Trích nguyên văn hỗ trợ của supporter Cloudflare:

– Mình thấy bạn đang sử dụng Cloudflare nhưng vẫn chưa set up các tính năng tăng tốc và bảo mật cơ bản như WAF, Cache Rules, Page Rules, chống DDoS. Nếu như bạn có cần 1 buổi account review, câu hỏi nào hoặc cần chia sẻ thêm, mình rất vui được connect để trao đổi chi tiết.

– Để đặt tỷ lệ cache ổn định trên Cloudflare, bạn có thể tìm hiểu thêm các quy định về cache cũng như cách set up giúp bạn tăng tỷ lệ cache như Cache Rules, Page Rules, tính năng đặt chỗ Cache Reserve giúp bạn giảm thiểu egress fee trên server gốc.

– Bạn vẫn chưa set up WAF, chống DDoS, Rate Limiting trên Cloudflare. Đây là bộ core sản phẩm giúp bạn bảo mật tốt hơn. Bạn cũng chưa bật bộ lệnh Manage Rules để chống tấn công zero day, lỗ hổng bảo mật, các loại tấn công khác đã được Cloudflare set up sẵn.

– Bạn vẫn chưa bật các loại cảnh báo tấn công như HTTP DDoS Alert. Bạn có thể bật theo hướng dẫn tại đây để Cloudflare gửi thông báo qua email mỗi khi bị tấn công.

– Làm sao để chặn tấn công nhưng không chặn nhầm các loại bots tốt như Google Bots, SEO Bots? Cloudflare đã update các tính năng mới này trên dashboard cho phép bạn customize không chặn các loại bots tốt theo ý muốn của bạn. Không biết bạn có muốn đi qua các cách set up này không ạ?

– Bảo vệ static resource, bật chế độ chống bots xấu cho WordPress.

Dưới đây là một số hướng dẫn cụ thể để bạn bảo vệ, tăng tốc và tối ưu hóa website của mình (vui lòng click vào link để xem cách set up). Cloudflare hoạt động như một edge server đứng giữa origin server và request truy cập vào hệ thống của bạn. Ở vị trí này, Cloudflare có thể thiết lập các lệnh bảo mật (chống DDoS, WAF, bảo vệ API, quản lý bot) và tăng tốc (CDN, Argo Smart Routing, quản lý Cache), route traffic (Load Balancing).

Cloudflare hoạt động như vậy nhờ reverse proxy. Với reverse proxy, request sẽ phải đi qua Cloudflare trước khi vào server gốc. Chỉ cần traffic của bạn được route qua Cloudflare (Proxy mode), Cloudflare sẽ tự động bảo vệ khỏi DDoS, bots, các loại tấn công khác và cache tại mạng lưới CDN với 300+ PoP trên toàn thế giới và 4 PoP tại VN. Sau khi bật proxy mode, IP thực của origin cũng sẽ bị ẩn đi mà chỉ hiển thị IP của Cloudflare, giúp bạn chống được rất nhiều loại tấn công.

Với nguyên lý trên, toàn bộ traffic vào server gốc của bạn sẽ đến từ Cloudflare IP addresses. Hãy allow Cloudflare IPs tại đầu server gốc của bạn để tránh các cơ chế rate limiting hoặc block Cloudflare. Dưới đây là một số hướng dẫn bảo mật cơ bản:

– Đây là bộ core sản phẩm của Cloudflare giúp tự động bảo vệ bạn khỏi các loại tấn công. Các set up rất đơn giản, dễ hiểu, chỉ với 1 nút bật tắt. Cloudflare WAF có 2 cách set up chính: tự động và tuỳ chính. Các giải pháp bảo mật như WAF, DDoS, API protection, email security đã được Gartner và Forrester xếp hạng “leader”.

(1) Tự động – Managed rulesets: các bộ lệnh được Cloudflare thiết lập sẵn để bảo vệ các tấn công nguy hiểm như SQLi, Zero-day, top các loại tấn công mạng theo tổ chức OWASP, bảo vệ các thông tin nhạy cảm dễ bị lộ, tấn công đánh cắp tài khoản, mật mã…

(2) Tuỳ chỉnh (custmize): bạn cũng có thể tự điều chỉnh các lệnh phù hợp với tình hình, nhu cầu của bạn như:

• Custom rules: tạo các lệnh lọc request để kiểm soát traffic đến như block, allow hoặc challenge. Bạn có thể tùy chỉnh theo IP cụ thể, URI, quốc gia, hostname…
• Rate limiting: tạo giới hạn truy cập để chặn các request match các yêu cầu của lệnh, chống DDoS theo user agent, endpoint…

– Để set up các lệnh chính xác tránh các trường hợp false positive & false negative, Cloudflare còn có các thông tin thống kê Analytics, đặc biệt là log (theo dõi) giúp quản lý các thông tin thống kê tấn công, traffic đến giúp bạn điều chỉnh các lệnh bảo mật một cách tối ưu nhất.

– Bật Alerts – thông báo tường lửa để nhận được notification mỗi khi bị tấn công.

– Hiện tại, Cloudflare đã sử dụng công nghệ ngăn chặn tấn công, DDoS, bots mà KHÔNG cần CAPTCHA (tham khảo thêm tại đây).

Nếu bạn cần hỗ trợ thêm thì bạn có thể liên hệ mình tại Whatsapp/Zalo: +65 9799 6869. Telegram: hollynghiem.

Cám ơn bạn. Chúc bạn một ngày tốt lành.

Dưới đây là một số tài liệu hữu ích để bạn tham khảo:

• Bảng tổng hợp các tính năng tại đây.
• Update các thông tin mới nhất về Internet như danh sách bots, traffic, xu hướng tấn công, ranking website tại đây.
• Các tính năng về DNS, SSL/TLS certificate.
• Bảng giá các tính năng add-on (Rate Limiting, Argo Smart Routing…) tại đây.
• Tối ưu hóa tốc độ website tại đây.
• Cải thiện SEO của website tại đây.
• Bảo vệ server gốc tại đây.
• Cách fix các lỗi 10XXX, 1XXX 5XX tại đây.