アーキテクチャ構成図
pc.watch.impress.co.jp — Partial Setup (CNAME) 構成例
ユーザー / ブラウザ
https://pc.watch.impress.co.jp へアクセス
DNS解決: CNAME → cdn.cloudflare.net
↓
権威DNS(既存のまま维持)
pc.watch.impress.co.jp CNAME pc.watch.impress.co.jp.cdn.cloudflare.net
Cloudflare Anycast IP にルーティング
↓
☁ Cloudflare Edge — グローバル Anycastネットワーク
L7 DDoS Protection
HTTP DDoS Managed Ruleset — 常時有効・設定不要・自動緩和
↓
Bot Management
Bot Score 判定 / JA3・JA4 フィンガープリント / 大量IP一斉アクセス対応
↓
WAF
Managed Rules(SQLi / XSS 等)+ Custom Rules(path除外・誤検知チューニング)
↓
Security Analytics / Logs
Security Events・Bot Analyticsでリアルタイム検知確認可能
CF-Connecting-IP ヘッダーで実IPを転送
↓
オリジンサーバ(既存Webサーバ)
pc.watch.impress.co.jp — アクセス元IPは CF-Connecting-IP で参照
顧客評価ポイント(原文)
■ Bot Management 評価ポイント
対象サイト: pc.watch.impress.co.jp
- 各種Botの検知が行えるかの確認と、Botの把握
- Botのスコアがどのようについて、どう変更できるか
- スコアを使って、意図したBotのコントロール(Block等)が行えそうか
- 他のツール(TollBit)との比較
- WAF検証と同様の攻撃検知等
■ WAF(Bot Managementを含む)評価ポイント
対象サイト: webtan.impress.co.jp, waf-chk2.impress.co.jp
- 現状のWAFと同様に攻撃の検知ができるか
- 意図した通りにBlockが機能するか(ブロック画面や応答コード等)
- 特定PATHの除外等、現状と同様のチューニングが行えるか
- アクセス元(ユーザ)のIPをWebサーバ側のログに渡せるか
- Bot Managementの機能を利用することで、大量IPからの一斉アクセスに対し対処できそうか(JA3/4フィンガープリントの利用方法の検証)
- L7(HTTP)のDDoS対策でできることと、Bot Managementを組み合わせてできることの確認(比較)
- 検知ログの確認 ⇒ 対象Webサイト毎に専用ユーザを作成してWebサイト管理者に確認してもらう
※ 管理画面上で無理なら、APIで取得して確認できるか
- 月毎のレポート ⇒ Webサイト毎に月毎のレポートを見れるか(Webサイト毎に閲覧者を分けて)
WAF Web Application Firewall
| Success Criteria | 設定方法 | 結果 |
|---|---|---|
| 現行利用のWAFツールと同様に攻撃検知(SQLi、XSS等)ができることを確認 | Security Analytics / Security Eventsで検知状況を確認 Managed Rulesを有効化、Custom Rulesで除外・調整 https://developers.cloudflare.com/waf/get-started/ https://developers.cloudflare.com/waf/analytics/security-analytics/ |
— |
| 現行と同等なチューニング制御(path除外設定、誤検知対応)が可能なことを確認 | — |
Bot Management Bot Detection & Control
| Success Criteria | 設定方法 | 結果 |
|---|---|---|
| 各種Botの検知及び分類の可視化 | Security Analytics / Bot AnalyticsでBot Scoreや種類分布を確認 *JA3/4フィンガープリントに基づいたBot判断も含めて確認可能https://developers.cloudflare.com/bots/concepts/bot/ https://developers.cloudflare.com/bots/concepts/bot-score/ https://developers.cloudflare.com/bots/bot-analytics/#business-and-enterprise |
— |
| Bot Scoreに基づいて意図したBotをコントロール(Block / Challenge)できることを確認 | Custom RulesでBot Score条件のポリシーを作成 https://developers.cloudflare.com/bots/get-started/bot-management/ |
— |
| *他のツール(TollBit)との比較確認 |
L7 DDoS Protection / Rate Limiting Application Layer DDoS Mitigation
| Success Criteria | 設定方法 | 結果 |
|---|---|---|
| L7 DDOS対策が有効であることを確認 | HTTP DDoS Managed Rulesetは常時有効。Security Eventsで確認 | — |
| Bot ManagementとL7 DDoSを組み合わせたカスタムルール作成が可能なことを確認 | Custom Rules / Rate Limiting RulesでBot Score など条件つけてルール作成 *Bot Score・JA3/JA4 Fingerprint を条件に Custom Rules を作成する場合(Block・Challenge など)は WAF + Bot Management 機能、Bot Score・JA3/JA4 Fingerprint に対して Rate Limitingを計数・適用する場合は、Add-on Advanced Rate Limiting が必要 https://developers.cloudflare.com/waf/rate-limiting-rules/#availability https://developers.cloudflare.com/waf/rate-limiting-rules/create-zone-dashboard/ |
— |
Log確認 Logging, Reporting & Access Control
| Success Criteria | 設定方法 | 結果 |
|---|---|---|
| アクセス元(ユーザ)の実IPをWebサーバ側のログに渡せることを確認 | オリジンサーバで CF-Connecting-IPヘッダーを参照するよう設定 https://developers.cloudflare.com/support/troubleshooting/restoring-visitor-ips/restoring-original-visitor-ips/ |
— |
| 対象Webサイト毎に専用ユーザを作成し、Webサイト管理者が自分のサイトのログのみ閲覧できることを確認 | Zoneごとに閲覧権限付与、Security Events 30日/Security Analytics 90日まで https://developers.cloudflare.com/fundamentals/manage-members/manage/ |
— |
| 月次レポートを確認できること | Security Center → Security Reports(Enterprise、月次自動生成) |
Reference 参考資料
☁️ Cloudflare Default Cache動作
Cloudflare はデフォルトで静的コンテンツ(画像・ CSS ・ JS ・フォントファイルなど)を自動的にキャッシュします。オリジンの Cache-Control ヘッダに従います。HTML, JSONに関してはデフォルトではキャッシュされません。
https://developers.cloudflare.com/cache/concepts/default-cache-behavior/
🚫 Cache を無効化する設定方法(Cache Rules — Bypass Cache)
Cache Rules の Bypass cache 設定を使用することで、特定パスや全リクエストに対して Cloudflare のキャッシュを完全に無効化できます。
https://developers.cloudflare.com/cache/how-to/cache-rules/ https://developers.cloudflare.com/cache/how-to/cache-rules/settings/#bypass-cache