Cloudflare Domains

在 Cloudflare 配置的每个 TLD 中，有一些 常规设置和服务 可以配置。在本页面中，我们将 分析每个部分的安全相关设置：

概述

• 了解账户 服务的使用情况

• 还要找到 区域 ID 和 账户 ID

分析

• 在 安全 中检查是否有 速率限制

DNS

• 检查 DNS 记录 中的 有趣（敏感？）数据

• 检查可能包含 敏感信息 的 子域名，仅基于 名称（如 admin173865324.domin.com）

• 检查 未被代理 的网页

• 检查可以通过 CNAME 或 IP 地址 直接访问的代理网页

• 检查 DNSSEC 是否 启用

• 检查所有 CNAME 是否 使用 CNAME 扁平化

• 这可能有助于 隐藏子域名接管漏洞 并改善加载时间

• 检查域名 是否易受欺骗

电子邮件

TODO

Spectrum

TODO

SSL/TLS

概述

• SSL/TLS 加密 应该是 完全 或 完全（严格）。任何其他设置将在某些时候发送 明文流量。

• SSL/TLS 推荐器 应该启用

边缘证书

• 始终使用 HTTPS 应该 启用

• HTTP 严格传输安全 (HSTS) 应该 启用

• 最低 TLS 版本应为 1.2

• TLS 1.3 应该启用

• 自动 HTTPS 重写 应该 启用

• 证书透明度监控 应该 启用

安全

• 在 WAF 部分，检查 防火墙 和 速率限制规则是否被使用 以防止滥用是很有趣的。

• 绕过 操作将 禁用 Cloudflare 安全 功能。它不应该被使用。

• 在 页面保护 部分，如果使用了任何页面，建议检查是否 启用

• 在 API 保护 部分，如果在 Cloudflare 中暴露了任何 API，建议检查是否 启用

• 在 DDoS 部分，建议启用 DDoS 保护

• 在 设置 部分：

• 检查 安全级别 是否为 中等 或更高

• 检查 挑战通过 最多为 1 小时

• 检查 浏览器完整性检查 是否 启用

• 检查 隐私通行证支持 是否 启用

CloudFlare DDoS 保护

• 如果可以，启用 机器人战斗模式 或 超级机器人战斗模式。如果您保护某个通过编程访问的 API（例如，从 JS 前端页面），您可能无法在不破坏该访问的情况下启用此功能。

• 在 WAF：您可以根据 URL 路径创建 速率限制 或对 已验证的机器人（速率限制规则），或根据 IP、Cookie、引荐来源等 阻止访问。因此，您可以阻止不来自网页或没有 Cookie 的请求。

• 如果攻击来自 已验证的机器人，至少 对机器人添加速率限制。

• 如果攻击针对 特定路径，作为预防机制，在该路径中添加 速率限制。

• 您还可以在 WAF 的 工具 中 将 IP 地址、IP 范围、国家或 ASN 列入白名单。

• 检查 托管规则 是否也可以帮助防止漏洞利用。

• 在 工具 部分，您可以 阻止或对特定 IP 和用户代理发出挑战。

• 在 DDoS 中，您可以 覆盖某些规则以使其更严格。

• 设置：将 安全级别 设置为 高，如果您处于攻击中并且 浏览器完整性检查已启用，则设置为 正在攻击中。

• 在 Cloudflare 域 -> 分析 -> 安全 -> 检查是否 启用速率限制

• 在 Cloudflare 域 -> 安全 -> 事件 -> 检查是否有 检测到的恶意事件

访问

速度

我找不到任何与安全相关的选项

缓存

• 在 配置 部分考虑启用 CSAM 扫描工具

Workers 路由

您应该已经检查过 cloudflare workers

规则

TODO

网络

• 如果 HTTP/2 已 启用，则 HTTP/2 到源 应该 启用

• HTTP/3 (使用 QUIC) 应该 启用

• 如果 用户 的 隐私 重要，请确保 洋葱路由 已 启用

流量

TODO

自定义页面

• 当触发与安全相关的错误时（如阻止、速率限制或我正在攻击模式），配置自定义页面是可选的

应用

TODO

抓取保护

• 检查 电子邮件地址模糊化 是否 启用

• 检查 服务器端排除 是否 启用

Zaraz

TODO

Web3

TODO