Cloudflare Firwall 規則順序如何工作?
Cloudflare 規則的順序如何工作?我閱讀了文件但沒有解釋它(它顯然是不言自明的)但是是嗎?
例如,如果我想阻止 ASN 但允許其中的 IP,我應該使用什麼順序?
訂單 A:
Rule 1: Block ASN Rule 2: Allow IP訂單 B:
Rule 1: Allow IP Rule 2: Block ASN
- 它會在第一個匹配規則之後停止嗎?所以解決方案是B。
或者
- 它是否檢查所有規則並然後阻止?如果是這樣,解決方案是A。
我認為這是非常重要的資訊。
這取決於 …
預設情況下,Cloudflare 按列表順序評估防火牆規則,其中規則按照它們在規則列表中出現的順序進行評估。
…
一旦總規則超過 200 條(包括非活動規則),您必須使用優先級排序來管理評估,其中 Cloudflare 按優先級編號的順序評估防火牆規則,從最低的開始。
…
來源:https ://developers.cloudflare.com/firewall/cf-dashboard/create-edit-delete-rules/
當一個 http 請求按列表順序進行評估並且該請求與一個表達式匹配時,關聯的操作將確定接下來會發生什麼。
大多數操作都是退出,不會為該請求評估進一步的防火牆規則。您也可以將其描述為 “第一場比賽”
當使用*“優先級排序”*時,可以有多個具有相同優先級的表達式,它們都將被評估,並且一個 http 請求可以同時匹配多個表達式。
然後動作的優先級決定了會發生什麼。
allow動作優先於動作block。同樣,在匹配之後,大多數操作都是退出,並且不會為該請求評估其他較低優先級的防火牆規則。
https://developers.cloudflare.com/firewall/cf-firewall-rules/actions/
———
在列表排序
規則 1:阻止 ASN
規則 2:允許 IP
來自 IP 的請求將匹配規則 1,該請求將被阻止。規則 2 將不被評估。
要豁免 IP,需要顛倒規則順序。
另一方面,在優先順序方面:
優先級 2:規則 1:阻止 ASN
優先級 2:規則 2:允許 IP
來自 IP 的請求符合這兩個規則。Allow 操作的優先級高於 Block 操作,因此請求將被允許。