Особенности Cloudflare
Cloudflare — прокси-сервис, предоставляющий услуги по защите сайтов и ускорению их работы. Веб-трафик к сайтам пропускается через сеть Cloudflare. Интеграция позволяет Пользователям из ISPmanager работать с функциональностью бесплатной версии Cloudflare.
Основные возможности бесплатной версии Cloudflare:
- уменьшает время загрузки сайта;
- проверяет пользователей, отправляющих запросы к сайту. Например, их IP-адреса, запрашиваемые ресурсы, частоту запросов и т.д. Таким образом Cloudflare защищает веб-сайты от различных угроз, позволяет снизить нагрузку на сайты;
- в случаях, когда сервер с сайтом недоступен, обеспечивает доступ к нему за счёт статической копии из кэша Cloudflare;
- предоставляет статистику использования Cloudflare для домена.
Подробнее см. на официальном сайте.
Генерация Api Token
Чтобы создать Api Token в Cloudflare, необходимо создать учетную запись. Если учетная запись уже имеется, необходимо авторизоваться
- Создайте учетную запись и авторизуйтесь на Cloudflare.
- Нажмите на My Profile.
- Выберите вкладку API Tokens.
- В открывшейся форме нажмите на кнопку Create Token
- Внизу списка шаблонов нажмите Get Started напротив Create Custom Token.
- Задайте название для токена в поле Token name и добавьте необходимые разрешения.
- После добавления всего необходимого внизу нажмите Continue to summary.
- Откроется форма с описанием всех добавленных разрешений для токена.
- Если все верно добавлено, нажмите на кнопку Create Token, в противном случае нажмите Edit token и дополните разрешения.
- После нажатия на кнопку Create Token откроется страница с готовым для использования токеном.
Разрешения
Для корректной работы функций плагина Cloudflare, выберите следующие разрешения.
- Account, Account Firewall Access Rules, Read
- Zone, Cache Rules, Edit
- Zone, Zone Settings, Read, Edit
- Zone, Zone DNS, Read, Edit
- Zone, Zone, Edit
- Zone, Cache Purge, Purge
- Zone, Firewall Services, Read, Edit
Подключение домена к Cloudflare
Чтобы подключить домен к Cloudflare:
- Войдите в ISPmanager под Пользователем.
- Перейдите в Сайты → Cloudflare.
- При первом входе зарегистрируйте аккаунт в Cloudflare или укажите существующий токен.
- Перейдите в Сайты → Cloudflare → выберите из списка домен для подключения → Добавить.
Обратите внимание!
К Cloudflare можно подключить только доменные зоны второго уровня. - Выберите Тип подключения:
- Полное — доменная зона полностью подключается к Cloudflare.
- Частичное — к Cloudflare выборочно подключаются поддомены. Укажите ресурсную CNAME-запись для Cloudflare. Она нужна для перенаправления запросов на один из IP-адресов подключаемой доменной зоны. Укажите Псевдонимы WWW-домена через пробел. По умолчанию включает псевдонимы, добавленные в ISPmanager.
- Нажмите Ok.
- Состояние подключения в Сайты → Cloudflare → столбец Статус изменится на "Идёт процедура подключения домена к Cloudflare". Как правило, подключение занимает несколько минут. Информация о состоянии подключения автоматически обновляется каждые полчаса. Нажмите Обновить, чтобы сделать это вручную. Изменения состояния записываются в Журнал событий. На последнем этапе подключения в журнале появится запись "Для завершения интеграции с Cloudflare измените NS записи доменной зоны", в которой будут NS-серверы Cloudflare. Укажите их в ресурсных NS-записях у регистратора доменной зоны.
- Когда информация у регистратора обновится, состояние подключения изменится на "Домен подключен к Cloudflare". Функции Cloudflare станут доступными для домена. В Cloudflare отправляются первоначальные настройки домена в зависимости от его конфигурации и конфигурации сервера:
- Автоматический редирект HTTPS;
- Поддержка IPv6;
- HSTS;
- SSL;
- TLS 1.3.
Настройка индивидуальных правил Cloudflare для страниц сайта
Для страниц веб-сайта можно настроить индивидуальные правила в Cloudflare. Они будут выполняться даже в том случае, если противоречат общим настройкам доменной зоны.
Обратите внимание!
Бесплатная лицензия Cloudflare позволяет создать только три набора правил. Для одной страницы можно создать только один набор.
Чтобы создать правило для страницы:
- Войдите в ISPmanager под Пользователем.
- Убедитесь, что домен подключён к Cloudflare.
- Перейдите в Сайты → Cloudflare → Правила страниц → Создать.
- Укажите Адрес страницы, для которой создаётся правило.
- Чтобы настроить перенаправление на другую страницу:
- Включите опцию Перенаправление.
- Укажите Адрес назначения.
- Выберите Код возврата.
- Чтобы настроить перенаправление на защищённый протокол, включите опцию HTTPS.
Обратите внимание!
Указать настройки для страницы можно, только если отключены опции Перенаправление и HTTPS. - Чтобы при попытке открыть сайт по незащищённому соединению принудительно открывалось защищённое соединение, включите опцию Автоматический редирект HTTPS.
- В поле TTL браузера выберите время, в течение которого кэшированные файлы будут оставаться в кэше браузеров пользователей. Время указывается в секундах.
- Чтобы Cloudflare определял запросы с HTTP-заголовками, которые обычно используют спамеры, боты и сканеры, и блокировал их, включите опцию Проверка целостности браузера. К ним относятся, например, запросы с отсутствующим или нестандартным клиентским приложением (User agent).
- Выберите Уровень кэширования содержимого страницы:
- Не кэшировать — кэширование не выполняется;
- Без параметров запроса — данные кэшируются только тогда, когда строка запроса отсутствует;
- Игнорировать параметры запроса — вне зависимости от строки запроса используются одни и те же кэшированные данные;
- С параметрами запроса — для каждой новой строки запроса кэшируются новые данные;
- Кэшировать все — кэшируются все данные.
- Выберите функции, которые будут деактивированы для страницы, в поле Отключить функции:
- Защита — отключает обфускацию почтового ящика (Email Obfuscation), SSE (Server Side Excludes), брандмауэр веб-приложений (WAF), ограничение скорости (Rate Limiting), защиту от атаки Web scraping (Scrape Shield);
- Улучшение производительности — отключает Минимизацию (Minification), Ракетный загрузчик (Rocket Loader), Мираж (Mirage), Полировку (Polish);
- Приложения — отключает все приложения Cloudflare.
- Чтобы скрыть почтовые адреса на страницах защищаемого сайта от ботов, включите опцию Обфускация почтового ящика. При этом для пользователей не производится никаких видимых изменений.
- Выберите Уровень безопасности. Он определяет, какие пользователи считаются подозрительными:
- Не установлено — проверка пользователей отключена;
- Режим атаки — уровень безопасности, который стоит использовать, только если веб-сайт находится под DDoS-атакой;
- Высокий — проверяются все пользователи, проявившие подозрительное поведение в течение последних 14 дней;
- Средний — проверяются только пользователи, представляющие опасную или умеренную угрозу;
- Низкий — проверяются только пользователи, представляющие очень опасную угрозу;
- Выключено — проверяются только пользователи, представляющие критическую угрозу.
- Если нужно скрыть определённый контент от подозрительных пользователей, включите опцию SSE и поместите этот контент в теги
. Например:
Скрытый контент
<!--sse-->Скрытый контент<!--/sse--> - Чтобы настроить защищённое соединение для сайта, выберите тип SSL-сертификата для домена:
- Отключено — сайт недоступен по защищённому протоколу HTTPS. Включается перенаправление с HTTPS на HTTP;
- Самоподписанный — сервер с веб-сайтом поддерживает HTTPS, но установленный сертификат не соответствует домену или является самоподписанным;
- Гибкий — посетители могут получать доступ к сайту по HTTPS, но запросы к серверу с веб-сайтом будут отправляться по HTTP-протоколу;
- Существующий — на сервере с веб-сайтом установлен сертификат, действующий и подписанный доверенным удостоверяющим центром или удостоверяющим центром Cloudflare. Cloudflare будет обеспечивать доступ по HTTPS и проверять при каждом запросе сертификат.
- Нажмите Ok. При подтверждении настройки сохраняются в Cloudflare.
Настройка брандмауэра Cloudflare для домена
Брандмауэр позволяет ограничивать доступ пользователей к доменной зоне в соответствии с правилами. Чтобы создать новое правило:
- Войдите в ISPmanager под Пользователем.
- Перейдите в Сайты → Cloudflare → Брандмауэр.
- Выберите параметр, который будет проверять брандмауэр, в поле Тип источника:
- IP или диапазон IP — Cloudflare будет проверять IP-адрес пользователя. В поле Адрес источника укажите IP-адрес или диапазон адресов в формате "<адрес сети>/<префикс маски сети>". Поддерживаются префиксы "/16" и "/24" для IPv4-адресов, "/64", "/48" и "/32" для IPv6-адресов;
- Страна — Cloudflare будет проверять страну пользователя. В поле Адрес источника укажите код страны. Список кодов стран см. на сайте Cloudflare.
- Если параметр пользователя совпадает или входит в диапазон, указанный в поле Адрес источника, то выполняется Действие:
- Разрешить — пользователь всегда будет иметь доступ к защищаемому веб-сайту;
- Проверка — прежде чем пользователь сможет получить доступ к веб-сайту, ему необходимо пройти проверку CAPTCHA;
- JS-проверка — в течение пяти секунд Cloudflare определяет, является ли браузер пользователя реальным. Для проверки он отправляет математическую задачу, которая требует немного времени для вычисления. В случае успешного ответа Cloudflare запомнит браузер и разрешит доступ пользователю;
- Запретить — пользователь никогда не будет иметь доступ к защищаемому веб-сайту.
- Если нужно, укажите Комментарий к правилу. Он отображается в списке правил → столбец Комментарий.
- Нажмите Ok. При подтверждении настройки сохраняются в Cloudflare.
Управление ресурсными DNS-записями домена в Cloudflare
Ресурсные записи содержат служебную информацию о доменной зоне. Cloudflare управляет записями A, AAAA, NS, MX, TXT, SRV, CNAME.
Чтобы создать ресурсную запись для доменной зоны в Cloudflare:
- Перейдите в Сайты → Cloudflare → DNS-записи → Создать.
- Укажите Имя поддомена доменной зоны, для которого будет создана запись.
- Укажите TTL — время жизни ресурсной записи, т. е. время, в течение которого данные о ресурсной записи можно хранить в кэше. Указывается в секундах.
- Выберите Тип ресурсной записи.
- Укажите нужные данные для записи выбранного типа.
- Нажмите Ok. При подтверждении настройки сохраняются в Cloudflare.
A-запись
A-запись определяет IPv4-адрес, который соответствует доменному имени. Укажите IP-адрес. Активируйте опцию Включить проксирование, чтобы трафик для домена, указанного в ресурсной записи, направлялся через Cloudflare.
AAAA-запись
AAAA-запись определяет IPv6-адрес, который соответствует доменному имени. Укажите IP-адрес. Активируйте опцию Включить проксирование, чтобы трафик для домена, указанного в ресурсной записи, направлялся через Cloudflare.
NS-запись
NS-запись — доменное имя уполномоченного DNS-сервера для домена. Может содержать несколько серверов, в том числе первичный (master). Укажите Домен DNS-сервера.
MX-запись
MX-запись — определяет адрес почтового шлюза для домена и его приоритет. MX-запись используется для маршрутизации почты в сети. Укажите Домен — поддомен доменной зоны, который является почтовым шлюзом. Укажите Приоритет — число, чем оно больше, тем ниже приоритет.
TXT-запись
TXT-запись — текстовая строка. TXT-записи используются только некоторыми протоколами, для которых это необходимо. Укажите необходимую информацию в Значение.
SRV-запись
SRV-запись — определяет имя хоста и порт сервера домена. Позволяет использовать несколько серверов для одного домена. SRV-записи используются только некоторыми протоколами, для которых это необходимо. Например, протоколы SIP и XMPP.
Укажите Домен, к которому относится ресурсная запись.
Укажите Приоритет (priority) и Вес (weight) сервера. Приоритет — число, чем оно больше, тем меньше приоритет. Клиент сперва пытается подключиться к наиболее приоритетному серверу. Если он недоступен, то к следующему по приоритету и т. д. Если у серверов одинаковый приоритет, то первым будет отправлен запрос к серверу, который имеет больший вес. Если с определённым значением приоритета только один сервер, то для него вес должен быть указан равным 0.
Укажите Порт (port) сервера, на который будет отправлен запрос.
CNAME-запись
CNAME-запись определяет каноническое имя для псевдонима. Используется, чтобы перенаправить запрос к доменному имени-псевдониму. Доменное имя-псевдоним не должно иметь других ресурсных записей. Укажите Домен, на который будет перенаправляться запрос. Активируйте опцию Включить проксирование, чтобы трафик для домена, указанного в ресурсной записи, направлялся через Cloudflare.
Настройка оптимизации и защиты домена с помощью Cloudflare
Чтобы настроить домен в Cloudflare:
- Войдите в ISPmanager под Пользователем.
- Убедитесь, что домен подключён к Cloudflare. Подробнее см. в статье Подключение домена к Cloudflare.
- Перейдите в Сайты → Cloudflare → Настройки. При открытии формы загружаются настройки домена из Cloudflare.
- Выберите Уровень безопасности. Он определяет, какие пользователи считаются подозрительными:
- Не установлено — проверка пользователей отключена;
- Режим атаки — уровень безопасности, который стоит использовать, только если веб-сайт находится под DDoS-атакой;
- Высокий — проверяются все пользователи, проявившие подозрительное поведение в течение последних 14 дней;
- Средний — проверяются только пользователи, представляющие опасную или умеренную угрозу;
- Низкий — проверяются только пользователи, представляющие очень опасную угрозу;
- Выключено — проверяются только пользователи, представляющие критическую угрозу.
- Укажите Время доступа (сек.) к защищаемому веб-сайту для пользователей с плохой IP-репутацией, которые прошли проверку. Когда время доступа истечёт, им снова потребуется пройти проверку.
- Чтобы уменьшить размер кэшированных файлов сайта, выберите в поле Минимизирование форматы файлов, в которых будут удаляться ненужные символы.
- Чтобы настроить защищённое соединение для сайта, выберите тип SSL-сертификата для домена:
- Отключено — сайт недоступен по защищённому протоколу HTTPS. Включается перенаправление с HTTPS на HTTP;
- Самоподписанный — сервер с веб-сайтом поддерживает HTTPS, но установленный сертификат не соответствует домену или является самоподписанным;
- Гибкий — посетители могут получать доступ к сайту по HTTPS, но запросы к серверу с веб-сайтом будут отправляться по HTTP-протоколу;
- Существующий — на сервере с веб-сайтом установлен сертификат, действующий и подписанный доверенным удостоверяющим центром или удостоверяющим центром Cloudflare. Cloudflare будет обеспечивать доступ по HTTPS и проверять при каждом запросе сертификат.
- Чтобы при попытке открыть сайт по незащищённому соединению принудительно открывалось защищённое соединение:
- включите опцию Автоматический редирект HTTPS;
- включите опцию HSTS. Такое перенаправление срабатывает, только если браузер пользователя уже подключался к сайту по защищённому соединению и запомнил это. Укажите Время (сек.), в течение которого HSTS кэшируется и принудительно применяется веб-браузером. Чтобы применить политику HSTS к поддоменам, активируйте опцию Включить поддомены. Включите опцию No sniff, чтобы добавлять в заголовок опцию “X-Content-Type-Options: nosniff”. Она позволяет предотвратить динамическое определение MIME-контента средствами Internet Explorer и Google Chrome.
- Чтобы загружать в Cloudflare изменения ресурсных записей доменной зоны, выполненные в ISPmanager, включите опцию Загружать DNS-записи.
- Чтобы автоматически перенаправлять пользователей с мобильными устройствами на страницу поддомена, которая оптимизирована для мобильных устройств, включите опцию Мобильное перенаправление. Укажите Псевдоним для перенаправления — поддомен доменной зоны, на котором расположены страницы веб-сайта, оптимизированные для мобильных устройств. Чтобы перенаправление всегда выполнялось на главную страницу сайта, включите опцию Перенаправлять на главную.
- Чтобы временно отключить перенаправление всех запросов к веб-сайту в сеть Cloudflare, включите опцию Режим разработчика. Это позволяет проверить все изменения на сайте, прежде чем кэшировать их. Режим разработчика автоматически отключается через три часа после его включения.
- Чтобы скрыть почтовые адреса на страницах защищаемого сайта от ботов, включите опцию Обфускация почтового ящика. При этом для пользователей не производится никаких видимых изменений.
- Чтобы запретить использование изображений с вашего сайта на других сайтах, включите опцию Защита хотлинков. Это позволяет предотвратить снижение пропускной способности из-за ссылок на таких сайтах, как Google Images, Pinterest и т. д. Поддерживаются форматы изображений: gif, ico, jpg, jpeg, png.
- Чтобы использовать TLS-протокол версии 1.3 для доступа к сайту включите опцию TLS 1.3. Это наиболее защищённый протокол, но он может не поддерживаться старыми версиями браузеров. При включении опции будет использоваться только тогда, когда браузер клиента его поддерживает.
- Если нужно скрыть определённый контент от подозрительных пользователей, включите опцию SSE и поместите этот контент в теги. Например:
Скрытый контент
<!--sse-->Скрытый контент<!--/sse--> - Если домен работает по IPv6-адресу, включите опцию Поддержка IPv6.
- Нажмите Ok. При подтверждении настройки домена сохраняются в Cloudflare.