自创建以来，Cloudflare发布了许多强大的防火墙实用程序，例如IP规则、CIDR规则、ASN规则、国家/地区规则和HTTP用户代理阻止等等，CloudflareFirewallRules是最近添加的这些实用程序。这些规则结合了防火墙实用程序的使用方式，并为用户提供了更大的灵活性和对防火墙工作方式的控制。

在本文中，您将了解有关防火墙的所有知识、如何开始在您的网站上实施和编辑Cloudflare防火墙规则，以及为什么安全性如此重要。

什么是Cloudflare防火墙规则？

Cloudflare防火墙规则是一个灵活且直观的框架，网站所有者可以使用它来过滤HTTP请求——让您完全控制哪些请求能够到达您的应用程序。

防火墙规则与现有的Cloudflare工具很好地集成，因为它们允许您将多种技术组合成一组内聚的规则。例如，您可以创建一个规则来阻止来自匹配特定模式的用户的流量，而不必在许多地方使用三个或四个不同的规则来实现相同的结果。

它们还为您提供持续检查站点流量并对威胁做出相应响应的优势。您可以定义表达式，告知Cloudflare要查看或不查看的内容，以及在满足这些特定要求时应采取何种操作。

为什么您的网站需要防火墙？

Cloudflare主要用于降低网页加载速度并保护您的站点免受在线威胁。它还可以对抗垃圾邮件发送者、恶意软件注入和DDoS攻击。

大约70%的WordPress安装容易受到黑客攻击，因此更有必要使用Cloudflare的防火墙来保护您的网站免受不必要的威胁。您的网站需要防火墙的一些原因是：

如您所见，Cloudflare不仅通过加速您的网站来改善SEO，它还提供了一整套高级安全功能来保护您的网站免受攻击。

Cloudflare防火墙规则–匹配和操作

CloudflareFirewallRules由两个主要功能组成：Matching和Actions，前者可让您定义过滤器以精确匹配您的流量，后者可让您确定Cloudflare在您设置匹配过滤器后将采取的操作。

匹配可让您过滤掉任何进入您网站的流量。例如，如果您想限制某些国家/地区、将访问者重定向到特定位置的页面或过滤掉特定的IP地址，那么您可以使用匹配规则来执行此操作。

Cloudflare引入的最重要的功能之一是已知机器人(cf.client.bot)字段。它为您提供了Cloudflare批准的良好机器人列表，这些机器人是通过反向DNS查找获得的。您会找到一份完整的机器人列表，这些机器人已获得Google、Yahoo、Bing、Linkedin、Apple等网站的认可。

注意：由于“允许列表”功能已被删除，建议您将cf.client.bot包含在允许规则中。这将防止Cloudflare防火墙规则无意中阻止好的爬虫。

此外，CloudflareFirewallRules还附带一种算法，通过衡量IP的在线声誉为IP提供威胁评分。威胁评分范围从0到100，分为以下几类：

单独设置匹配规则不会有太大效果。这就是行动派上用场的地方。

设置匹配过滤器后，您可以指示Cloudflare防火墙规则应用标准Cloudflare操作（阻止、JavaScript挑战和挑战）以及新的允许操作。

Cloudflare防火墙规则的三个实际应用示例

在本节中，您将找到三种使用仪表板设置Cloudflare防火墙规则的方法，以及它们可能有用的原因。

注意：设置这些规则的另一种方法是使用API和Terraform。

登录您的Cloudflare仪表板。从那里，选择您要为其设置Cloudflare防火墙规则的域名。

接下来，单击顶部部分的防火墙，然后单击防火墙规则。

此部分允许您设置新的防火墙规则、浏览和过滤现有规则、激活、停用、修改和删除规则。要尝试以下示例，请单击创建防火墙规则。

示例1–阻止除美国以外的所有国家

要阻止除一个国家以外的所有国家（在我们的示例中为美利坚合众国），请按照以下步骤操作：

相反，如果您想阻止单个国家/地区，请从“运营商”下拉列表中?选择“等于”，然后按照上述步骤进行操作。

(ip.geoip.countryne“US”)

WordPress安全性是网站所有者不会考虑太多的重要事情。每天，Google都会将大约10,000多个恶意软件网站列入黑名单，每周将大约50,000多个网站列入网络钓鱼黑名单。确保您的WordPress网站免受恶意软件和威胁的侵害并避免您的网站被封锁至关重要。

为什么WordPress安全性很重要？

不管你的网站是大是小，黑客都不管。无论哪种方式，他们都可以找到不同的方式来使用这些信息来对付您。他们通常会查找您的个人和财务信息，然后试图利用收集到的信息对您和您的公司造成损害。

TopWritersReview营销经理MarkRonso说：“企业的声誉可能会因网站被黑而受到严重损害。黑客通常会安装恶意软件或病毒以在后台提取数据，这可能会导致对您的业务失去信任，并导致客户转向竞争对手。”

因此，为了确保您的业务安全可靠，您需要通过WordPress插件或Cloudflare防火墙来保护您的网站。那么，哪个最好，两者之间有什么区别？

WordPress插件与Cloudflare防火墙–哪个更好？

许多人选择安装免费插件来处理他们网站的安全性，而不是必须使用像Cloudflare这样的第三方工具——通常是因为它太复杂或为了省钱。实际上，Cloudflare的安装时间并不长，并且为您提供的功能比任何其他WordPress插件都要多。

以下是您应该了解的主要区别：

考虑到所有因素，大多数WordPress插件不会提高您网站的速度或提供Cloudflare防火墙提供的许多高级功能。推荐使用Cloudflare防火墙而不是免费的安全插件，以保护您的网站免受任何攻击。

如何使用Cloudflare防火墙保护您的WordPress网站

重复上面提到的创建新防火墙规则并为其命名的过程，但这一次，单击“编辑”表达式。

通过这样做，您可以直接访问表达式编辑器。在该字段中，粘贴以下内容：

（（http.request.uri.path包含“/xmlrpc.php”）或（http.request.uri.path包含“/wp-login.php”）或（http.request.uri.path包含“/wp-admin/”而不是http.request.uri.path包含“/wp-admin/admin-ajax.php”而不是http.request.uri.path包含“/wp-admin/theme-editor.php”））和ip.geoip.countryne“US”

之后，从Chooseanaction下拉列表中选择Challenge(Captcha)，然后单击Deploy。

现在，您将为所有试图访问WordPressxmlrpc.php、wp-login.php和/wp-admin（admin-ajax.php和theme-editor.php除外）的美国境外访问者设置验证码挑战，为了阻止潜在的黑客访问您的WordPress网站。

如果您的登录或管理URL已更改，请随意编辑原始表达式以匹配。

示例3–阻止恶意机器人流量

不良机器人被指派进行许多欺诈行为和恶意活动，例如广告诈骗、恶意软件攻击和数据盗窃。大约40%的互联网流量由不良机器人流量组成，在大流行期间，2020年9月至2020年10月期间，全球零售网站的不良机器人流量增加了788%，导致旺季损失8200万美元。

阻止不良流量有助于避免攻击者试图对您的站点发起DDoS攻击。大多数DDoS攻击通过将大量流量引导至您的站点、使服务器过载并使其脱机来减慢您的站点。

这里的过程类似于前面的示例。唯一的区别是您应该从“选择操作”下拉列表中选择“阻止”并将以下内容粘贴到表达式编辑器中：

（http.user_agent包含“Yandex”）或（http.user_agent包含“muckrack”）或（http.user_agent包含“Qwantify”）或（http.user_agent包含“Sogou”）或（http.user_agent包含“BUbiNG”）或（http.user_agent包含“知识”）或（http.user_agent包含“CFNetwork”）或（http.user_agent包含“Scrapy”）或（http.user_agent包含“SemrushBot”）或（http.user_agent包含“AhrefsBot”）或（http.user_agent包含“Baiduspider”）或（http.user_agent包含“python-requests”）或（http.user_agent包含“crawl”而不是cf.client.bot）或（http.user_agent包含“Crawl”而不是cf.client.bot）或（http.user_agent包含“bot”而不是http.user_agent包含“bingbot”而不是http.user_agent包含“Google”而不是http.user_agent包含“Twitter”而不是cf.client.bot）或（http.user_agent包含“Bot”而不是http.user_agent包含“Google”而不是cf.client。bot）或（http.user_agent包含“蜘蛛”而不是cf.client.bot）或（http.user_agent包含“蜘蛛”而不是cf.client.bot）

此规则将阻止包含字符串“crawl”、“bot”、“spider”和一些其他自定义用户代理的用户代理的机器人流量。

您可以按以下方式使用嵌套括号重写相同的规则：

（http.user_agent包含“Yandex”）或（http.user_agent包含“muckrack”）或（http.user_agent包含“Qwantify”）或（http.user_agent包含“Sogou”）或（http.user_agent包含“BUbiNG”）或（http.user_agent包含“知识”）或（http.user_agent包含“CFNetwork”）或（http.user_agent包含“Scrapy”）或（http.user_agent包含“SemrushBot”）或（http.user_agent包含“AhrefsBot”）或（http.user_agent包含“Baiduspider”）或（http.user_agent包含“python-requests”）或（（http.user_agent包含“crawl”）或（http.user_agent包含“Crawl”）或（http.user_agent包含“bot”“而不是http.user_agent包含“bingbot”而不是http.user_agent包含“Google”而不是http.user_agent包含“Twitter”）或（http.user_agent包含“Bot”而不是http.user_agent包含“Google”）或（http.user_agent包含“Spider”）或（http.user_agent包含“spider”)而不是cf.client.bot)

如何测试您的防火墙规则是否有效

完成所有设置后，您应该检查您的Cloudflare防火墙规则是否有效。为此，您可以返回防火墙的概述部分来访问防火墙事件活动日志。在那里，您可以看到防火墙事件列表以及与它们相关的详细信息。

请注意，如果您的流量不多，检查您的防火墙规则可能需要一些时间。如果是这种情况，请等待几天并监控GoogleAnalytics以确保在返回Cloudflare并检查活动日志之前没有异常。

要注意的最重要的事情是挑战和阻止事件。

当挑战和阻止事件出现在列表中时，花点时间仔细检查它们，看看是否有任何好的机器人在它们不应该被阻止时被阻止，或者是否有任何已知的坏机器人通过了。您需要确保没有正流量因为设置防火墙规则的错误而被拒绝访问您的站点。