Cloudflare

Cloudflare Firwall 規則順序如何工作?

  • April 2, 2021

Cloudflare 規則的順序如何工作?我閱讀了文件但沒有解釋它(它顯然是不言自明的)但是是嗎?

例如,如果我想阻止 ASN 但允許其中的 IP,我應該使用什麼順序?

訂單 A:

Rule 1: Block ASN
Rule 2: Allow IP

訂單 B:

Rule 1: Allow IP
Rule 2: Block ASN
  • 它會在第一個匹配規則之後停止嗎?所以解決方案是B。

或者

  • 它是否檢查所有規則並然後阻止?如果是這樣,解決方案是A。

我認為這是非常重要的資訊。

這取決於 …

預設情況下,Cloudflare 按列表順序評估防火牆規則,其中規則按照它們在規則列表中出現的順序進行評估。

一旦總規則超過 200 條(包括非活動規則),您必須使用優先級排序來管理評估,其中 Cloudflare 按優先級編號的順序評估防火牆規則,從最低的開始。

來源:https ://developers.cloudflare.com/firewall/cf-dashboard/create-edit-delete-rules/

當一個 http 請求按列表順序進行評估並且該請求與一個表達式匹配時,關聯的操作將確定接下來會發生什麼。

大多數操作都是退出,不會為該請求評估進一步的防火牆規則。您也可以將其描述為 “第一場比賽”

當使用*“優先級排序”*時,可以有多個具有相同優先級的表達式,它們都將被評估,並且一個 http 請求可以同時匹配多個表達式。

然後動作的優先級決定了會發生什麼。allow動作優先於動作block

同樣,在匹配之後,大多數操作都是退出,並且不會為該請求評估其他較低優先級的防火牆規則。

https://developers.cloudflare.com/firewall/cf-firewall-rules/actions/

———

在列表排序

規則 1:阻止 ASN

規則 2:允許 IP

來自 IP 的請求將匹配規則 1,該請求將被阻止。規則 2 將不被評估。

要豁免 IP,需要顛倒規則順序。

另一方面,在優先順序方面:

優先級 2:規則 1:阻止 ASN

優先級 2:規則 2:允許 IP

來自 IP 的請求符合這兩個規則。Allow 操作的優先級高於 Block 操作,因此請求將被允許。

引用自:https://serverfault.com/questions/1059124