Cloudflare — это мощный инструмент, который помогает защитить и оптимизировать ваш сайт. Однако его эффективность во многом зависит от правильной настройки. В этой статье мы подробно разберем ключевые параметры Cloudflare, включая TLS-версии, их плюсы и минусы, а также предложим оптимальные решения для вашего сайта.

Подключение и настройка Cloudflare

1. Создание аккаунта

Для начала работы с Cloudflare необходимо создать аккаунт:

  • Введите email и придумайте надежный пароль (минимум 8 символов, цифры и специальные знаки).

  • Подтвердите регистрацию через email.

2. Добавление домена

После создания аккаунта добавьте ваш домен:

  • Введите зарегистрированное доменное имя и выберите тарифный план (например, Free, Pro или Business).

  • Cloudflare просканирует DNS-записи. Проверьте их и добавьте недостающие, если это необходимо.

  • Измените NS-серверы у вашего регистратора домена на те, которые предоставит Cloudflare.

После обновления DNS-кеша вы получите уведомление о успешном подключении домена.

1. Настройка DNS и проксирования

Варианты:

  • Proxied (оранжевое облако): все запросы проходят через серверы Cloudflare.
  • DNS only (серое облако): Cloudflare только возвращает IP-адрес вашего сервера.

Плюсы и минусы:

Proxied:

  • Плюсы: защита от DDoS-атак, кеширование, ускорение загрузки, скрытие реального IP-адреса сервера.
  • Минусы: ограниченная поддержка нестандартных портов (например, FTP, SSH) на бесплатном тарифе.

DNS only:

  • Плюсы: полный контроль над всеми портами и сервисами.
  • Минусы: отсутствие защиты и кеширования.

Оптимальное решение:

Используйте Proxied для всех записей, кроме тех, которые требуют доступа к нестандартным портам (например, почта, FTP). Для них выберите DNS only.

2. Защита от DDoS-атак

Варианты:

  • Стандартная защита: включена по умолчанию при использовании Proxied.
  • Режим "I’m Under Attack!": активируется вручную при атаке.

Плюсы и минусы:

Стандартная защита:

  • Плюсы: автоматическая блокировка большинства угроз, минимальное влияние на легитимный трафик.
  • Минусы: может не справляться с крупными атаками.

Режим "I’m Under Attack!":

  • Плюсы: максимальная защита от сложных DDoS-атак.
  • Минусы: дополнительные проверки для всех посетителей, что может замедлить доступ к сайту.

Оптимальное решение:

Используйте стандартную защиту для повседневной работы. Включайте "I’m Under Attack!" только в случае активной DDoS-атаки.

3. Web Application Firewall (WAF)

Варианты:

  • Базовые правила: включены по умолчанию.
  • Кастомные правила: настраиваются вручную.

Плюсы и минусы:

Базовые правила:

  • Плюсы: простота использования, защита от распространенных угроз.
  • Минусы: ограниченная гибкость.

Кастомные правила:

  • Плюсы: полный контроль над фильтрацией трафика.
  • Минусы: требует знаний для настройки, может блокировать легитимный трафик при ошибках.

Оптимальное решение:

Начните с базовых правил. По мере необходимости добавляйте кастомные правила для блокировки специфических угроз (например, спам-ботов).

4. Настройка SSL/TLS


Варианты:

  • Flexible: шифрование между браузером и Cloudflare.
  • Full: сквозное шифрование с использованием SSL-сертификата на вашем сервере.
  • Full (Strict): требует сертификат от доверенного центра сертификации.

Плюсы и минусы:
Flexible:

  • Плюсы: простота настройки, не требует SSL на вашем сервере.
  • Минусы: трафик между Cloudflare и сервером не шифруется.

Full:

  • Плюсы: сквозное шифрование, поддержка самоподписанных сертификатов.
  • Минусы: требует установки SSL на сервере.

Full (Strict):

  • Плюсы: максимальная безопасность, требует доверенного сертификата.
  • Минусы: сложность настройки, необходимость регулярного обновления сертификата.

Оптимальное решение:
Используйте Full (Strict) для максимальной безопасности. Если у вас нет возможности установить доверенный сертификат, выберите Full.

5. Настройка TLS-версий

Варианты:

  • TLS 1.2: поддерживается большинством браузеров и устройств.
  • TLS 1.3: новейшая версия с улучшенной производительностью и безопасностью.

Плюсы и минусы:

TLS 1.2:

  • Плюсы: широкая поддержка, совместимость с устаревшими устройствами.
  • Минусы: менее безопасен по сравнению с TLS 1.3, медленнее.

TLS 1.3:

  • Плюсы: повышенная безопасность, ускоренное установление соединения, меньшая задержка.
  • Минусы: не поддерживается некоторыми устаревшими устройствами.

Оптимальное решение:

Включите TLS 1.3 как основную версию, так как она обеспечивает лучшую производительность и безопасность. Для совместимости с устаревшими устройствами оставьте поддержку TLS 1.2, но отключите более старые версии (TLS 1.0 и 1.1), так как они уязвимы для атак.

6. Кеширование контента

Варианты:

  • No query string: кеширование без учета строки запроса.
  • Ignore query string: игнорирование строки запроса.
  • Standard: кеширование с учетом строки запроса.

Плюсы и минусы:

No query string:

  • Плюсы: подходит для статичных сайтов.
  • Минусы: не учитывает изменения в строке запроса.

Ignore query string:

  • Плюсы: уменьшает нагрузку на сервер.
  • Минусы: может вызывать проблемы с динамическим контентом.

Standard:

  • Плюсы: оптимальный баланс между производительностью и актуальностью данных.
  • Минусы: требует больше ресурсов.

Оптимальное решение:

Выберите Standard для большинства сайтов. Если у вас статичный контент, используйте Ignore query string.

7. Уровень защиты (Security Level)

Варианты:

  • Essentially Off: минимальная защита.
  • Low: защита от наиболее угрожающих посетителей.
  • Medium: умеренная защита.
  • High: защита для всех подозрительных посетителей.
  • I’m Under Attack!: максимальная защита.

Плюсы и минусы:

Essentially Off:

  • Плюсы: отсутствие задержек для посетителей.
  • Минусы: минимальная защита.

High:

  • Плюсы: защита от большинства угроз.
  • Минусы: возможны задержки для подозрительных посетителей.

Оптимальное решение:

Используйте Medium для повседневной работы. Переключайтесь на High при увеличении угроз.

Заключение

Cloudflare предлагает множество настроек, каждая из которых имеет свои плюсы и минусы. Оптимальная конфигурация зависит от типа вашего сайта и уровня угроз. Для большинства проектов рекомендуем:

  • Использовать Proxied для всех записей, кроме нестандартных портов.
  • Включить Full (Strict) для SSL/TLS.
  • Настроить Standard кеширование.
  • Использовать TLS 1.3 как основную версию, оставив поддержку TLS 1.2 для совместимости.
  • Установить Medium уровень защиты.

Следуя этим рекомендациям, вы обеспечите максимальную защиту и производительность для вашего сайта в 2025 году.

Дополнение: Настройка TLS для сайтов, ориентированных на РФ

Если ваш сайт ориентирован на аудиторию из России и основной трафик поступает из этой страны, важно учитывать особенности взаимодействия с российскими интернет-регуляторами, такими как Роскомнадзор.

Проблема с TLS 1.3 в РФ

Роскомнадзор, в рамках своей деятельности по блокировке запрещенных ресурсов, иногда испытывает сложности с анализом трафика, зашифрованного с использованием TLS 1.3. Это связано с тем, что TLS 1.3 использует более совершенные методы шифрования, которые затрудняют расшифровку трафика. В результате сайты, использующие TLS 1.3, могут быть ошибочно заблокированы или замедлены.

Рекомендации для сайтов с аудиторией из РФ

1. Используйте TLS 1.2 как основную версию:

  • TLS 1.2 поддерживается большинством современных браузеров и устройств, включая устаревшие.
  • Эта версия менее подвержена блокировкам со стороны Роскомнадзора, так как регулятор может анализировать метаданные трафика.

2. Отключите TLS 1.0 и 1.1:

  • Эти версии устарели и считаются небезопасными. Их отключение повысит безопасность вашего сайта.

3. Осторожно с TLS 1.3:

  • Если вы решите использовать TLS 1.3, убедитесь, что ваш сайт не попадает под блокировки.
  • Для этого можно временно отключить TLS 1.3 и протестировать работу сайта. Если проблем не возникает, можно постепенно внедрять TLS 1.3 для части трафика.

Мониторинг блокировок:

  • Регулярно проверяйте, не блокируется ли ваш сайт в РФ. Для этого можно использовать сервисы мониторинга доступности, такие как GlobalCheck или RuBlackList.
  • Оптимальное решение для РФ:

Основная версия: TLS 1.2.

  • Дополнительно: TLS 1.3 (с осторожностью, если сайт не блокируется).
  • Отключить: TLS 1.0 и 1.1.

Этот подход обеспечит баланс между безопасностью, производительностью и доступностью вашего сайта для российской аудитории.

Итог

Для сайтов, ориентированных на РФ, важно учитывать местные особенности регулирования интернета. Использование TLS 1.2 в качестве основной версии поможет избежать блокировок и обеспечит стабильную работу сайта для вашей аудитории.

Администрирование 10 Мар 2025 41 Cloudflare

Назад к блогу