Запустившись в частном порядке в 2010 году, команда Cloudflare первоначально работала с несколькими членами сообщества Honeypot. В середине следующего года они получили неожиданные новости. Помимо защиты от угроз, Cloudflare фактически увеличил скорость сайта — в среднем на треть.
Руководство по настройке Cloudflare
В этом руководстве разберёмся зачем нужен Cloudflare, как подключить его к сайту и как пользоваться основными функциями сервиса: управлять DNS-записями, установить SSL-сертификат, защититься от DDoS-атак, показывать всем посетителям CAPTCHA или заблокировать доступ к сайту на основе параметров вроде IP-адреса или геолокации.
Но сначала кратко введём в курс дела, если вы не знаете, как работает Cloudflare и что это вообще такое.
Что внутри
Cloudflare — это сеть серверов по всему миру, к которой люди подключают свои сайты, чтобы увеличить скорость их загрузки и защитить от DDoS-атак. Также при помощи этого сервиса можно управлять DNS-записями на домене и перевести сайт на HTTPS.
У Cloudflare есть бесплатный тариф и несколько платных. В зависимости от тарифа уровень защиты и возможности по ускорению сайта будут отличаться. В этом руководстве рассмотрим только то, что есть в бесплатном тарифе.
Далее коротко рассказано про то, что делает приложение в WARP режиме. Идет подключение к VPN. Компания обязуется собирать минимальное количество информации о пользователе. Нажимаем «Accept».
Как использовать Cloudflare DNS (1.1.1.1)
Для начала вам понадобится работающее подключение к интернету. Вы можете использовать Wi-Fi или Ethernet, но учтите, что изменение настроек DNS на одном не изменит их на другом. Вам нужно будет повторить процесс для каждого сетевого интерфейса (Wi-Fi, Ethernet), который вы планируете использовать.
Для любого устройства адрес основного DNS-сервера Cloudflare — 1.1.1.1, а 1.0.0.1 используется в качестве альтернативы избыточности..
Как настроить Cloudflare DNS в Windows
В демонстрационных целях это инструкции по настройке Cloudflare DNS в Windows 10, но другие версии Windows должны быть довольно похожими. Обратите внимание, что вы должны быть администратором на вашем компьютере, чтобы получить доступ к некоторым из этих настроек.
Повторите при необходимости для любых других адаптеров, которые вы используете, таких как Ethernet.
Как настроить Cloudflare DNS на Mac
В этом руководстве используется macOS High Sierra, но процесс должен быть более или менее одинаковым в других версиях OSX и macOS.
Как настроить Cloudflare DNS на Android
Смотрите: Как настроить Cloudflare DNS на Wi-Fi роутере
Android не очень хорошо работает с пользовательскими настройками DNS. Вам понадобится статический IP-адрес для использования пользовательских DNS-серверов, и по умолчанию большинство людей не используют статические IP-адреса. Вместо этого Cloudflare рекомендует настроить DNS-сервер на маршрутизаторе Wi-Fi, а не на самом устройстве..
Как настроить Cloudflare DNS на iOS (iPhone, iPad)
Эти инструкции основаны на iOS 11, но процесс должен быть похож на другие последние версии iOS.
Как настроить Cloudflare DNS на маршрутизаторе Wi-Fi
Настройка DNS Cloudflare на маршрутизаторе Wi-Fi повлияет на все подключенные к нему устройства, перенаправляя все их DNS-запросы на серверы CloudFlare вместо серверов вашего интернет-провайдера. Это может избавить вас от необходимости настройки каждого отдельного устройства в вашем доме, но помните, что эти устройства вернутся к настройкам по умолчанию, если вы подключитесь к другой сети.
Написание учебного пособия по настройке Cloudflare DNS на маршрутизаторе Wi-Fi проблематично, поскольку микропрограмма маршрутизатора не стандартизирована, то есть процесс будет зависеть от модели и производителя вашего маршрутизатора. Имея это в виду, мы сделаем все возможное, чтобы предложить несколько общих инструкций:
- При подключении к Интернету через маршрутизатор откройте браузер и перейдите на панель управления маршрутизатора. Обычно это делается путем ввода 192.168.0.1 или 192.168.1.1 в адресную строку вашего веб-браузера.
- Введите ваше имя пользователя и пароль. Если вы не уверены, укажите имя пользователя и пароль по умолчанию для вашей модели маршрутизатора, проверьте метки на внешней стороне маршрутизатора или обратитесь к своему провайдеру. Часто учетные данные по умолчанию являются чем-то простым, например «admin».
- В панели управления роутера найдите Настройки DNS. Вам может понадобиться просмотреть несколько разных меню, чтобы найти его в зависимости от прошивки вашего роутера.
- Замените текущие DNS-серверы следующим:
- IPv4 предпочтительнее: 1.1.1.1
- Альтернатива IPv4: 1.0.0.1
- IPv6 предпочтительнее: 2606: 4700: 4700 :: 1111
- Альтернатива IPv6: 2606: 4700: 4700 :: 1001
Cloudflare против Google DNS
Крупнейшим публичным поставщиком DNS в мире сейчас является Google. Cloudflare обещает быть быстрее и более приватным, чем Google DNS по ряду причин.
Давайте начнем со скорости. Практически все, что вы делаете в веб-браузере, начинается с запроса DNS, так что более быстрая служба DNS заметно уменьшит время загрузки страницы. Cloudflare может похвастаться тем, что тестировался быстрее, чем Google DNS и Cisco OpenDNS, согласно DNSPerf, независимому агентству мониторинга.
Когда речь заходит о конфиденциальности, Cloudflare заявляет, что никогда не будет регистрировать ваш IP-адрес, который можно использовать для идентификации вашего компьютера, смартфона или другого устройства, а также его приблизительного местоположения. Google регистрирует IP-адреса пользователей, но только временно.
Cloudflare поддерживает DNS через HTTPS и DNS через TLS, которые гарантируют, что запросы DNS зашифрованы и не могут быть прочитаны вашим интернет-провайдером или любой другой третьей стороной.
Cloudflare регистрирует DNS-запросы для диагностики и отладки, но эти запросы удаляются через 24 часа. Это важно для конфиденциальности, поскольку DNS-запросы могут использоваться для объединения истории посещенных страниц. Точно так же Google регистрирует запросы в течение 24-48 часов, прежде чем уничтожить их, но хранит неидентифицирующую информацию дольше.
Cloudflare действительно делится данными DNS-запросов с APNIC Labs, которая является частью APNIC реестра доменов в Азии. APNIC позволяет Cloudflare использовать сетевой адрес 1.1.1.1 в обмен на эти данные, которые, по его словам, будут использоваться в исследовательских целях. Эти цели включают лучшее понимание DNS и смягчение атак типа «отказ в обслуживании» (DoS)..
Кнопки «And» и «Or» справа нужны, чтобы указать несколько условий для одного правила. «And» подразумевает, что правило сработает, если запрос соответствует обоим условиям, а «Or» — что правило сработает, если запрос соответствует хотя бы одному условию.
Настройка DNS через HTTPS на Android или iPhone
Чтобы легко заблокировать отслеживание ISP на мобильных устройствах Android и iPhone — нужно установить Cloudflare на ваш смартфон. Большинство мобильных ОС могут предоставлять редактирование DNS вручную, к примеру на Android мы сможем прописать DNS только для WiFi, а для сети оператора нужны будут рутированные права, что не удобно. Если вы можете это сделать, то пропишите адреса указанные выше.
Включите переключатель, чтобы начать использовать зашифрованный DNS. После этого, все что выходит в Интернет, будет использовать службу DNS через HTTPS. Весь ваш трафик будет зашифрован, что обеспечит вам защиту от злоумышленников и хакеров.
Для начала вам понадобится работающее подключение к интернету. Вы можете использовать Wi-Fi или Ethernet, но учтите, что изменение настроек DNS на одном не изменит их на другом. Вам нужно будет повторить процесс для каждого сетевого интерфейса (Wi-Fi, Ethernet), который вы планируете использовать.
Как очистить кэш
На Cloudflare по умолчанию включено кэширование. Поэтому каждый раз, когда вы что-то меняете на сайте, нужно очищать кэш. Иначе пользователи не увидят изменения.
- Откройте раздел Caching.
- Перейдите на вкладку Configuration.
- Нажмите Custom Purge, если хотите очистить кэш выборочно.
- Нажмите Purge Everything, если хотите очистить весь кэш на серверах Cloudflare.
Чтобы автоматизировать очистку кэша, используйте режим разработки Cloudflare. Включить его можно в разделе Quick Actions на вкладке Overview.
В режиме Development Mode кэш отключается на три часа. Это удобно при проведении работ на сайте, чтобы изменения сразу отображались в браузере.
Как работать с DNS-записями
После переключения вы можете работать с DNS-записями через панель Cloudflare. Для этого перейдите в раздел DNS. Здесь размещена таблица со всеми записями вашего домена на серверах.
Чтобы добавить новую запись, нажмите Add record. В качестве примера создадим запись типа A для поддомена forum.
- Выберите тип записи A.
- В поле Name укажите хост на домене, для которого создаете запись. Если это запись для основного домена, впишите знак @. Если запись для поддомена, впишите сам поддомен, без имени домена.
- IPv4 address — адрес для привязки хоста. Поле меняет название в зависимости от типа записи. Но здесь всегда нужно указывать целевое назначение — домен, URL, текст.
- Proxy status — статус прокси Cloudflare. Proxied означает, что все запросы для этой записи сначала пройдут через Cloudflare. Благодаря этому будут работать все сервисы: SSL, CDN, защита от DDoS. DNS Only означает, что запросы пойдут в обход Cloudflare. Сервисы работать не будут.
- TTL — время жизни записи на роутере посетителя сайта в секундах. Чем больше число, тем дольше пользователю придется ждать, прежде чем он узнает об изменении DNS. Параметр меняется только при отключении прокси Cloudflare. По умолчанию он работает в режиме Auto.
Записи можно не только добавлять, но и редактировать и удалять. Это дает гибкость в настройке сайта. Более подробно по этой теме можно почитать в официальной документации.
Кроме того, распределенная система также выполняет функцию балансировки нагрузки. Размещая части вашего сайта на разных серверах, вы снижаете нагрузку на собственный веб-сервер. Это может увеличить число одновременных посетителей, поддерживаемых при сохранении того же уровня производительности.
DNS over HTTPs (DoH)
Как и следует из названия, общение идет поверх HTTPS-канала, что предполагает
- наличие точки приземления (endpoint) — он находится по адресу https://cloudflare-dns.com/dns-query, и
- клиента, который умеет отправлять запросы, и получать ответы.
Запросы могут быть либо в формате DNS Wireformat, определенном в RFC1035 (отправляться HTTP-методами POST и GET), либо в формате JSON (используется HTTP-метод GET). Лично для меня идея делать DNS-запросы через HTTP-запросы показалась неожиданной, однако рациональное зерно в ней есть: такой запрос пройдет многие системы фильтрации трафика, парсить ответы достаточно просто, а формировать запросы — ещё проще. За безопасность ответчают привычные библиотеки и протоколы.
Примеры запросов, прямо из документации:
GET-запрос в формате DNS Wireformat
POST-запрос в формате DNS Wireformat
То же, но с использованием JSON
Очевидно, что редкий (если вообще хоть один) домашний роутер умеет так работать с DNS, но это не означает, что поддержка не появится завтра — причем, что интересно, здесь мы вполне можем реализовать работу с DNS в своем приложении (как уже собирается сделать Mozilla, как раз на серверах Cloudflare).
DNS over TLS
По умолчанию, DNS запросы передаются без шифрованния. DNS over TLS — это способ отправлять их по защищенному соединению. Cloudflare поддерживает DNS over TLS на стандартном порту 853, как предписывается RFC7858. При этом используется сертификат, выписанный для хоста cloudflare-dns.com, поддерживаются TLS 1.2 и TLS 1.3.
Установление связи и работа по протоколу происходит примерно так:
- До установления соединения с DNS клиент сохраняет закодированный в base64 SHA256-хеш TLS-сертификата cloudflare-dns.com’s (называемый SPKI)
- DNS клиент устанавливает TCP соединение с cloudflare-dns.com:853
- DNS клиент инициирует процедуру TLS handshake
- В процессе TLS handshake, хост cloudflare-dns.com предъявляет свой TLS сертификат.
- Как только TLS соединение установлено, DNS клиент может отправлять DNS запросы поверх защищенного канала, что предотвращает подслушивание и подделку запросов и ответов.
- Все DNS запросы, отправляемые через TLS-соединение, должны соответствовать спецификации по отправке DNS поверх TCP.
Пример запроса через DNS over TLS:
Этот вариант, похоже, лучше подойдет для локальных DNS-серверов, обслуживающих нужды локальной сети либо одного пользователя. Правда, с поддержкой стандарта не очень хорошо, но — будем надеяться!
Кроме того, Cloudflare легко интегрируется с несколькими приложениями, от систем управления контентом до платформ электронной коммерции. Некоторые примеры включают WordPress, Magento и Google Cloud.
Приложение для компьютера и ноутбука
Наконец-то мы дождались, и компания CloudFlare выпустила приложение для компьютеров. Давайте его опробуем. Заходим на официальны сайт и скачиваем программу для своей платформы. Она доступна как для Windows, так и для macOS. Скачивания просто запускаем и устанавливаем приложение . После установки в трее вы увидите программу «Cloudflare WARP».
После запуска вам вылезет вот такое окошко, где говорится, что программа использует специальные соединения, чтобы ускорить путь запроса до выделенного сервера.
Далее коротко рассказано про то, что делает приложение в WARP режиме. Идет подключение к VPN. Компания обязуется собирать минимальное количество информации о пользователе. Нажимаем «Accept».
Далее останется просто перевести бегунок в состояние включено. Ура, мы запустили VPN! Работает все стабильно и без прерываний.
К сожалению, в моем случае мне не удалось протестировать реальную пользу данных DNS. Все из-за моего расположения. Но судя по отзывам у многих скорость реально подрастало на 10-15%. Уважаемые читатели, если у вас есть возможность, то напишите о ваших результатах использования мобильной версии программы в WARP и WARP+ режиме.
При использовании ДНС на компьютере также отклик больше. Но есть тесты других пользователей, у которых ping был куда ниже именно с этими серверами. Поэтому тут надо просто пробовать.
Если взглянуть на карту серверов компании Cloudflare, то можно убедиться, что преимущество за счет их DNS могут получить только жители в европейской части России. Но возможно в скором будущем сервера начнут открываться и во всех странах СНГ.
После настройки защищенного соединения убедитесь, что ваш сайт доступен только по HTTPS. Для этого специально введите в браузере адрес с HTTP. Если сайт открывается с HTTP, исправьте уязвимость.
Заключительные мысли: подходит ли Cloudflare для вас?
Для большинства из нас, когда мы думаем об Cloudflare, это просто CDN. Это означает, что это поможет вам ускорить ваш блог или даже повысить производительность вашего веб-сайта для малого бизнеса.
В связи с этим их владение одной из самых мощных глобальных сетей серверов кажется немного смехотворным. Это действительно необходимо? Чтобы ответить на этот вопрос просто — да. Именно масштаб этой сети делает ее сегодня жизнеспособным решением для такого количества веб-сайтов.
Также учтите тот факт, что многие владельцы небольших веб-сайтов могут бесплатно пользоваться своей сетью. Чтобы сделать это, он должен быть в состоянии предложить значительные услуги также и корпоративным клиентам, чтобы покрыть, так сказать, расходы.
Из-за этой бизнес-модели Cloudflare помогает владельцам небольших предприятий и компаниям предлагать им услуги, которые они иначе не могли бы себе позволить или оправдать. В конце концов, это бесплатно для многих.
Если смотреть на это более стратегически, это также решает проблему, которая стала намного более распространенной с течением времени. Интернет становится все более опасным местом. Не только для обычных браузеров, но особенно для владельцев сайтов.
Сочетая скорость, надежность и безопасность, я бы сказал, что пока Cloudflare действительно выполнила свое обещание. В поисках лучшего интернета.
Это делает это хорошо для всех.
Часто задаваемые вопросы
Cloudflare предлагает бесплатный уровень своего сервиса CDN без ограничений пропускной способности. Он также включает в себя различные сервисы, такие как элементарная защита ботов, HTTP / 2, бесплатный SSL и многое другое. Однако некоторые функции имеют ограничения, в то время как за другие придется платить.
Cloudflare Edge относится к концепции, которую они используют для доставки контента. Это влечет за собой приближение данных как можно ближе к точке доставки («край»). В результате снижается время прохождения сигнала в обоих направлениях и снижается пропускная способность веб-сайтов.
Сеть доставки контента — это использование нескольких связанных серверов для хранения данных в самых разных местах. Это помогает веб-сайтам обслуживать свои файлы быстрее и надежнее, тем самым улучшая пользовательский опыт своих посетителей.
Cloudflare поддерживает около 13% всех сайтов в настоящее время существует. Хотя список пользователей является исчерпывающим, он включает несколько крупных брендов, таких как Roche, ZenDesk, Mozilla, UpWork, 9GAG, US Xpress и другие.
В настоящее время существует довольно много провайдеров CND. Среди них следует отметить Akamai, StackPath и Sucuri. Каждый часто преследует свой собственный маркетинговый путь и смотрит на определенный потребительский сегмент. Akamai, например, более активно участвует в сегменте сверхвысокого трафика.
Нет. Есть и другие бесплатные поставщики услуг CDN. Одним из таких примеров является Amazon Cloudfront, который имеет бесплатный уровень обслуживания (в течение одного года). Однако следует отметить, что большинство других поставщиков бесплатных услуг обычно накладывают дополнительные ограничения.
О Тимоти Шим
Тимоти Шим — писатель, редактор и технический специалист. Начиная свою карьеру в области информационных технологий, он быстро нашел свой путь в печать и с тех пор работал с международными, региональными и отечественными изданиями в средствах массовой информации, включая ComputerWorld, PC.com, Business Today и The Asian Banker. Его опыт заключается в области технологий как с точки зрения потребителя, так и с точки зрения предприятия.