- Web 入口开启代理,SSL/TLS 用 Full (strict),让请求先到 Cloudflare,源站也走 HTTPS。
- 源站限制直连。源站 IP 暴露时,攻击可以绕过 Cloudflare。
- 静态内容缓存,动态和登录态内容按路径处理,减少源站和 Worker 压力。
- 登录、评论、表单、上传、搜索加 WAF、限流和 Turnstile,写入口最容易出现滥用。
- 后台、预览环境、内网工具走 Access / Tunnel,管理入口通过身份或内网入口访问。
- 密钥放在 Worker secrets 或 Secrets Store,访问凭证、数据库凭证、第三方密钥不进入仓库。
- 每周看安全巡检和安全事件,规则调整要靠证据。
按风险入口选产品
Section titled “按风险入口选产品”| 风险入口 | 首选方案 | 升级信号 |
|---|---|---|
| 评论、留言、表单垃圾提交 | Turnstile + 服务端验证 + 限流。 | 垃圾提交穿透、正常用户被卡或需要审核流程。 |
| 凭证填充攻击 | 限流、挑战验证、必要时 Turnstile。 | 需要更细的自动化流量判断、设备策略和更长日志。 |
| 搜索接口被刷 | 静态索引优先,动态搜索限频和缓存。 | 查询成本明显上升。 |
| 上传接口被打 | 登录态、短期上传凭证、文件大小/类型校验。 | R2 成本异常或需要异步扫描。 |
| 接口被乱打 | 认证、限流、请求格式校验、最少日志。 | 接口成为主要资产后评估 API Shield。 |
| 后台暴露公网 | Access + Tunnel。 | 团队设备策略、Gateway、长期审计。 |
| AI 爬虫抓取过重 | robots.txt、AI Crawl Control、必要时拦截。 | 需要内容授权或更细的自动化流量策略。 |
- 不要只开 Cloudflare,却不保护源站。源站防火墙只允许 Cloudflare IP 段和可信运维入口。
- 不要长期使用 Flexible SSL,目标设为 Full (strict)。
- Turnstile 不能只放前端,服务端要调用 Siteverify,并校验动作、域名和验证状态。
- WAF 规则不要越写越多,优先使用托管规则,再给高风险路径加少量规则。
- Tunnel 发布后不会自动私有,后台和内网工具要配 Access 应用。
- 接口保护不要只看高级产品,认证、权限、请求格式和限流先到位。
- Bot 问题先识别路径和行为,再分层处理。
- 密钥不要写进配置或前端,单项目用 Worker secrets,多项目共享再看 Secrets Store。