تنظیمات فایروال cloudflare

آموزش فایروال کلودفلر و تنظیمات آن

همان طور که در بحث CDN ها خدمت شما عرض کردیم یکی از دلایل استفاده از کلودفلر بحث امنیت آن است. به طوری که این CDN قادر است جلوی بسیاری از حملات هکرها به خصوص حملات DDOS را بگیرد. در این مطلب با آموزش یکی از مهم ترین بخش های cloudflare یعنی فایروال کلودفلر و تنظیمات آن در خدمت شما خواهیم بود.

آموزش فایروال کلودفلر

پس از ورود به سایت کلودفلر با اکانت خود همانند تصویر زیر بر روی firewall کلیک کنید تا تنظیمات این بخش برای شما به نمایش دربیاید.

تنظیمات فایروال کلودفلر

تنظیمات Firewall Rules در کلودفلر

این بخش به منظور شخصی سازی اجازه دسترسی، مسدود کردن و یا محدود کردن دسترسی برخی IP ها، کشورها، آدرس های URL، query string، سرور ها، ایجنت ها و غیره ایجاد شده است. شما می توانید تا 5 Firewall Rules را برای خود ایجاد کنید.

برای انجام این کار کافی ست بر روی Create a Firewall rule کلیک کنید تا بتوانید تنظیمات مورد نیاز خود را انجام دهید.

تنظیمات firewall rulls cloudflare

با کلیک بر روی Create a Firewall rule با تنظیماتی مانند تصویر زیر روبرو می شوید.

تنظیمات firewall rulls کلودفلر

rule name:

در قسمت rule name نام دلخواه خود را انتخاب نمایید. مثلا rule1

Field:

در قسمت Field باید نوع درخواست خود را مشخص کنید. در این بخش شما انتخاب های بسیاری دارید (مانند آدرس IP، IP کشور خاص، آدرس URL، یک سرور خاص و …) و می توانید آن را با توجه به نیاز خود انتخاب کنید.

Operator:

در این قسمت شما با چهار گزینه مواجه هستید:

Equals: اگر بر روی equals کلیک کنید دقیقا همان فرمان اجرا می شود، به طور مثال اگر شما در قسمت field، آدرس URL را انتخاب کرده باشید و سپس در قسمت Operator گزینه equals را انتخاب کنید آنگاه در خواست شما (مسدود کردن، اجازه دسترسی و …) تنها بر روی همان آدرس انجام خواهد شد. یعنی اگر آدرس URL انتخابی شما example.com باشد درخواست شما دقیقا بر روی example.com انجام خواهد شد و هیچ تاثیری بر مثلا blog.example.com نخواهد داشت.

Does not equal: این گزینه دقیقا برعکس گزینه قبلی عمل می کند یعنی در مثال بالا اگر آدرس URL انتخابی شما example.com باشد درخواست شما بر روی تمام آدرس ها به جزء example.com اعمال خواهد.

contains: با انتخاب این گزینه چنانچه در مثال بالا آدرس URL انتخابی شما در آدرس مورد نظر باشد در خواست مورد نظر شما اعمال خواهد شد. به طور مثال در example.com/firewall-cloudflare از آن جایی که example.com در این آدرس وجود دارد بنابراین درخواست مورد نظر شما بر روی این آدرس انجام خواهد شد.

Does not contains: این گزینه بر عکس گزینه contains است یعنی در مثال بالا درخواست شما روی تمام آدرس هایی که example.com در آن وجود نداشته باشد اعمال می شود.

Value:

در قسمت value باید مقادیر مورد نظر خود را وارد نمایید. این مقادیر می تواند نام کشور، آدرس URL، IP و غیره باشد.

And/or:

کلودفلر در این بخش این امکان را برای شما فراهم کرده است که بتوانید آدرس ها، کشورها، IP ها، query string ها و غیره را به صورت نامحدود در لیست خود قرار دهید، برای این منظور دو گزینه and و or پیش روی شما است. and به معنای “و” می باشد و فرامین شما تنها به شرطی اجرا خواهند شد که تمامی شرایطی که شما تعریف کرده اید برقرار باشند در غیر این صورت هیچ کدام از درخواست های شما اجرا نخواهد شد.

به طور مثال شما می خواهید اگر آدرس خاصی (مثلا example.com) با استفاده از مرورگر فایرفاکس به سرور شما درخواستی ارسال کرد آن آدرس مسدود شود و اگر آدرس مورد نظر با مرورگر دیگری مانند کروم باز شود هیچ کاری انجام نشود. در این صورت شما باید برای درخواست خود از And استفاده کنید. (وجود تمام شرط ها برای اجرای عملیات لازم است).

به طور مثال شما می خواهید اگر آدرس خاصی (مثلا example.com) با استفاده از مرورگر فایرفاکس به سرور شما درخواستی ارسال کرد آن آدرس مسدود شود و اگر آدرس مورد نظر با مرورگر دیگری مانند کروم باز شود هیچ کاری انجام نشود. در این صورت شما باید برای درخواست خود از And استفاده کنید. (وجود تمام شرط ها برای اجرای عملیات لازم است).

Or به معنای “یا” می باشد و چنانچه در مثال بالا از or استفاده کنید چه آدرس example.com باشد و چه مرورگر فایرفاکس باشد عمل مسدود کردن انجام می شود. (وجود یکی از شرط ها برای انجام عملیات کافی است).

Choose an action:

در این بخش شما 4 گزینه پیش رو دارید:

Allow:

انتخاب این گزینه به معنای دادن اجازه دسترسی است.

Challenge captcha:

captcha صفحه ای است که در آن کلمه یا مجموعه ای از اعداد وجود دارد که ربات ها قادر به تشخیص آن نیستند و تنها انسان می تواند آن را ترجمه کند، با انتخاب این گزینه IP یا آدرس یا هر آنچه که شما درخواست کرده اید تنها در صورتی می تواند به سایت شما دسترسی داشته باشد که ثابت کند ربات نیست و کاربر واقعی در حال وارد شدن به سایت است.

ضد ربات کلودفلر

Js Challenge:

چالش جاوا اسکریپتیکی از روش های جلوگیری از درخواست هایی است که توسط ربات ها ایجاد می شوند.در این روش هنگامی که یک مرورگر درخواستی را برای سایت شما می فرستد یک قطعه کد جاوا اسکریپت اجرا می شود (در واقع با استفاده از این کد سایت شما نیز درخواستی برای مرورگر درخواست کننده می فرستد) تا تعیین شود که درخواست از جانب کاربر واقعی بوده است یا از جانب ربات. اگر مرورگر به درخواست سایت شما پاسخ دهد مشخص می شود که آن ترافیک متعلق به یک کاربر واقعی است و در غیر این صورت ربات است و مسدود می شود چرا که اغلب ربات ها قادر به پاسخگویی به این نوع درخواست نیستند.

در این روش بر خلاف روش captcha کاربران مجبور نیستند کاری انجام دهند زیرا این کد در پس زمینه اجرا می شود و تنها ممکن است کاربران در طول اجرای این کد یک صفحه بینابینی مانند تصویر زیر را مشاهده نمایند.

Js Challenge cloudflare

Js Challenge یک روش بسیار موثر برای جلوگیری از حملات DDOS است. اما در عین حال ممکن است یاعث ایجاد مشکلات زیر نیز شود:

  1. ممکن است محتویات سایت شما برای کاربرانی که از مرورگرهای قدیمی استفاده می کنند به طور کامل بارگذاری نشود.
  2. اگر کاربران قابلیت جاوا اسکریپت را بر روی مرورگز خود غیر فعال کنند دیگر به سایت شما دسترسی نخواهند داشت.
  3. ممکن است هنگام به اشتراک گذاری صفحات سایت شما، محتویات سایت شما به شکل قطعه کد سپر محافظتی Js Challenge به نمایش در آید.

در نهایت شما می توانید تنظیمات دلخواه خود را با استفاده از Save as draft به صورت موقت ذخیره کنید (شما فقط تنظیمات را save کرده اید و هیچ گونه تغییری ایجاد نمی شود) و یا با استفاده از Save and deploy تنظیمات خود را ذخیره و اعمال نمایید.

Rate Limiting

با فعال سازی این بخش کلودفلر از سایت شما در برابر حملات brute-force و DOS محافظت خواهد کرد.

این بخش برای 10000 درخواست اول رایگان است و پس از ان به ازاء هر 10000 در خواست دیگر باید 5 سنت (0.05$) به شرکت بپردازید.

Rate Limiting در تنظیمات فایروال کلودفلر

Security Level

در این قسمت شما می‌توانید میزان حساسیت کلودفلر به سایت خود را تعیین کنید. شما در این بخش با 5 گزینه مواجه هستید که با توجه به پیشنهاد کلودفلر بهتر است در ابتدای کار آن را در حالت medium قرار دهید.

البته تنظیم این حالت بر روی high هم می تواند گزینه مناسبی باشد. اگر آن را بر روی high تنظیم کنید کلودفلر درخواست های مشکوک را تا 14 روز زیر نظر می گیرد و در صورتی که IP ای را مشکوک تشخیص دهد تا 14 روز به آن IP اجازه دسترسی نخواهد داد.

توجه: گزینه I’m Under Attack را تنها زمانی انتخاب کنید که در معرض حملات DDOS قرار گرفته باشید در غیر این صورت به هیچ وجه از این گزینه استفاده نکنید زیرا در این حالت کلودفلر باید تمام درخواست ها را به دقت مورد بررسی قرار دهد و در این حین یک صفحه بینابینی به کاربران نشان دهد که این مسئله باعث طولانی تر شدن زمان بارگذاری صفحات شما می شود. و همان طور که می دانید افزایش زمان بارگذاری تاثیر بسیار بدی بر سئو سایت دارد.

Security Level در تنظیمات فایروال کلود فلر

Challenge Passage

در این بخش می‌توان مدت زمانی که یک آدرس IP بلاک می‌شود را تنظیم کرد. اگر کلودفلر کلاینتی را مخرب شناسایی کند به مدت زمان معلومی که در این بخش قابل تنظیم است ، سرویس را از دسترس این کلاینت خارج کرده و به کاربر خطای TTL Expire را باز می‌گرداند.

Challenge Passage در تنظیمات فایروال cloudflare

بخش IP Firewall

IP Access Rules

این بخش تا حدودی شبیه قسمت Firewall Rules می باشد که توضیحات آن ارائه شد.شما می توانید به IP ها، رنج IP خاص، کشورها و برخی سیستم ها اجازه دسترسی خاص بدهید و یا فعالیت آن ها را به طوری کلی مسدود و یا اینکه محدود کنید. همان طور که در تصویر زیر ملاحظه می کنید ما یک IP را در Whitelist قرار داده ایم و با این کار اجازه دسترسی همیشگی را به این IP داده ایم.

IP Access Rules در فایروال cloudflare

User Agent Blocking

توضیحات این بخش نیز شبیه قسمت Firewall Rules می باشد که توضیحات آن ارائه شد.

با کلیک بر روی User Agent Blocking وارد صفحه ای می شوید که در ان می توانید دسترسی ایجنت ها را به سایت خود مسدود سازید. به طور مثال شما می توانید فایرفاکس نسخه 50، ویندوز NT و … را در قسمت user agent وارد کرده و سپس بر روی save and deploy کلیک کنید تا این ایجنت ها مسدود شوند.

User Agent Blocking rule در فایروال کلودفلر

Zone Lockdown

با استفاده از این بخش شما می توانید اجازه دسترسی و مسدود کردن IP ها را برای زیردامنه و یا صفحات خاصی از سایت خود ایجاد کنید. به طور مثال شما می‌توانید دسترسی به صفحه پنل مدیریت سایت خود را تنها برای آدرس IP خود در دسترس قرار دهید. برای استفاده از این قابلیت باید از نسخه پولی (pro) استفاده کنید.

Zone Lockdown در فایروال کلودفلر

Unmetered DDoS Mitigation

این گزینه به نحوه قرارگیری کلودفلر در جلوی سایت شما و محافظت در برابر حملات DDoS اشاره دارد که به صورت خودکار روشن بوده و قابلیت خاموش کردن آن نیز وجود ندارد.

Unmetered DDoS Mitigation در تنظیمات فایروال کلودفلر

Firewall Event Log

شما در این بخش می توانید رخدادها و وضعیت سایت خود را مشاهده نمایید.

Firewall Event Log در کلودفلر

Web Application Firewall

این بخش برخی از تنظیمات مربوط به فایروال اپلیکیشن وب را در اختیار شما قرار خواهد داد که با تنظیم آن شما قادر خواهید بود درخواست هایی را که حاوی محتوای مخرب هستند را مسدود کنید.

Web Application Firewall در تنظیمات فایروال کلودفلر

Web Application Firewall

تنظیمات این بخش به منظور مقابله با حملات XSS و SQL injections ایجاد شده است. برای استفاده از ویژگی های این بخش باید از نسخه پولی (pro) استفاده کنید.

Browser Integrity Check

تمامی هدرهای HTTP  از سمت کلاینت را ارزیابی و چک می‌کند و در صورت وجود تهدید برای سایت ، یک صفحه بلاک به کاربر نمایش داده خواهد شد.

توجه: این بخش ممکن است برخی عملیات دامنه شما را با اختلال روبرو کند. به عنوان مثال ممکن است دسترسی به API شما را مسدود کند که برای رفع این مشکل باید تنظیمات مربوطه را در بخش Firewall Rules انجام دهید.

امیدواریم از آموزش فایروال کلودفلر استفاده لازم را برده باشید.

چنانچی سوالی در خصوص آموزش ارائه شده دارید لطفا در بخش نظرات با ما در میان بگذارید.

به اشتراک گذاری این مطلب

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *