在开始配置防火墙规则之前,请先前往 防火墙-设置 下,将Privacy Pass支持关闭,以避免一种绕过质询的可能(尽管如此,免费版的CAPTCHA依然存在可绕过的方式,所以在较严重的情况下应适当选择阻止部分访问)。
防火墙规则优先级
自上到下,最上面的优先级最高
防火墙条数
免费版的是5条
通用规则:根据IP信誉阻止请求
防火墙表达式(not cf.client.bot and cf.threat_score gt 2)执行操作
质询(Captcha)
解释:
cf.threat_score(威胁分数)表示从0到100的Cloudflare威胁评分,其中0表示低风险。大于10的值可能代表垃圾邮件发送者或机器人,大于40的值表示互联网上的不良行为者。一个常见的建议是质询分数高于10的请求并阻止分数高于50的请求。
cf.client.bot(合法机器人爬虫)当数值为true,标识来自良好的机器人或爬虫的请求。
通用规则:选择性防盗链
防火墙表达式(not http.referer contains "williamlong.info")
执行操作
阻止
解释:引用方(http.referer)表示HTTP Referer请求头,其中包含链接到当前请求页面的网页地址。上述表达式的意思是,排除指定网站之外,其他网站的盗链均阻止。如果使用这个规则,需要在Scrape Shield应用程序中禁用热链接保护。
通用规则:登陆保护
防火墙表达式(not ip.src in {202.96.134.0/24} and http.request.uri.path contains "/wp-admin")
执行操作
阻止
解释:当客户端IP地址不在指定访问,并且请求的URI路径包含后台管理路径时候,阻止访问。
通用规则:根据ASN调整规则
防火墙表达式(ip.geoip.asnum in {37963 45090 55990} and not cf.client.bot)
执行操作
质询(Captcha)
解释:ASN(ip.geoip.asnum)表示与客户端IP地址关联的自治系统 (Autonomous System) 编号。上面的那条防火墙规则,可以屏蔽阿里云、腾讯云和华为云这三家云服务商的IP地址的访问,常言道,同行是冤家,使用阿里云、腾讯云和华为云来抓取你网站的,通常都不是善类,一般情况下都是恶意采集、恶意抓取、CC攻击和DDOS攻击等等,通过ASN屏蔽可以一次屏蔽数百万IP地址,非常高效。
挑战解决率 (CSR)可以评估每个防火墙规则的优劣,这个指标的含义是指被解决了发出挑战的百分比,公式为CSR=解决的挑战数量/发出的挑战数量,这个数值越低越好。将鼠标悬停在CSR上可以显示已发布和解决的CAPTCHA挑战的数量。
越低的CSR意味着越少向实际人类发出CAPTCHA挑战,降低CSR是防火墙规则的目标,应该不断调整防火墙规则来降低CSR数值。当CSR比率为0%的时候,意味着全部请求都是非人类发出的,这时候可以考虑将规则操作更改为阻止(Block)。
通用规则:对特定地域的访问者进行询问
防火墙表达式(ip.geoip.country in {"UA" "RU"})
执行操作
质询(Captcha)
解释:因为俄罗斯和乌克兰的垃圾留言非常多所以,对这两个地区的访问者进行询问
参考文档:https://www.2dan.cc/archives/cloudflare-rule.html
http://k.sina.com.cn/article_1494759712_5918392002000veom.html
评论 (0)