信息或不安全
    危险 不安全或危险
    选择相应图标即可查看网站的详细信息和权限。您会看到 Chrome 就此连接的私密程度提供的摘要。
    每个安全标志的含义
    您可以通过这些标志了解访问和使用相应网站到底有多安全。通过这些标志,您可以了解网站是否有安全证书、Chrome 是否信任该证书,以及 Chrome 是否与网站建立了私密连接。

    Lock 安全
    查看网站信息 信息或不安全
    危险 不安全或危险
    修正“您的连接不是私密连接”错误
    如果您看到“您的连接不是私密连接”这条整页显示的错误消息,则意味着相应网站、网络或您的设备存在问题。了解如何排查“您的连接不是私密连接”错误。

    什么是安全证书
    当您访问使用 HTTPS(连接安全)的网站时,该网站的服务器会使用证书向浏览器(如 Chrome)证明该网站的身份。任何人都可以创建证书,随意声称对应的网站是任意网站。

    为了确保您安全上网,Chrome 会要求网站使用来自受信任组织发放的证书。

    一、CDN加速

     

    CDN是Content Delivery Network的简称,即“内容分发网络”的意思。一般我们所说的CDN加速,一般是指网站加速或者用户下载资源加速。

     

    CDN加速有什么用?

     

    ——对访客的好处。如果一个网站开启了CDN,用户访问速度或者下载速度会比没有开启时更快。一般目前只要好一些的网站,都会开启CDN功能,主要在于提升用户体验。

     

    ——对网站的好处。开启了CDN不仅可以提升网站打开速度,提升用户体验。更重要的是开启CDN可以减少黑客工具和服务器宽带压力。

     

    国内备案网站常用的cdn加速就是百度CDN加速,阿里云CDN等,但必需网站经过了备案,另外百度CDN加速和阿里云CDN也是收费的,今天给大家介绍的CloudFlare是一种免费的cdn加速,可以适用于未备案网站。

     

    二、SSL证书

     

    HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。

     

    开启HTTPS有什么好处?

     

    1 、开启HTTPS,100%保证电子商务系统用户数据信息、在线交易数据传输安全。

     

    2 、开启HTTPS,显示绿色地址栏,开启绿色安全通道,有效地解决在线信任问题和知名网站被假冒的问题。

     

    3 、开启HTTPS,增加网站在百度搜索中的排名,有利于SEO优化。

     

    4 、开启HTTPS,能够有效防止运营商流量劫持、阻止弹窗广告。

     

    5 、开启HTTPS,能有效通过Apple Store、微信小程序、银联系统等认证。

     

    有些站长用的是国内很多免费或者1元申请的SSL证书,一般都是一年,而且还需要各种审核。这不是重点,重点是很多站长不仅想免费使用cdn来让网站服务器安全,还要同时让网站支持https访问。即便你的是备案域名,国内各种cdn添加ssl证书也都是收费的。因为国内cdn未备案域名是无法使用的。今天给大家介绍的cloudflare不仅支持免费cdn服务,还支持免费的ssl服务。

     

     

    下面开始CloudFlare+宝塔面板实现免费cdn加速和启用HTTPS教程,共分三步进行,一是开启免费cdn加速,二是申请ssl证书,三是安装到宝塔面板。

     

    第一步、网站使用cloudflare开启免费cdn加速。

     

    1、Cloudflare官网:https://www.cloudflare.com/

     

    进入到Cloudflare官网后,注册一个账号,然后到控制面板中输入你的域名,点击 add site。

     

    PS:如看不懂英文你可以使用GOOGLE的浏览器,右键:“翻译成中文”可能翻译整个网页

     

    下一步,Select a Plan中选FREE(免费)

     

     

    2、下一步,在cloudflare中将域名解析到你的网站空间IP上,独立VPS或者是虚拟空间。

     

     

    3、域名解析好后点击:continue,会帮你自动生成DNS地址

     

     

    4、进入你购买域名的网站上将域名的DNS改成cloudflare提供的DNS,如示例中的:hera.ns.cloudflare.com和simon.ns.cloudflare.com。

     

     

    修改后即可,等待DNS修改生效,这个过程需要时间,最好等待12小时后在去访问网站,不然会有DNS缓存。

     

    Cloudflare CDN功能基本介绍

     

    1、这个就是Cloudflare的操作界面,概述、分析、DNS、加密、防火墙、速度、缓存、页面、规则、定制等等。

     

     

    2、在“分析”中我们可以看到Cloudflare CDN流量情况,类似于网站统计那样的数据。

     

     

    3、在“DNS”则可以继续修改你的CDN 或域名解析记录,同时也可以随时添加新的DNS解析记录。

     

     

    4、在“防火墙”中则可以设置IP黑白名单、启动流量防御、设置安全等级等。

     

     

    5、在“缓存”中则可以设置是否压缩JS\CSS\Html等,以及是否清除缓存等。

     

     

    6、如果你想开启AMP(移动设备)加速的话,可以在“speed”中一键开启。

     

     

    7、Caching功能,你还可以设置缓存等级、浏览器缓存、永久在线等。

     

     

    第二步、cloudflare SSL免费证书申请。

     

    1、在Cloudflare的“Crypto 加密”中可以一键开启SSL,这个SSL总共四种模式:关闭、Flexible SSL、Full SSL、Full SSL (strict)、Strict (SSL-Only Origin Pull)。

    关闭(不安全):未应用加密

    Flexible SSL灵活:加密浏览器与 Cloudflare 之间的流量

    Full SSL完全:端到端加密,使用服务器上的自签名证书

    Full SSL (strict)完全(严格):端到端加密,但服务器上需要有受信任的 CA 证书或 Cloudflare Origin CA 证书

     

     

    Strict (SSL-Only Origin Pull) 强制SSL

     

    如果用Flexible SSL灵活,虚拟主机或服务器端无须设置,在Cloudflare面板中选中即可,自动保存。

     

     

    2、关于Flexible SSL、Full SSL、Full SSL (strict)、Strict (SSL-Only Origin Pull)相关的说明如下:

     

    Flexible SSL 灵活:您的网站访问者和Cloudflare之间有加密连接,但是从Cloudflare到您的服务器没有加密。即半程加密。优点在于:你的网站不需要SSL证书,用户也能实现SSL加密访问。

     

    Full SSL 完全:全程加密,即从你的网站到CDN服务器再到用户,全程都是SSL加密的。优点在于:只要你的服务器有SSL证书(不管是自签名证书还是购买的SSL),就可以实现SSL加密访问。

     

    Full SSL (strict))完全(严格):全程加密,它与Full SSL的区别在于你的服务器必须是安装了那些已经受信任的SSL证书(即购买的SSL证书),否则无法开启SSL加密访问。

     

    Strict (SSL-Only Origin Pull) 强制模式:企业模式。自动将所有的Http转化为Https加密访问,要求你的服务器安装了受信任的有效的SSL证书。

     

    3、一般来说,如果你的服务器没有安装SSL证书,例如一些虚拟主机不好安装SSL证书,那么就可以开启Flexible SSL灵活模式,否则你就可以开启Full SSL完全模式。

     

    4、最后一步在:Page Rules 设置强制https

     

    在这里需要注意:

     

    1、修改域名DNS和安装SSL后不要急于访问你的网站,DNS修改生效很慢,最好等24小时后在去访问,不然如不生效就访问会有DNS缓存,这个缓存要等待很久才会刷新,可能要2天时间,一般12个小时就可以了。

    2、有些域名访问前面的“绿色”不显示,,没有“安全”字样,那是因为你的网站代码里调用的URL中还是有http://这样的链接,你要想办法都修改成https://才可以。

     

    第三步、如何在宝塔面板后台安装cloudflare免费证书。

     

    • 上面讲的如果用Flexible SSL灵活即半程加密,虚拟主机或服务器端无须设置可以跳过这里的第三步了;

     

    如果大家要用全程加密,那么就要在上面的步骤里面选择Full SSL (strict)。

     

    2、往下拉到Origin Certificates(源服务器)项目,点击右侧Create Certificate(创建证书)

    3、然后在弹出的对话框里面域名一栏输入一级域名和二级域名。有效期直接默认15年就可以,无需更改。点击绿色的按钮下一步(Next)

     

    源证书安装:

    请按照以下步骤在源服务器上安装证书。

    为您的源服务器生成证书的第一步是创建私钥和证书签名请求 (CSR)。您可以提供自己的 CSR,或者我们可以使用您的 Web 浏览器生成密钥和 CSR。

     

    使用 Cloudflare 生成私钥和 CSR

     

    私钥类型

     

    RSA (2048)

    使用我自己的私钥和 CSR

    列出源服务器上应受证书保护的主机名(含通配符)。默认情况下,源证书覆盖域的顶级 (example.com) 和通配符 (*.example.com)。如果要添加域的其他级别,例如,通配符未覆盖的级别(如 one.two.example.com),可以在下面添加这些级别。

     

    主机名称

    ×

    *.xerer.com

    ×

    xerer.com

    ×

    www.nssdd.com

    选择证书的有效期。

     

    默认情况下,证书的有效期为十五 (15) 年。如果要缩短证书的有效期,请在下面进行选择。

     

    证书有效期

    15 年

     

     

     

    4、这时候就会生成证书,接下来我们登录宝塔控制面板-网站管理

     

    选择你的网站,点“设置”,切换到“SSL”选项卡,将你申请好的网站证书(PEM格式)和密钥(KEY)粘贴到对应的位置即可,如下图所示:

     

    宝塔面板提供强制HTTPS的选项,如上图右上角所示,可以开启强制HTTPS功能,大家按需选择即可。

     

    到这里宝塔面板网站安装SSL证书启用HTTPS方法结束

     

     

  • 网站开启CloudFlare未完全HTTPS后:chrome显示将您重定向的次数过多

    最近九边的网站使用chrome访问时,显示www.nssdd.com将您重定向的次数过多,九边在网站上找了一下相关的技术文档,现在已经解决,原因和解决方法如下:
    当WordPress网站开启了 CloudFlare 服务,用户访问我们的网站时,其实访问的离用户比较近的 Cloudflare 服务器,Cloudflare 再代理用户请求我们的源服务器,以达到加速和保护源服务器的目的。Cloudflare 代理用户请求我们源服务器获取网页资源的过程叫回源。

    Cloudflare 造成循环重定向的错误就出在了回源的过程中,造成这种错误的原因就是 http 和 https 之间的重定向。

    Cloudflare Crypto 的 SSL 中有 4 个选项(如下),其中 Off 就是不启用 SSL,通过 HTTP 协议访问网站。另外 3 种是通过 HTTPS 协议访问网站。

    Cloudflare CDN 配置
    Flexible:当我们的源网站没有配置 HTTPS 支持时,启用这个选项,Cloudflare 会在回源的时候通过 HTTP 协议访问我们的网站。
    Full:当我们的源网站支持 HTTPS,但是 HTTPS 证书和域名不匹配或者是自签名证书时,Cloudflare 会通过 HTTPS 协议访问源网站,但不会验证证书,也就是说,即使我们的源网站提供的 HTTPS 证书不受浏览器信任,Cloudflare 也会通过 HTTPS 回源网站。
    Full(strict):当我们的源网站支持 HTTP ,并且证书有效时(未过期且受信任)。Cloudflare 会通过 HTTPS 协议访问源网站,并在每个请求过程中验证证书。


    了解了上面各个设置的功能,我们来看一下 Cloudflare 的循环重定向问题是怎么出现的,在 Cloudflare 中开启了 SSL 后,访问网站时出现循环重定向需满足下面两个条件:

    SSL 中设置了 Flexible,CDN 以 HTTP 协议回源网站。
    源网站支持 HTTPS,并且设置了通过 HTTP 协议访问时,自动跳转到 HTTPS 协议。
    到这里,可能就有朋友发现问题了,我们访问 Cloudflare 的 CDN 服务器的时候,是通过 HTTPS 访问的,CDN 访问源网站的时候,是通过 HTTP 访问的,源网站上 HTTP 又自动跳转了 HTTPS,完美的一个循环重定向。重定向的次数多了,浏览器就撂挑子报出了 ERR_TOO_MANY_REDIRECTS 的错误。

    CloudFlare造成重定向的次数过多问题的解决办法
    知道了循环重定向的原因,我们也就知道了怎么解决这个问题,通过测试,下面的两种设置方法都可以解决 Cloudflare 循环重定向的问题。
    如果服务器设置了HTTP重定向到HTTPS,由于CloudFlare CDN默认SSL设置为“Flexible”模式(HTTP请求),这时服务器对于CloudFlare的响应会被加密,从而访问失败并不断重复发送相同请求。访问网站会提示“将您重定向的次数过多”或“ERR_TOO_MANY_REDIRECTS”错误,按提示清除浏览器Cookie也没用。

    该问题的正常解决方法,只需调整CloudFlare后台Crypto页面里的SSL设置,改为 Full 或 Full (strict) 模式(前者不验证服务器证书,后者则会)

    CloudFlare CDN SSL设置
    修改很快生效,一般几分钟时间。如果刷新页面还是有问题,清除浏览器缓存后再试。
    SSL 中选择 Full(strict) 或者 Full(strict),让 CDN 回源的时候使用 HTTPS 的方式回源,没有 HTTP 什么事了,就不会跳来跳去了
    源网站不设置 HTTPS 支持或者 不设置 HTTP 跳转 HTTPS,让 Cloudflare 回源的时候使用 HTTP 方式获取资源。
    修改了 CloudFlare 设置后,可能需要过几分钟或清理浏览器缓存后才能生效。

    除了 Cloudflare,使用其他 CDN 提供商的时候,也可能会出现这个问题,如果设置了 CDN 后,遇到了 Chrome 报重定向次数过多的问题,可以通过上面的思路查找问题。如果你在使用其他 CDN 的时候也遇到了类似的问题,欢迎在评论中提出,让更多的朋友看到。
    ————————————————