白鯨出海：如何助力出海企業構建安全、快速、可靠的網絡體驗（31頁）.pdf

1、010 8524 1783 | | 如何幫助您為客戶構建安全、 快速、 可靠的網絡體驗2目錄 簡介 . 1 第一步 ： 確?？蛻暨B接安全、 快速、 可靠 . 2 Cloudflare 托管 DNS . 3 Cloudflare SSL/ TLS . 5 第二步 ： 加速用戶體驗 . 8 Cloudflare CDN . 9 第三步 ： 增強基礎設施的安全態勢 . 13 Cloudflare Web 應用程序防火墻 . 14 Cloudflare 機器人管理 . 16 Cloudflare DDoS 保護 . 19第四步 ： 構建彈性基礎設施 ， 確保應用程序的高可用性 . 24 Cloudfl

2、are 負載均衡 . 25第五步 ： 保障網絡邊緣的資產安全 . 27 Cloudflare Workers . 28 Cloudflare 如何幫助企業提供卓越的網絡體驗 . 291簡介要為全球客戶群提供卓越的網絡體驗 ， 僅擁有一種工具或能力并不足夠。 只有將全面的安全態勢與減少延遲和提高可靠性的性能特性結合在一起， 才能充分保護和優化客戶對站點或應用程序的體驗。Cloudflare 擁有一系列基于云的安全和性能產品 ， 幫助企業提供更快、 更安全的用戶體驗既能加速網絡內容交付 ， 也能確保網絡可靠性， 并保護網絡資產和內部資源， 使其免受網站停機、 數據失竊和其他嚴重攻擊影響。本解決方案

3、指南將展示 Cloudflare 幫助現代企業提供安全、 無縫用戶體驗的五種方式： 確?？蛻暨B接安全、 快速、 可靠 ： Cloudflare 托管 DNS Cloudflare SSL/TLS 和無密鑰 SSL 加速用戶體驗： Cloudflare CDN Argo Smart Routing Cloudflare 圖像大小調整 增強基礎設施的安全態勢： Cloudflare Web 應用程序防火墻 (WAF) Cloudflare 機器人管理 Cloudflare Magic Transit 確保應用程序的高可用性： Cloudflare 負載均衡 保障網絡邊緣的資產安全： Cloudfl

4、are Workers第一步 ： 確?？蛻暨B接安全、 快速、 可靠3Cloudflare 托管 DNS在選擇正確的 DNS 提供商時 ， 企業面臨數個挑戰：應對高延遲 ， 抵御復雜的 DNS 攻擊 ， 并確保充足的網絡容量。 這些問題可能會限制性能和可靠性，尤其是需要接觸全球各地客戶的企業。Cloudflare 托管 DNS 服務提供最快的響應時間、 改良的冗余以及高級安全特性， 如內置 DDoS 攻擊緩解和一鍵式 DNSSEC。 Cloudflare 在覆蓋全球 200 多個城市的網絡邊緣緩存 DNS 記錄， 平均 DNS 查詢速度為 11 毫秒 ， 全球 DNS 傳播需時不到 5 秒無論用

5、戶源服務器位于何處。 作為托管 DNS 服務的一部分 ， Cloudflare 提供權威 DNS、 輔助 DNS 和 DNS 防火墻。權威 DNS ： Cloudflare 的權威 DNS 內置 DNSSEC ，這是一套使用加密簽名來驗證 DNS 記錄的安全協議。 DNS 解析器可使用 DNSSEC 對來自 DNS 服務器的數據進行來源驗證 ，從而防止欺騙和避免敏感的用戶數據受損。Cloudflare 輔助 DNS: Cloudflare DNS 可輕松集成到多 DNS 策略中 ， 允許企業改善應用程序的冗余。 通過將 DNS 流量分流到多個網絡 ， 企業能消除單點故障 ，從而在某個服務器發生

6、故障時確保正常運行 ， 有效保護其資產免受下線攻擊的威脅。 Cloudflare 也提供輔助覆蓋功能允許客戶將 Cloudflare 作為其輔助 DNS 提供商并代理流量 ，從而受益于 Cloudflare 的安全性和性能特征。根據企業的當前設置和需求 ， 可按照兩種設置將 Cloudflare 部署為輔助 DNS：主要-輔助設置 ： Cloudflare DNS 作為輔助 DNS 提供商 ， 維護記錄副本并從主要 DNS 接收自動更新。 主要和輔助 DNS 均面對公共互聯網并解析查詢 ， 由遞歸解析器決定使用哪一個。4這種設置最適用于運行任務關鍵網絡資產且不希望依賴于單一 DNS 提供商的組

7、織。隱藏主要設置 ： Cloudflare 作為輔助 DNS 提供商面對公共互聯網并解析所有查詢。 在隱藏主要設置中 ， 主要 DNS 服務器（ 大部分情況下由內部管理 ）管理所有記錄和更新 ；但其不面對公共互聯網。這種設置最適用于此類組織 ： 希望維護自有 DNS 基礎設施 ， 并利用輔助 DNS 提供商提供的冗余和安全性。Cloudflare DNS 防火墻: Cloudflare DNS 防火墻是針對 DNS 基礎設施的高級防火墻 ， 旨在協助希望維護自有本地 DNS 基礎設施并增強安全性和性能的企業。 啟用 DNS 防火墻后 ， 針對用戶名稱服務器的 DNS 查詢被發送到最近的 Clo

8、udflare 數據中心 ，后者會檢查請求的合法性并阻止惡意流量。 Cloudflare DNS 防火墻的核心也具備 DDoS 緩解功能， 在惡意流量瞄準用戶的源名稱服務器時 ， Cloudflare 的 DDoS 保護能重路由這些流量 ， 并通過其全球網絡加以吸收。5我們的所有 DNS 服務均提供可操作的洞察 ， 就用戶 DNS 流量的健康情況提供實時分析 ，這些信息可從 Cloudflare Dashboard 輕松訪問。 客戶可以根據響應代碼、 記錄類型和返回 NXDOMAIN 響應的記錄瀏覽 DNS 查詢。 客戶也可查看在各 Cloudflare 數據中心的 DNS 查詢分布。要進一步

9、了解 Cloudflare DNS 并聯系我們 ， 請訪問 SSL/TLS存儲和傳輸敏感數據的企業必須設法保護數據 ， 以防泄漏、 濫用和失竊。 網絡協議（ 例如 SSL/ TLS ）能幫助維護客戶的隱私， 保護數據以防第三方監視和篡改。對于希望提高網絡安全性和防范傳入威脅的組織 ， Cloudflare SSL/TLS 免費提供 SSL 保護。 通過使用 SSL/TLS 對流量進行加密 ， 用戶可以確保 PCI 合規性， 防止數據泄漏和失竊 ， 并縮短頁面加載時間。輕松部署 ：對于需要手動配置 SSL/TLS 協議的企業 ，意外的錯誤配置可能會阻止客戶訪問這些企業的網站。 通過 Cloudf

10、lare ， 企業能為任何互聯網資產一鍵啟用 HTTPS， 不必擔心 SSL 證書過期或失效。靈活配置 ： 根據所需配置和安全級別 ， Cloudflare SSL/TLS 以多種模式運行。 每種模式都確保到最終用戶的流量總是加密的 ； 然而 ， Cloudflare 和用戶源服務器之間的流量可按幾種不同方式配置 ， 包括 ：6 完全 SSL： 在最終用戶到 Cloudflare， Cloudflare 到源服務器之間提供加密。 在您的源服務器上 ，SSL 證書有三種選項： 由證書頒發機構（嚴格 ）頒發， 由 Cloudflare（源 CA)頒發， 或自簽名。 靈活 SSL： 加密 Cloud

11、flare 到最終用戶的流量， 但不加密 Cloudflare 到源服務器的流量。 靈活 SSL 是最容易實施的 HTTPS， 保護網站訪問者免受大量網絡威脅影響 ， 但安全性遜于其他選項。 靈活 SSL 的確能保護訪問者免受大量網絡威脅影響 ， 包括公共 WiFi 窺探和 HTTP 注入。 源 CA： 使用 Cloudflare 頒發的 SSL 證書 ， 以便減少在源服務器上配置 SSL 的摩擦， 同時仍能保護從源服務器到 Cloudflare 之間的流量。 這些證書可在 Cloudflare Dashboard 中直接生成。 無密鑰 SSL無密鑰 SSL 是為使用云供應商進行 SSL 加密

12、的企業提供的服務。 通常情況下 ，這意味著云供應商必須知道企業的私鑰 ， 但無密鑰 SSL 讓企業避免這樣做。 出于監管原因 ， 很多組織不能共享其私鑰。 通過使用無密鑰 SSL， 在保證密鑰安全的同時 ，這些組織仍能使用 TLS 并利用云服務。Cloudflare 是首家發布無密鑰 SSL 的云供應商 ， 允許面臨嚴格安全和合規限制的企業（ 如金融機構）遷移到云。 Cloudflare 同時支持 RSA 和 Diffie-Hellman 握手 ， 因此企業能通過 Diffie-Hellman 集成前向保密 ， 防止攻擊者竊取私鑰并解密數據。無密鑰 SSL 基于一個事實 ： 私鑰僅在 TLS

13、通信會話開始時的 TLS 握手過程中使用一次。 無密鑰 SSL 通過拆分 TLS 握手的步驟來工作。 提供無密鑰 SSL 服務的云供應商將這個過程的私鑰部分移到另一個服務器 ，通常位于客戶內部。當握手過程中需要私鑰用于解密或加密數據時 ， 供應商的服務器將所需數據發送到客戶的私鑰服務器。 密鑰在客戶的服務器上加密或解密數據 ， 并將數據發回供應商的服務器 ， 然后 TLS 握手繼續如常進行。下圖顯示使用/不使用無密鑰 SSL 的 SSL 握手（RSA）過程 ：7無密鑰 SSL 僅從云供應商的角度來看為“無密鑰” ： 它們永遠不會看到客戶的私鑰 ， 但客戶依然保留并使用私鑰。 同時 ， 公鑰仍如

14、常在客戶端使用。 Cloudflare 服務器和私鑰服務器之間的所有通信都在安全、 加密的通道上進行。 Cloudflare 還發現 ，盡管需要與私鑰服務器進行額外通信 ， 無密鑰 SSL 對性能的影響微乎其微。第二步 加速用戶體驗9Cloudflare CDN內容交付網絡（ CDN） 允許企業觸及龐大、 分散的客戶群 ， 而無需投資于本地主機。 Cloudflare 的 CDN 是一組分布式服務器 ， 位于全球超過 90 個國家（ 包括中國 ）、 200 多個城市的數據中心中。 Cloudflare 可從距離用戶最近的數據中心提供緩存的數字資源 ， 如 HTML、 JavaScript、 樣

15、式表和圖像。 在 Cloudflare上緩存靜態資源能減少用戶的服務器負載和帶寬消耗。API 原生架構 ： Cloudflare 的 API 通過標準化的編程接口公開整個 Cloudflare 基礎設施。 Cloudflare API 是一種基于 HTTPS 請求和 JSON 響應的 RESTful API。 用戶在儀表板能做的一切操作都可以通過 API 完成。 例如 ，源服務器更新個別文件時 ， 可使用 API 從 Cloudflare 緩存中將其清除。自定義緩存行為: Cloudflare 提供多個工具集， 允許用戶自定義內容緩存的方式。 頁面規則為自定義規則集， 在請求匹配指定 URL

16、模式時 ， 將觸發特定動作。 例如 ， 可創建一項頁面規則來指定瀏覽器中緩存資源的有效時間 ， 或在正則表達式與請求中存在的 cookie 名稱匹配時繞過緩存。 也可通過指定單一文件、 主機名或緩存標簽來控制內容清除。源服務器CDN 服務器用戶10進一步節省帶寬: Cloudflare 幫助企業盡可能降低帶寬消耗 ， 將內容緩存到一個全球網絡上 ，從最接近的 Cloudflare 數據中心提供靜態內容來減少對源服務器的請求數。 Cloudflare 也提供可預測的帶寬定價 ， 不會在站點受到攻擊時收取突增費用。 對于通過 Cloudflare 合作伙伴托管網絡資產的客戶 ， 在發生動態內容請求

17、時 ， 可減少或消除從托管服務提供商到 Cloudflare 的數據傳出費用。要進一步了解 Cloudflare CDN 并聯系我們 ， 請訪問 Argo Smart RoutingArgo Smart Routing 好比互聯網的現代導航系統。 Cloudflare 網絡每月路由超過 10 萬億次全球請求 ， 使 Argo Smart Routing 能檢測到實時阻塞 ， 并通過最快捷可靠的網絡路徑路由網絡流量。 它在 BGP 之上運行 ，測試可用路徑 ， 以確定哪一個路徑提供卓越性能。 通過避免不可靠的網絡連接 ，它也能避免丟包 ，后者通常會導致服務緩慢和網絡中斷。阻塞回避 ：Argo S

18、mart Routing 通過 Cloudflare 全球網絡上阻塞程度最低的路徑來路由訪問者 ，從而將互聯網資源的性能平均提升 30%。 路由決策依據實時網絡條件做出 ，Argo Smart Routing 使用延遲和丟包數據來在互聯網上選擇最佳路徑。 通過這樣做， 企業不僅能繞過阻塞的網絡路徑 ， 加速向最終用戶交付內容 ， 也能確保網絡資產的可靠性和正常運行。分層緩存 ：Argo 分層緩存使用 Cloudflare 的全球網絡降低源服務器負載 ， 提高緩存命中率 ， 并改善最終用戶的體驗。 通過從鄰近的數據中心提供內容而非聯系源服務器以接收可緩存內容企業能降低緩存未命中率和端對端延遲。

19、這不僅能改善最終用戶的網絡性能， 也能通過降低源服務器負載 ， 使這些網絡資產的運營更加經濟。TCP 優化 ： 使用持久 TCP 連接時 ， 每個 TCP 連接用于發送和接收多個 HTTP 請求/響應 ， 而不是為每一個請求/響應對打開新的連接。 這不僅能減少網絡阻塞 ， 也能降低后續請求的延遲（ 因為不需要 TCP 握手 ）。 這允許企業最大程度降低不可緩存內容的延遲 ， 將內容更快交付給最終用戶。 Cloudflare 數據中心之間的流量受到相互驗證 TLS 的保護 ， 確保流經 Argo 主干的任何流量都不會被攔截、 篡改和竊聽。11 Cloudflare 圖像大小調整Cloudflar

20、e 圖像大小調整讓用戶完全控制提供圖像的方式 ， 允許對圖像執行多種重要操作 ： 調整大小 ， 剪裁，壓縮 ， 轉換為WebP格式。 這些操作允許企業為移動設備優化高分辨率圖像，從而幫助減少加載時間和帶寬利用率 ， 改善頁面性能， 提高客戶留存率。按設備類型調整大小 ： Cloudflare 圖像大小調整對高質量主圖像進行轉換 ， 使其適合較小屏幕尺寸的移動設備。 圖像尺寸可在聲明性默認 URL 方案中指定 ， 也可通過 Workers 中的 JavasScript API 指定。 后者允許用戶構建自定義腳本或方法 ， 以檢測用戶用于連接的設備類型并相應地調整圖像大小。圖像壓縮 ： JPEG

21、和 WebP 圖像可以通過指定源圖像的“質量（ quality）”參數進行壓縮。 圖像質量在 1-100 的范圍內定義（默認設置為 85） ， 較高質量的設置應用更少的壓縮 ，文件尺寸更大。12漸進式 JPEG 的并行串流： Cloudflare 支持按我們的 HTTP/2 優先級方案創建的漸進式圖像串流。 該方案向漸進式圖像文件應用動態的優先級重排。 一旦圖像標頭得到確定，少量數據就會并行加載，以便在頁面上識別圖像而不影響性能。第三步 ： 增強基礎設施的安全態勢14Cloudflare Web 應用程序防火墻擁有基于云的 Web 應用程序防火墻（WAF）后 ， 企業能抵御零日攻擊 ， 并保護

22、應用程序免于常見威脅 ， 如跨站點請求偽造（ CSRF）、 跨站點腳本（XSS）和 SQL 注入攻擊。 WAF 還允許企業通過設置規則來維持對其安全策略的精細控制，這些規則可以保護應用程序中的薄弱之處 ， 并對出現的威脅進行防御。Cloudflare WAF 在網絡邊緣阻止攻擊 ， 使企業能保護其 Web 資產 ， 在常見威脅和專門攻擊到達服務器前加以防御。 Cloudflare Web 應用程序防火墻根據從超過 2600 萬個互聯網資產識別的威脅更新規則 ， 并使用低延遲檢查和流量加速集成來保護客戶 ， 而不損害應用程序的性能。 上手輕松 ， 管理簡單 ：企業可在 Cloudflare WA

23、F 中輕松創建和實施規則集。 Cloudflare WAF 包含三個套件 ， 旨在保護 Web 應用程序免受各種威脅和攻擊 ： OWASP ModSecurity 核心規則集： 根據所觸發的 OWASP 數目為每一個請求評分。 在 OWASP 完成對一個請求的評估后 ， Cloudflare 將最終得分與為該域分配的敏感度進行比較；如果得分超過敏感度，系統將對該請求采取行動 （基于OWASP ModSecurity 核心規則集套件中配置的行動 ）。Cloudflare Dashboard?Terraform-API?AnalyticsCloudflare Dashboard /Graph QL

24、SIEM-Splunk, Sumologic,Datadog ?Cloudflare ?Intelligence At-Scale?/ Cloudflare ?Cloudflare Web ?15 Cloudflare 規則集：包含 Cloudflare 編寫和組織的安全規則。 Cloudflare Specials 是針對常見攻擊提供核心 WAF 安全性的一組規則集，用戶單擊該組中的一個規則集名稱即可查看規則描述。 防火墻規則 ： 自定義規則 ， 允許用戶構建表達式， 針對 HTTP 請求執行復雜的匹配，然后選擇如何處理該流量。 防火墻規則利用一種受 Wireshark 啟發的語言 ， 使得

25、構建規則就像在電子郵件中使用過濾器一樣簡單。Cloudflare 與 Terraform 的整合提供了 一種一體化的簡易方法，開發者可以通過這種方法編寫代碼來管理 Cloudflare 配置， 而無需直接與 Cloudflare 的 API 或 UI 進行交互。遵循軟件開發中的最佳實踐，用戶可以將他們的配置存儲在自己的源代碼存儲庫中(例如 GitHub) ，啟用一個包含代碼審查的變更管理過程， 并跟蹤配置版本和歷史隨著時間的變化。 此外 ， 他們也能在必要時快速輕松地回滾變化。靈活性和速度： Cloudflare WAF 能提供三重價值： 配置的靈活性、 規則的傳播速度以及廣泛的保護范圍。 靈

26、活性：通過使用防火墻規則 ， 企業能創建豐富的表達式， 精確、 實時地瞄準流量， 在管理和組織方面擁有高級別的控制。 用戶能跨多種流量條件執行查找匹配或字符串模式匹配， 包括 IP、 CIDR、 ASN、 國家、 用戶代理和 URI。 Cloudflare WAF 還擁有一種規則模擬模式，通過這種模式，用戶可以對 1% 的流量樣本測試他們創建的規則 ，從而允許他們在將規則部署到生產環境之前進行測試。 而且 ， 由于用戶的源服務器受到 Cloudflare 保護 ， 云交付的 WAF 確保攻擊在 Cloudflare 網絡邊緣得到緩解 ， 因此， 無論用戶將應用程序部署在本地還是云 ， 都能受益

27、于統一的安全態勢。 速度： 雖然創建強大的自定義規則對企業非常重要 ， 同樣關鍵的是，及時修補整個基礎設施以防御應用程序漏洞攻擊。 Cloudflare 的全球網絡使 WAF 規則能在不到 30 秒內傳播到全世界 200 多個數據中心?？尚袆拥姆治觯?在構建和維護最優安全配置時 ，深入了解安全事件、 監視 Web 應用程序的健康狀況并區分實際的威脅和誤報非常重要。 Cloudflare WAF 使安全團隊能以三種重要方式查看和分析事件 ：16 Cloudflare Dashboard： 防火墻分析幫助企業深入了解防火墻事件 ， 允許他們更好地理解威脅形勢 ， 并更有效地識別、 緩解和審查攻擊。

28、 GraphQL API 集成：憑借 Cloudflare 的 GraphQL Analytics API，所有性能、 安全性、 和可靠性數據都能從一個端點獲得 ， 允許準確選擇所需數據無論是一個域的一項指標 ，還是從所有域匯總的多項指標。 與領先第三方 SIEM 的開箱即用集成： 企業通常擁有集中式安全事件監測 （ SIEM）系統 ，這些系統提供跨多個數據流的事件聚合視圖。 Cloudflare WAF 提供與第三方 SIEM 的開箱即用集成， 包括 Splunk、 Sumologic 和 Datadog。 Cloudflare 機器人管理惡意機器人會對基于 Web 的業務造成嚴重破壞 ，

29、不僅會危及敏感數據并干擾整體客戶體驗 ，對抗機器人攻擊還會耗費大量時間、 內部資源和運營成本。 適當的機器人解決方案允許企業區分有用和有害的機器人活動 ，防止惡意行為影響用戶體驗。 合適的解決方案應該允許企業快速準確地檢測機器人活動 ， 無縫集成任何技術堆棧、 安全策略和 CDN， 并提供各種緩解方法來有效地阻止新的攻擊。通過對分布在全球的海量多樣化數據應用行為分析、 機器學習和指紋識別 ， Cloudflare 機器人管理能幫助企業檢測和管理機器人活動。 憑借精細的規則、 用戶定義的緩解和超越行業標準的獨特操作 ，用戶可以將善意機器人列入白名單 ， 立即開始保護 Web 資產免受各種機器人的

30、攻擊。17準確檢測 ： 通過從分布在全球各地的海量多樣化數據獲得的情報， Cloudflare 機器人管理能確定站點流量是否自動化生成， 以及是否對 Web 應用程序懷有惡意。 為此， 它對傳入 Cloudflare 網絡的每一個 HTTP 請求生成機器人分值（Bot Score ） ， 介乎1到99。 這個分值能有效衡量該請求來自自動化來源的可能性有多大。 分值越高 ， 該請求越有可能來自使用標準桌面或移動 Web 瀏覽器的人類。 分值越低，發起該請求的越有可能是腳本、 API 服務、 爬蟲、 其他自動化代理或桌面應用程序。Cloudflare 機器人管理使用三個主要檢測機制， 各自生成一個

31、分值，然后由 Cloudflare 合并成一個機器人分值。指紋識別 ：Cloudflare 擁有多種啟發式檢查和數百種基于請求特定屬性的專門規則，其中一些極難被欺騙。 當任一請求匹配任何一種啟發式檢查時 ， 該請求會被分配最低分數： 1。 系統不會生成和存儲設備指紋，從而消除損害用戶隱私的風險。 如下為啟發式檢查的一些例子： 缺失用戶代理：發出請求的設備完全沒有指定用戶代理（UA）。 任何合法瀏覽器都會發送瀏覽器的適當 UA。 機器人用戶代理：發出請求的設備明確自稱為機器人（ 例如 ， 谷歌搜索爬蟲會聲明為 “Googlebot”)。 在此情況下 ，沒有必要做進一步檢查 ， 因為機器人已經承認

32、其真實性質。 ClientHello 指紋“黑名單” ：從 TLS ClientHello 生成的指紋匹配 Cloudflare 已經作為自動化來源“列入黑名單”的某個已知 ClientHello。 curl、 python 和 csharp 等代理具有唯一的指紋， 據此， Cloudflare 能確定該請求來自這些來源之一。18機器學習 ： 成功的機器學習應用程序需要大量、 多樣化和高質量的數據。 Cloudflare 的機器學習引擎通過每天數千億個請求的精選子集進行訓練， 以便識別機器人活動 ， 并從 Cloudflare 全球網絡上觀察到的每一次新攻擊中學習和改進。 Cloudflare

33、 客戶編寫規則來挑戰請求時 ， 機器學習引擎從這些挑戰的結果中學習 ， 并能確定未來請求由自動化生成的可能性。行為分析： 機器學習和啟發式檢測提供巨大價值， 但兩者都要求對標簽的人工輸入。 行為分析是特定于每個客戶區域的統計模型。 它研究客戶的正常用戶流量模式， 并根據與基線的差異為每個請求評分。 異常請求將基于 HTTP 會話被阻止。 靈活緩解Web 應用程序防火墻 (WAF) 規則: 機器人分值輸入到 Cloudflare 的 WAF 中 ， 按照用戶需求 ， 可疑請求可被阻止、 挑戰或記錄， 而合法請求會被路由到目的地。 防火墻規則提供如下機器人緩解行動 ： 日志： 在 Cloudfla

34、re 日志中記錄匹配的請求 繞過 ： 允許客戶對某個請求動態禁用 Cloudflare 安全功能 允許 ： 匹配請求免于其他防火墻規則內容觸發的挑戰和阻止行動 挑戰（驗證碼 ） ： 幫助確保網站訪問者為人類而非自動化程序 JS 挑戰： 幫助確保機器人和垃圾信息不能訪問到所請求的資源；但瀏覽器能自動通過挑戰。 阻止 ： 匹配請求被拒絕訪問站點Workers 集成：Cloudflare Workers 是一種無服務器執行環境，用戶不需配置或維護基礎設施即可創建和擴展應用程序。 與 Cloudflare 機器人管理一起使用時 ， 在根據機器人分值對每個請求執行操作方面 ， Workers 提供更高靈

35、活性。 操作包括：19 注入新的 HTML 頁面內容或改變現有內容 獲得請求的分值 向機器人提供替代內容或不正確的數據 重定向到替代頁面、 應用程序或誘捕系統 根據分值提供不同內容 拖延某些請求 要求額外授權 根據機器人分值和 Clearance Cookie 檢查組合 將分值傳回源服務器 ，進行更高級的實時分析或緩解 Cloudflare DDoS 保護通過消耗目標設備和互聯網之間的所有可用帶寬 ，DDoS 攻擊不僅會導致嚴重的服務中斷 ，還會造成客戶無法訪問企業的資源，從而對企業造成明顯的負面影響。 為了保護 Web 服務器 ， 企業可使用反向代理或提供全局服務器負載均衡的 CDN 在不影

36、響性能的情況下緩解較接近來源的 DDoS 攻擊。當然，只是保護 Web 服務器免遭 DDoS 攻擊并不足夠。 企業往往會在公有或私有數據中心托管本地網絡基礎設施， 也要保護這些基礎設施免受威脅。 Cloudflare 在第 7、 4 和 3 層提供 DDoS 保護。20第 7 層 DDoS 防護Cloudflare 提供不計量的全自動化緩解系統 ， 該系統監視我們網絡上的所有流量， 記錄 HTTP 請求中的異常情況 ， 并識別攻擊目標， 以便執行即時和適當的緩解措施。 通過使用 DNS 重定向 ，源服務器 IP 地址被屏蔽， Web 流量被自動轉移到 Cloudflare 最接近的數據中心 ，

37、 在云中阻止攻擊 ，使其無法到達源服務器。當來自某個客戶的數據包通過任播（Anycast）到達最近的數據中心時 ， 它們會遇到多層防御。 這些防線包含預先配置的靜態防火墻規則 ， 以及由我們 DDoS 緩解系統生成的動態規則。 靜態規則可以是簡單的 IP 阻塞和速率限制， 也可以是匹配特定數據包屬性的復雜表達式。 另一方面 ， 動態規則是實時生成的。生成動態規則 ： 動態規則是 Cloudflare 多層保護措施的一部分 ，通過分析流經我們網絡的數據包即時生成。 數據被路由的同時 ， 兩個主要檢測系統對流數據進行異步取樣、 收集和分析： 1 ）Gatebot，運行于整個 Cloudflare

38、網絡上 ；2 ）DoSD（拒絕服務守護程序） ， 在每個數據中心本地運行。DoSD 的取樣速度（1/100個數據包）遠高于 Gatebot ，后者速度較慢（ 約1/8000） ， 因此 DoSD 能檢測更多攻擊并更快加以阻止。 異步攻擊檢測的生命周期如下圖中的虛線表示。 之所以在路徑之外檢測攻擊 ， 目的是確保 Cloudflare 不會增加任何延遲 ，緩解規則會按需推送或移除。21在分析和檢測過程中 ， 多個數據包屬性和相關性會被納入考慮。 Gatebot 和 DoSD 同時搜索新的網絡異常和已知攻擊。 一旦檢測到攻擊 ，規則會在 10秒 或更短時間自動生成、 傳播并應用于最佳位置。 通過

39、Cloudflare Spectrum 實現第 4 層保護Cloudflare Spectrum 是一種反向代理服務 ， 為 TCP/UDP 應用程序提供 DDoS 保護。 Spectrum 受益于 Cloudflare 現有 DDoS 緩解 ， 并對第 4 層流量使用相同的第 7 層檢測和緩解技術。 它為連接到互聯網的任何盒子、 容器或虛擬機提供 DDoS 保護 ， 無論其運行電子郵件、 文件傳輸、 RDP、 SSH 還是自定義協議。Spectrum + 全局負載均衡：Spectrum 也對 TCP/UDP 流量進行負載均衡。 如果發生停機，則所有活動的 TCP 連接和 UDP 流量都會自動

40、轉移到已配置的負載均衡池中的健康備用服務器上。 通過將流量動態分配到可用性最高和響應速度最快的服務器池， Cloudflare Spectrum 幫助增加應用程序的正常運行時間。Spectrum + TLS 支持: 安全和加密兩者相輔相成。 憑借 Spectrum，用戶可在 Cloudflare 的網絡邊緣終止 TLS。 在網絡邊緣終止 TLS 的主要好處是加速性能， 因為 TLS 握手的三次往返過程距離較短。 通過增加對客戶端 TLS 的支持 ， Cloudflare 現可為原本不支持加密傳輸的傳統協議和服務添加加密。Spectrum + IP 防火墻 ：Spectrum 集成 Cloudf

41、lare 的 IP 防火墻 ， 以便用戶能選擇哪些連接應該轉發到其服務器 ， 哪些應該在 Cloudflare 的邊緣進行阻止。 這個操作也可以通過 API 管理， 以便用戶能編寫腳本來動態地允許和拒絕訪問。curl -X POST “https:/ _rules/rules” -H “X-Auth-Email: ” -H “X-Auth-Key: 0000000000000000000” -H “Content-Type: application/json” -data “mode”:”block” ,”configuration”:“target”:”ip” ,”value”:”192.0

42、.2.1”22Spectrum + 流量加速： Cloudflare Spectrum 不僅保護應用程序免受 DDoS 攻擊 ，還會使它們更快。 Spectrum 集成 Argo Smart Routing ， 以最低延遲在 Cloudflare 網絡上路由流量。通過 Cloudflare Magic Transit 提供第 3 層 DDoS 保護Cloudflare Magic Transit 為全部 C 類網絡提供 DDoS 保護 ，適用于本地、 混合和云托管的環境。使用邊界網關協議 (BGP) 路由公告到互聯網 ，以及 Cloudflare 的全球網絡 ， 客戶流量在最接近來源的 Clo

43、udflare 數據中心接收。 所有客戶流量都會被檢查是否存在攻擊 ；如有發現， 高級自動緩解技術將被觸發。23不需設置“清洗中心” ： 每個 Cloudflare 數據中心的每一臺服務器都能緩解 DDoS 攻擊。 這意味著 ， 客戶流量不必重路由到遙遠的“清洗中心”以檢查威脅。 所有 Cloudflare 服務都在同一個數據中心運行。通過 Cloudflare 的任播 GRE 提供更大靈活性： 清潔的流量通過 Cloudflare 的網絡進行路由 ，以獲得最佳延遲和吞吐量，并可通過 GRE 隧道（或 PNI 私有網絡互聯 ）傳輸。 Cloudflare 的服務器和客戶的路由器上均配置 GRE

44、 隧道端點。 然后 ， Cloudflare 服務器將發往客戶網絡的 IP 數據包封裝在以客戶路由器的公開可路由 IP 地址為目的地的 IP 數據包中 ，到達客戶路由器后 ， 由其解包數據并傳輸到內部網絡中。Cloudflare 使用任播 IP 地址作為 GRE 隧道端點， 因此 ， 任何數據中心的任何服務器都能為該 GRE 隧道進行數據包封裝和解封。 GRE 協議本身沒有狀態每一個數據包都被獨立處理 ， 不需要在隧道端點之間進行任何協商或協調。 隧道在技術上綁定到一個 IP 地址 ， 但它不需要綁定到特定設備。 只要能剝離外部包頭并路由內部數據包， 任何設備都能處理 GRE 隧道上發送的數據

45、包。 實際上 ， 在任播的語境下 ，術語“隧道”具有誤導性， 因為它暗示兩個固定點之間的連接。 在 Cloudflare 的任播 GRE 中 ， 單一“隧道”給客戶提供一條通道，連接到 Cloudflare 全球網絡邊緣每一個數據中心的每一臺服務器。消除單點故障 ： 任播 GRE 的另一個強大效果是消除了單點故障。 因為 Cloudflare 從每一個數據中心的每一臺服務器封裝和交付客戶流量 ，沒有單一“隧道”可被打破。 這意味著 ， 只需設置和維護單一 GRE 端點 ，Magic Transit 客戶就能獲得在多個物理地點終止隧道的冗余和可靠性。.第四步 ： 構建彈性基礎設施 ， 確保應用程

46、序的高可用性 25Cloudflare 負載均衡最大化服務器資源和效率需要進行微妙的平衡。 服務器發生超載， 或地理位置與最終用戶距離太遠， 都可能會對業務產生不利影響 ， 因為延遲增加和服務器故障可能導致收入損失、 客戶信任受損和品牌退化。Cloudflare 的全球和本地負載均衡將請求從不健康的源轉移出來， 將其分配到最接近和響應速度最快的服務器池， 幫助企業最大程度提高應用程序的可用性和性能。 Cloudflare 負載均衡提供地理和動態轉向、 DDoS 緩解、 快速故障轉移和詳細流量分析 ， 同時與本地、 多云和混合云環境無縫集成。自定義轉向 ： Cloudflare 負載均衡讓客戶根

47、據所需配置選擇地理轉向或動態轉向。 對于特定地區或數據中心 ，地理轉向允許用戶為負載均衡器指定應轉移流量到哪些池。 可配置多個池， 由負載均衡器按故障轉移順序（ 如某個地區或池沒有進行配置，則為默認故障轉移順序）使用。 相比之下 ， 動態轉向使用健康檢查數據來為給定用戶將流量轉移到最快的池。 健康檢查執行頻率可高達每 5 秒一次， 并通過電子郵件或 REST API 交付報告。26高級分析： Cloudflare 的負載均衡器位于應用程序和最終用戶之間 ，這個位置十分適宜收集有關客戶行為、 應用程序性能、 安全態勢和其他運行洞察的可操作商業情報。 借助詳細的流量分析 ，企業能獲得對流量的精細了

48、解 ， 并以可視化方式查看負載均衡器、 池和來源上的流量，從而更好地識別當前為其流量選擇的來源和池。 Cloudflare 負載均衡還提供實時延遲圖 ， 可用于分析世界各地來源的響應能力 ， 識別請求表現欠佳的地區， 并幫助企業及時調查故障原因。主動健康檢查和快速故障轉移 ： 通過 Cloudflare， 企業能主動監控池的健康狀況 ， 以檢測中斷和消除潛在停機。 一旦某個源或池停機，通過 Cloudflare 代理的請求會立即被重路由（而不等待 TTL 過期）。 在一個池被健康檢查標記為停機時 ， 快速故障轉移允許 Cloudflare 在給定負載均衡器配置中所列的池之間進行故障轉移。 如果

49、所有池都被標記為停機， Cloudflare 將流量轉移到回退池Dashboard 列表中的最后一個池或通過 API 參數特別指定的池。第五步 ： 保障網絡邊緣的 Web 資產安全 28Cloudflare Workers邊緣計算將應用程序開發轉移到網絡邊緣 ， 使計算盡可能接近最終用戶 ， 并最大程度減少延遲、服務器資源和帶寬使用。 它允許企業將基礎設施配置和管理轉給第三方 ，從而將開發人員解放出來進行其他工作。Cloudflare Workers 是分布在全球的無服務器計算平臺 ， 在 Cloudflare 的網絡上運行。 Workers 為企業提供一種靈活性， 無需管理任何底層基礎設施，即可構建完整、 獨立的應用程序 ， 增強原有應用程序 ， 并自定義 Cloudflare 服務和功能的配置。盡管 Cloudflare Workers 的行為類似于瀏覽器或 Node.js 中的 Javascript， 但在用戶應如何考慮其代碼方面 ， 存在一些微妙的差異。 在底層 ， Workers 的運行時使用 V8 引擎與 Chromium 和 Node.js 使用的引擎相同。 Workers 運行時還采用大多現代瀏覽器中可用的許多標準 API。與為瀏覽器或 Node.js 編寫的 Javascript 之間的差異出現在運行時。 Workers 功能運行于 Cloudflare