下面给你一套Cloudflare 防劫持“实战级配置方案”,目标是把常见的 DNS 劫持、流量劫持、引流劫持、机房/中间人攻击,基本挡掉 90%~99%。
我按“从基础到进阶”一步步给你讲,尽量做到你可以直接照做。
一、Cloudflare 为什么能防劫持?
先理解核心原理👇
👉 Cloudflare 的本质是:
把你的网站“前置到全球边缘节点”,让用户不再直接访问你的服务器
结构变成:
用户 → Cloudflare边缘节点 → 你的服务器
🔥 关键变化:
| 传统模式 | Cloudflare模式 |
|---|---|
| 用户直连服务器 | 先到CF再回源 |
| DNS暴露真实IP | 隐藏源站IP |
| 流量可被运营商改 | 进CF加密通道 |
| 容易被劫持 | 只能劫CF |
二、第一层防护:DNS劫持防御(基础但关键)
✅ 1. 使用 Cloudflare DNS 托管
把域名 NS 改成:
xxxx.ns.cloudflare.com xxxx.ns.cloudflare.com
👉 作用:
DNS解析由Cloudflare控制
防止运营商篡改解析结果
✅ 2. 开启“橙云代理”(关键)
在 DNS 面板:
A记录 / CNAME → ☁️ Proxy ON(橙色云)
👉 作用:
隐藏真实IP
所有流量必须经过CF
三、第二层防护:防流量劫持(核心)
✅ 3. 强制 HTTPS(必开)
路径:
SSL/TLS → Edge Certificates → Always Use HTTPS
👉 作用:
防 HTTP 降级攻击
防 SSL Strip
✅ 4. TLS模式设置(非常重要)
设置:
SSL/TLS encryption mode → Full (strict)
👉 含义:
| 模式 | 安全性 |
|---|---|
| Flexible | ❌不安全 |
| Full | ⚠️一般 |
| Full(strict) | ✅最安全 |
👉 Full(strict)可以防:
中间人伪造证书
机房劫持回源流量
四、第三层防护:防DNS+引流劫持(关键进阶)
✅ 5. 启用 HSTS(防降级攻击)
路径:
SSL/TLS → Edge Certificates → HSTS
开启:
Max-Age: 6 months or 1 year
Include subdomains
Preload(推荐)
👉 防止:
HTTP劫持
第一次访问被降级
五、第四层防护:防引流劫持(跳转攻击)
✅ 6. Page Rules / Redirect Rules
强制规范访问:
http:// → https:// www → non-www(或反之)
❗关键:
禁止外部跳转污染:
只允许白名单域名跳转
✅ 7. Bot Fight Mode(防流量劫持机器人)
路径:
Security → Bots → Bot Fight Mode ON
👉 防:
自动跳转脚本
爬虫劫持流量
SEO黑帽采集
六、第五层防护:防机房/源站IP泄露(最重要)
🔥 8. 隐藏真实服务器IP(核心防护)
❗必须做到:
👉 源站 IP 不能暴露
方法:
只允许 Cloudflare IP 访问服务器
Nginx示例:
allow 173.245.48.0/20; allow 103.21.244.0/22; deny all;
👉 作用:
即使IP被扫描到也无法直连
防机房级攻击
七、第六层防护:防JS/页面劫持(混合内容)
✅ 9. 自动升级HTTP资源
路径:
SSL/TLS → Edge Certificates → Automatic HTTPS Rewrites ON
👉 防:
http js 被注入
混合内容劫持
✅ 10. Content Security Policy(CSP)
在 Cloudflare:
Security → Headers
或源站配置:
Content-Security-Policy: upgrade-insecure-requests
👉 防:
恶意JS注入
外部脚本劫持
八、第七层防护:防高级攻击(推荐)
✅ 11. WAF(Web Application Firewall)
开启:
Cloudflare WAF → ON
规则:
SQL注入
XSS攻击
恶意爬虫
跳转劫持
✅ 12. Rate Limiting(限流)
防:
批量攻击
点击劫持机器人
九、第八层防护:终极安全(企业级)
🔥 13. Zero Trust Access(高级)
Cloudflare Access:
👉 让后台变成:
必须登录
必须验证设备
IP白名单
🔥 14. mTLS(双向认证)
用户 ↔ Cloudflare ↔ 服务器
👉 防:
假客户端
API劫持
十、完整防护体系图(总结)
用户 ↓ Cloudflare DNS(防DNS劫持) ↓ Cloudflare Edge(防流量劫持) ↓ WAF / Bot防护(防引流劫持) ↓ 加密回源 Full(strict)(防机房劫持) ↓ 源站(隐藏IP)
十一、可以防住哪些“劫持”?
| 攻击类型 | 防护效果 |
|---|---|
| DNS劫持 | ✅ 95% |
| 流量劫持 | ✅ 95% |
| 引流劫持 | ⚠️ 70% |
| 机房劫持 | ⚠️ 80% |
| HTTPS降级攻击 | ✅ 99% |
| HTTP注入 | ✅ 99% |
十二、一句话总结
👉 Cloudflare的本质是:把“攻击面”从你服务器,转移到全球边缘防火墙,从而让劫持只能打到Cloudflare,而打不到你
十三、终极理解模型(非常重要)
传统网站 = 直接暴露在互联网 Cloudflare = 站在“防火墙城市”后面
