Cloudflare¶
Cloudflare防火墙¶
免费的Cloudflare防火墙可以设置5条规则:
- 根据IP信誉阻止请求
- 防火墙表达式 (not cf.client.bot and cf.threat_score gt 2)
- 执行操作: 质询(Captcha)
- 解释:
- cf.threat_score(威胁分数)表示从0到100的Cloudflare威胁评分,其中0表示低风险。大于10的值可能代表垃圾邮件发送者或机器人,大于40的值表示互联网上的不良行为者。一个常见的建议是质询分数高于10的请求并阻止分数高于50的请求。
- cf.client.bot(合法机器人爬虫)当数值为true,标识来自良好的机器人或爬虫的请求。
- 选择性防盗链
- 防火墙表达式 (not http.referer contains "wiki.lyricn.com")
- 执行操作: 阻止
- 解释:
- 引用方(http.referer)表示HTTP Referer请求头,其中包含链接到当前请求页面的网页地址。上述表达式的意思是,排除指定网站之外,其他网站的盗链均阻止。如果使用这个规则,需要在Scrape Shield应用程序中禁用热链接保护。
- 登陆保护
- 防火墙表达式 (not ip.src in {170.50.50.0/24} and lower(http.request.uri.path) contains "/wp-admin")
- 执行操作: 阻止
- 解释:
- 当客户端IP地址不在指定范围,并且请求的URI路径包含后台管理路径时候,阻止访问。
- 根据ASN调整规则
- 防火墙表达式 (ip.geoip.asnum in {37963 45090 55990} and not cf.client.bot)
- 执行操作: 质询(Captcha)
- 解释:
- ASN(ip.geoip.asnum)表示与客户端IP地址关联的自治系统 (Autonomous System) 编号。 上面的那条防火墙规则,可以屏蔽阿里云、腾讯云和华为云这三家云服务商的IP地址的访问,常言道,同行是冤家,使用阿里云、腾讯云和华为云来抓取你网站的,通常都不是善类,一般情况下都是恶意采集、恶意抓取、CC攻击和DDOS攻击等等,通过ASN屏蔽可以一次屏蔽数百万IP地址,非常高效。