Cloudflare社は[パブリックDNSリゾルバー]以外に、[DNSサーバ]や[CDN]も無償で提供しています。
下記項目でCloudflareのCDNとは何かを解説していきます。
1.DNSサーバとして利用する方法
CloudflareのDNSサーバにWebサーバのIPアドレスを登録し、下図の様にプロキシをOFFにすると通常のDNSサーバになります。下図の下がDNS接続の時の表示です。
その結果、Webアクセスは下図の様になり、クライアントとWebサーバが直接会話します。
■CloudflareのDNSサーバはIPv4/IPv6の垣根を乗り越えてくれます。
メモ
CDNをOFFにするケースは社内にあるルータ機器をトンネル経由でCloudflareに接続する時です。
これらの機器をCDN接続で操作すると、ルータのフル機能が使えなくなる事があるからです。
しかしこれらの機器アクセスをゼロトラストに移行すると、この様な問題は総て無くなります。
2.CDNとして利用する方法[フルセットアップ]
CloudflareのDNSサーバは、CDN(Contents Delivery Network)がデフォルト設定です。
■上の方の接続です。
CloudflareにプロキシするとCDN接続になります。
CDN接続の場合は、クライアントとWebサーバは直接会話せず、[クライアントとCloudflare]、[CloudflareとWebサーバ]になります。
クライアントはエンドユーザーの近くでコンテンツをキャッシュしたCloudflareのサーバから情報を受け取るようになります。
ここにはHTMLページ、JavaScriptファイル、スタイルシート、画像、動画を含むインターネットコンテンツがキャッシュされており、キャッシュが無い場合はCloudflareがサーバから情報を入手します。
よってCDNを利用するとWebサーバの性能が上がるメリットがあります。
またCloudflareのCDNはコンテンツをキャッシュ以外に下記の様な機能も併せて持っています。
1.IPv6対応
・クライアントとCloudflare間はIPv4でも、IPv6でも会話してくれます。
・CloudflareとWebサーバ間もIPv4でもIPv6でも良く、更にClpudflareのVPN接続もあります。
よってWebサーバをIPv6対応しなくても自動でIPv6対応サーバになります。
2.DDoS対策
DoS攻撃(Denial of Service attack)とは、ウェブサイトやサーバーに対して、大量のパケット送りつけるサイバー攻撃です。
DDoS攻撃(Distributed Denial of Service)とは、ウェブサイトやサーバーに対して、複数のコンピューターから大量のパケット送りつけるサイバー攻撃です。
CloudflareのCDNは無償プランでもDDoS軽減、有料プランでは本格的なDDoS対策を提供しています。
3.WAF対策
WAF(Web Application Firewall)とは、Webアプリケーションとインターネット間のHTTPトラフィックをフィルタリングおよびモニタリングすることで、Webアプリケーションを保護します。
CloudflareのWAFは無償プランでもデフォルトのルールセットで保護してくれます。
更に有料プランでは、Cloudflareのマネージドルールセット等の高度なWAF対策を提供しています。
メモ
無料プランと有料プランでサポート等がどの様に違うかは下記を参照して下さい。
https://www.cloudflare.com/ja-jp/plans/
表示された画面で下記をクリックすると画面が固定され見易くなります。
■更に[機能詳細]で表示カテゴリを指定すると更に見易くなります。
3.DDoS対策はCDNだけで大丈夫か?
DDoS攻撃には下記の3種類があります。
1.DNSサーバに対する攻撃
URLで大量のデータを送り付ける攻撃
CloudflareのCDNの設定方法には[フルセットアップ]と[CNAME接続]があります。
[フルセットアップ]の場合はCloudflareがDNSになる為ブロックできます。
[CNAME接続]は今まで使っていたDNSサーバにCloudflareのアドレスをCNAMEレコードで設定する接続方法です。
よって普通のDNSサーバが攻撃に晒されるので対応できないと思われます。
メモ
官公庁や都道府県市町村のHPでCDNはかなり普及してきています。
その中にCloudflareも利用されていますが、残念ながら総てCNAME接続でした。
如何に役所が他人任せで自らWebサイトを守ろうとしていないかが良く分かります。
2.グローバルIPに対する攻撃
[フルセットアップ]も[CNAME接続]もCDNから返されるグローバルIPは、CDNのIPアドレスなのでDDoS対策ができます。
3.オリジンIPに対する攻撃
これが一番厄介な攻撃です。
CloudflareとWebサーバ間のアクセスは基本的には外部からは判りません。
しかしShodanやCensys等のツールを利用するとインターネット上にある色々な情報からオリジンIPを探すことができます。
私の場合は過去に使っていたSSL証明書から知りえる事も可能である事が判りました。
この対策には下記の様な物をCloudflareは用意しています。
①CloudflareとWebサーバ間はCloudflareのIPのみを通すようにFWに設定する
②CloudflareとWebサーバ間はCloudflareのトンネルを利用して接続しFWを80/443をブロックする。
私は②の方法でブロックしました。
結論
私のWebサーバはCloudflareのCDNを[フルセットアップ]で利用し、CloudflareとWebサーバ間はトンネル接続とし、WebサーバのFWで総ての通信をブロックする設定にしてDDoS攻撃に対応できる様にしました。またWAFはCloudflareのデフォルトルールで守っています。
またWordPressの管理者URLのブロックはCloudflareのゼロトラストを利用しています。