Cloudflare

«Cloudflare» – известная компания, предоставляющая услуги в области обратного проксирования для веб-ресурсов, DNS-серверов, CDN (географически распределенная сеть, предназначенная для ускорения передачи потоков информации конечному потребителю), а также защиту от различных угроз информационной безопасности. Штаб-квартира фирмы расположена в Соединенных Штатах, город Сан-Франциско. «Cloudflare» предоставляет свои услуги пользователям (владельцам сайтов) со всего мира.

Обратный прокси-сервер принимает запросы интернет-пользователей от имени основного сервера, по определенному алгоритму производит анализ пакета и, в случае отсутствия аномалий и «запрещенных пакетных данных», перенаправляет рабочей машине. Использование подобной технологии проксирования позволяет защитить рабочий сервер от различных видов DDOS-атак (с помощью сети «ботнет», HTTP/HTTPS GET-флуда, HTTP/HTTPS POST-флуда, SYN-флуда и прочих), равномерно распределять путем балансирования входящую нагрузку между несколькими веб-серверами, ускоряя, тем самым, обработку запросов. А самое главное, обратное проксирование скрывает реальные серверные конфигурации, что усложняет процесс атак со стороны злоумышленников.

Структурно принцип работы подобного сервера можно изобразить на схеме, представленной на рисунке ниже.

 

В первом варианте, обратный прокси выполняет защиту и взаимодействует с одним реальным веб-сервером, а во втором – добавляется функция маршрутизации, характерная для крупных веб-проектов, в результате которой входящие запросы распределяются на группу серверов.

Если Вы хотите подключить обратное проксирование к своему сайту, можно воспользоваться подобной услугой от «Cloudflare». Подключение бесплатное. Достаточно перенести свой домен на их DNS-сервера, подключить ssl сертификат, активировать редирект с http на https, включить файервол топологического уровня L7, обеспечивающий защиту от DOS/DDOS-атак.

Отдельно можно подключить кэширование и сжатие кода со стороны обратного-прокси сервера «Cloudflare». Ведётся постоянное «логирование» трафика, данных о том, с каких IP-адресов велись посещения сайта. Вышеуказанную информацию можно всегда посмотреть в панели администрирования сервиса.

Технология кэширования «Cloudflare» тесно завязана на использование CDN, общий принцип которой представлен на схеме ниже.

 

Услуги от «Cloudflare» не лишены недостатков для своих пользователей

Во-первых, подключение своего сайта к их серверам добавляет дополнительную централизацию и делает его зависимым. Было не мало случаев, когда какая-либо аварийная ситуация выводила из строя веб-ресурсы миллионов абонентов «Cloudflare». Это, в свою очередь, принесло существенные финансовые потери, так как владельцы сайтов и мобильных приложений какое-то время не могли принимать платежи и выполнять свои функции, несли убытки. Среди пострадавших были и серьёзные клиенты, например, такие как «Discord» и «Twitch».  При возникновении аварийных ситуаций часто бывает задета DNS-служба, что делает невозможным быстрое и легкое отключение от «Cloudflare».

Во-вторых, встроенный «Firewall» вместе с потенциально опасными пользователями интернета и/или ботами может отсекать и полезный для сайта трафик. Достаточно всего лишь иметь общую подсеть, чтоб попасть под действие алгоритмов по выявлению «недоброжелателей». 

В-третьих, SSL-сертификат теряет своё прямое назначение, так как на стороне «Cloudflare» происходит расшифровка передаваемых данных. Говоря простым языком, запросы, идущие по https-протоколу, попадая на обратный прокси-сервер расшифровываются. Далее потоки информации анализируются и затем повторно шифруются уже другим ключом шифрования. Следуя в обратном порядке (от реального сервера), поток информационных данных обрабатывается аналогичным образом. Следовательно, все идущие пакеты «прослушиваются».

Владельцы сайтов и мобильных приложений на территории РФ, решивших воспользоваться услугами «Cloudflare», могут столкнуться с ещё одной проблемой, а именно блокировка со стороны органа государственной структуры – «Роскомнадзора». На это есть несколько причин:

 

• сервера для обратного проксирования располагаются не на территории РФ;
• несоблюдение некоторых законодательных требований (например, «закон Яровой»);
• блокировка всей подсети IP-адресов (подобное случалось при попытке «Роскомнадзора» заблокировать «Телеграм», в результате чего под «блок» попадали веб-сайты и ресурсы, не имеющие даже близкого отношения к данному мессенджеру).

 

Подобные недостатки подразумевают наличие альтернатив использования «Cloudflare». Функции обратного проксирования, кэширования и сжатия данных, защиты от DOS/DDOS-атак можно реализовать и другими способами.

Начать стоит с подключения SSL-сертификата и работе через протокол https, настроив редирект http/https. Компания «Cloudflare», как правило, предлагает использовать бесплатный сертификат с лицензией «Let’s Encrypt», который действует 4 месяца, но, при использовании опции автоматического обновления/автопродления, срок можно сделать неограниченным. При всех особенностях данный некоммерческий сертификат не даёт высокого уровня надежности и защиты, поэтому рекомендуется в своих проектах обратить внимание на более профильные коммерческие варианты, обеспечивающие более полную защиту.

Функцию обратного проксирования можно реализовать, как на своем собственном сервере, так и на сторонних с использованием технологий «VDS/VPS». Достаточно обратиться к системному администратору или в поддержку хостинг-провайдера. Часто используют связки «Nginx–Apache», «Nginx–phpfpm», «Nginx–Gjango» и т.п. Подбор веб-серверов зависит от конкретной конфигурации интернет-проекта.

Многие хостинг-провайдеры предлагают дополнительные услуги по защите от DOS/DDOS-атак на уровне L7 (веб-приложения). Если возникает необходимость в обеспечении безопасности проекта от подобных угроз, можно рассмотреть варианты с использованием данной опции.

«Cloudflare», как и многие другие аналогичные серверы, имеют свои достоинства и недостатки. Что выбрать?! Решать Вам. Часто ситуация индивидуальна и зависит от масштабности реализации и продвижения проекта.

Поэтому, чтобы должным и надежным образом обеспечить информационную безопасность (обратное проксирование, настройка DNS-серверов, настройка CDN, ускорение передачи информационных потоков, защиту от различных виртуальных угроз и другие меры) рекомендуем проконсультироваться по принимаемым мерам с компетентным специалистом или компанией в данной области.

 

Защита от спам-атак на сайте.

По вопросам защиты сайта +79038443000 или in**@******io.ru