Cloudflare Domains

在 Cloudflare 中配置的每个 TLD 中，都可以配置一些常规设置和服务。在本页中，我们将分析每个部分与安全相关的设置：

概述

• 了解账户中服务的使用情况

• 查找区域 ID 和账户 ID

分析

• 在**安全中检查是否有任何速率限制**

DNS

• 检查 DNS 记录中的有趣（敏感？）数据

• 检查可能包含敏感信息的子域，仅基于名称（如 admin173865324.domin.com）

• 检查未被代理的网页

• 检查可以通过 CNAME 或 IP 地址直接访问的代理网页

• 检查是否启用了DNSSEC

• 检查所有 CNAME 中是否使用了 CNAME 平铺

• 这可能对隐藏子域接管漏洞和提高加载时间有所帮助

• 检查域名是否不易受欺骗攻击的

电子邮件

待办事项

Spectrum

待办事项

SSL/TLS

概述

• SSL/TLS 加密应为完整或完全（严格）。其他任何选项都会在某个时候发送明文流量。

• 应启用SSL/TLS 推荐器

边缘证书

• 应启用始终使用 HTTPS

• 应启用HTTP 严格传输安全性 (HSTS)

• 最低 TLS 版本应为 1.2

• 应启用TLS 1.3

• 应启用自动 HTTPS 重写

• 应启用证书透明监控

安全

• 在**WAF部分，检查是否使用防火墙和速率限制规则**以防止滥用。

• 绕过操作将为请求禁用 Cloudflare 安全功能。不应使用此功能。

• 在**页面防护部分，建议检查是否已启用**，如果使用了任何页面

• 在**API 防护部分，建议检查是否已启用**，如果在 Cloudflare 中公开了任何 API

• 在**DDoS部分，建议启用DDoS 保护**

• 在**设置**部分：

• 检查**安全级别是否为中等**或更高

• 检查**挑战通过率**最多为 1 小时

• 检查**浏览器完整性检查是否已启用**

• 检查**隐私通行证支持是否已启用**

CloudFlare DDoS 保护

• 如果可以，启用机器人对抗模式或超级机器人对抗模式。如果您正在保护某些通过程序访问的 API（例如从 JS 前端页面），您可能无法在不破坏该访问的情况下启用此功能。

• 在WAF中：您可以通过 URL 路径或验证的机器人（速率限制规则）创建速率限制，或者基于 IP、Cookie、引荐来源等阻止访问。因此，您可以阻止不来自网页或没有 Cookie 的请求。

• 如果攻击来自验证的机器人，至少向机器人添加速率限制。

• 如果攻击针对特定路径，作为预防机制，在此路径中添加速率限制。

• 您还可以在 WAF 中的工具中列入白名单 IP 地址、IP 范围、国家或 ASNs。

• 检查托管规则是否还有助于防止漏洞利用。

• 在工具部分，您可以阻止或向特定 IP 和用户代理发出挑战。

• 在 DDoS 中，您可以覆盖某些规则以使其更严格。

• 设置：将安全级别设置为高，如果您受到攻击，则设置为受到攻击，并确保已启用浏览器完整性检查。

• 在 Cloudflare 域名 -> 分析 -> 安全 -> 检查是否已启用速率限制

• 在 Cloudflare 域名 -> 安全 -> 事件 -> 检查是否检测到恶意事件

访问

速度

我找不到与安全相关的任何选项

缓存

• 在**配置部分考虑启用CSAM 扫描工具**

工作程序路由

您应该已经检查了 cloudflare 工作程序

规则

待办事项

网络

• 如果启用了**HTTP/2，应启用HTTP/2 到源**

• 应启用**HTTP/3（使用 QUIC）**

• 如果您的用户的隐私很重要，请确保已启用洋葱路由

流量

待办事项

自定义页面

• 可选择在触发与安全相关的错误时配置自定义页面（如阻止、速率限制或我受到攻击模式）

应用程序

TODO

Scrape Shield

• 检查 电子邮件地址混淆 是否已启用

• 检查 服务器端排除 是否已启用

Zaraz

TODO

Web3

TODO