Cloudflare – objašnjen

Cloudflare – objašnjen

Ažurirano: 21/02/2019.

Ovaj članak bavi se servisom Cloudflare. Šta je to, kako radi i na koji način se sajt može zaštititi pomoću njihovih servisa.


1. Šta je to Cloudflare?

U suštini to je servis koji se postavlja između hosting servera sajta i posetilaca. Pri tome može vršiti višestruku funkciju: DNS, CDN (obrnuti proksi) i zaštita od DDoS napada.

Nudi se više različitih nivoa usluga: od potpuno besplatnog, do “enterprise” koji košta preko više stotina američkih dolara mesečno. Pri tome je i besplatni nivo sasvim upotrebljiv za mnoge manje, srednje, pa čak i neke veće sajtove. Politika kompanije je da dozvoli ljudima besplatno testiranje servisa (istovremeno ih koristeći za testiranje samih servisa), znajući da će oni biti voljni da plate za još onoga što im se dopadne.

Primer ove politike cena: u članku o redirekcijama, objasnio sam podešavanje istih pomoću Cloudflare Pravila Stranica. Besplatan servis daje 3 Pravila Stranica, dok svakih dodatnih 5 košta 5$ mesečno.


2. Kako to radi?

Postoji velika mreža Cloudflare servera širom cele planete. Saobraćaj namenjen sajtu koji koristi ove usluge, obično bude prvo usmeren na (posetiocu) najbliži server.

Primer mape lokacija Cloudflare servera
Mapa lokacija Cloudflare servera
Izvor: Cloudflare Slika 1

Serveri sadrže kopiju statičkog sadržaja sajtova. Dok za ažuriranje dinamičkog sadržaja koriste brze linkove (skuplji paketi koriste specijalnu tehnologiju “Railgun“, koju je Cloudflare razvio uz pomoć nekoliko IS provajdera).

Da bi ovo sve radilo, tj. da bi se saobraćaj usmeravao uvek prvo na Cloudflare server, potrebno je, prilikom korištenja njihovih usluga, podesiti domen da koristi Cloudflare-ov DNS. Za uzvrat, pored keširanja i brzog DNS servisa, Cloudflare će vršiti i zaštitu od napada na sajt – praktično sakrivajući server iza svoje mreže.


3. Vrste usluga

Postoje četiri cenovna nivoa, a usluge svakog su skup svih usluga prethodnih nivoa, plus dodatne za taj nivou. Bez ulaženja u detalje, skuplji planovi nude: viši nivo DDoS i Firewall zaštite, bolje mogućnosti keširanja sadržaja, više prilagođavanja potrebama korisnika, kao i brži odgovor na pitanja u vezi tehničke podrške i sl. Mada je “Free” paket sasvim OK za početak, a kada Vam zatreba nešto više, znaćete i sami. Detaljnije o cenama i paketima usluga piše na sajtu Cloudflare-a.


4. Kako podesiti Cloudflare za jedan WordPress sajt

Ovo uputstvo podrazumeva da koristite SSL (mnogi hosting provajderi danas pružaju Let’s Encrypt besplatni SSL), što je svakako uputno. Sve opcije koje nisu napomenute treba ostaviti kakve su bile (po “default-u”).

Napravite nalog na Cloudflare.com i kliknite na dugme: “+ Add a Site”. Tada, nakon unošenja imena domena, dobićete dva nameservera koje treba uneti umesto postojećih na registraru domena. U zavisnosti od registrara koji koristite, sam meni može izgledati drugačije od slike 2:

Izmena nameservera, kako bi se koristili Cloudflare-ovi
Izmena nameservera, kako bi se koristili Cloudflare-ovi
Slika 2

Napravite pravila stranice za SSL i da se ne kešira prilikom administratorskog pristupa sajtu:

Pravilo za forsiranje https protokola (SSL/TLS enkripcije)
Pravilo za forsiranje https protokola (SSL/TLS enkripcije)
Slika 3

Naravno, “example.com” deo zameniti domenom Vašeg sajta.

Isključivanje keširanja za administratora
Isključivanje keširanja za administratora
Slika 4

Uvođenjem ova dva pravila, sprečava se da iko pristupi sajtu bez SSL enkripcije, kao i da se prilikom administriranja sajta uvek vidi aktuelna verzija sadržaja, bez ikakvog keširanja. Nakon toga, mogu se podesiti ostale opcije, redom, iz Cloudflare menija. Ovako sam ih ja podesio za svoj(e) sajt(ove):

Crypto podešavanja
Crypto podešavanja
Slika 5

U ovom meniju, ako sajt poseduje SSL sertifikat, uglavnom će raditi sa “Full (strict)” opcijom. Ako nema SSL sertifikata, ili taj sertifikat nije neki opšte priznat (i od strane Cloudflare-a), onda će opcija “Full” raditi, dok je “Flexible” za servere bez SSL-a (kada komunikacija od Cloudflare servera do hosting servera neće biti kriptovana). Detaljnije objašnjeno na Cloudflare podršci.

Ostale opcije koje ovde treba podesiti su, bez obrazlaganja zašto:

  • Always Use HTTPS: On
  • Authenticated Origin Pulls: On
  • Minimum TLS Version: TLS 1.1
  • Opportunistic Encryption: On
  • Onion Routing: On
  • TLS 1.3: Enabled+0RTT
  • Enable Universal SSL (osim ako se ne kupuje Cloudflare Dedicated SSL)

Firewall meni, opet ukratko:

  • Security Level: Medium
  • Challenge Passage: 1 day
  • Privacy Pass Support: On

Speed meni:

  • Auto Minify: sve otkačiti
  • Enable Accelerated Mobile Links: On
  • Brotli: On
  • Rocket Loader™: On

Caching meni:

  • Caching Level: Standard
  • Browser Cache Expiration: 16 days
  • Always Online™: On

Scrape Shield meni:

  • Hotlink protection: On


5. Moje iskustvo

Od leta 2018. godine bikegremlin.com koristi Cloudflare. Za sada lepo služi. Primećujem za nijansu bolje prosečno vreme otvaranja stranica i manje opterećenje servera kada se koristi Cloudflare. Ozbiljnijih napada za sad nisam imao, ali računam da i dodatni nivo zaštite sigurno nije na odmet. Slike 6 i 7 prikazuju neke statistike od prošlog meseca:

Mesečna ušteda protoka bikegremlin.com zbog Cloudflare keširanja
Mesečna ušteda protoka bikegremlin.com zbog Cloudflare keširanja
Slika 6
Mesečna statistika blokiranih pokušaja napada
Mesečna statistika blokiranih pokušaja napada
Slika 7

Komentiraj

Ova web-stranica koristi Akismet za zaštitu protiv spama. Saznajte kako se obrađuju podaci komentara.