Cloudflare Web 应用防火墙(WAF)不仅支持通过自定义规则防御 CC 攻击、恶意爬虫和地域异常访问,还能有效防护多种常见 Web 应用层攻击。其防护能力主要基于 托管规则集(Managed Rulesets)、OWASP Top 10 核心规则、机器学习驱动的威胁检测 以及 灵活的自定义规则引擎。以下是 Cloudflare WAF 防御其他典型攻击类型的具体方式:
1. SQL 注入(SQL Injection)
原理:攻击者通过在输入字段中注入恶意 SQL 语句,试图绕过身份验证、读取或篡改数据库。
Cloudflare 防护:
- 内置 OWASP ModSecurity Core Rule Set (CRS),自动检测如 ' OR '1'='1、UNION SELECT、LOAD_FILE() 等典型 SQLi 模式。
- 托管规则集(如 Cloudflare Managed Ruleset)包含针对 MySQL、PostgreSQL、MSSQL 等语法的深度匹配。
- 可通过自定义规则增强特定路径(如 /login.php)的防护强度。
2. 跨站脚本(XSS, Cross-Site Scripting)
原理:攻击者向网页注入恶意 JavaScript 代码,窃取 Cookie、会话令牌或执行钓鱼操作。
Cloudflare 防护:
- 自动拦截包含 <script>、javascript:、onerror=、eval( 等危险 payload 的请求。
- 支持对 HTML 属性、URL 查询参数、POST 表单 等多位置进行上下文感知检测。
- 可结合 Page Shield 功能监控第三方脚本行为,防止供应链 XSS。
3. 文件包含与路径遍历(LFI/RFI / Directory Traversal)
原理:利用 ../ 或 file:// 等路径操作符读取服务器敏感文件(如 /etc/passwd)。
Cloudflare 防护:
- 托管规则检测 ..%2f、%2e%2e/、php://filter、expect:// 等编码或协议滥用。
- 自定义规则可限制特定参数(如 ?page=xxx)仅允许白名单值。
4. 命令注入(Command Injection)
原理:通过 ;、|、&& 等操作符在 Web 输入中执行系统命令。
Cloudflare 防护:
- 拦截包含 cat /etc/passwd、whoami、curl http://malicious、wget 等高危命令片段的请求。
- 特别适用于 PHP 的 exec()、system() 或 Python 的 os.popen() 调用场景。
5. HTTP 请求走私(HTTP Request Smuggling)
原理:利用前端与后端对 HTTP 头解析不一致,绕过安全控制或劫持用户会话。
Cloudflare 防护:
- 自动规范化 HTTP 请求,拒绝含冲突头(如同时存在 Content-Length 和 Transfer-Encoding)的流量。
- 在边缘节点完成完整协议解析,确保转发给源站的请求合法合规。
6. 凭据填充与暴力破解(Credential Stuffing / Brute Force)
原理:使用泄露的用户名密码组合批量尝试登录。
Cloudflare 防护:
- 速率限制(Rate Limiting):对 /login、/wp-login.php 等路径设置每分钟请求数上限。
- Super Bot Fight Mode(Business 计划):识别并挑战自动化登录脚本。
- 凭证泄露检查:比对请求中的账号是否出现在已知泄露数据库中(需启用相关功能)。
7. 上传恶意文件(Malicious File Upload)
原理:上传 Webshell(如 .php、.jsp)获取服务器控制权。
Cloudflare 防护:
- WAF 可扫描上传内容的 MIME 类型、文件头、扩展名。
- 自定义规则可阻止 .php、.exe、.sh 等高危扩展名出现在 Content-Disposition 或 URL 中。
- 结合 Cloudflare for SaaS 或 R2 存储 实现安全隔离。
8. API 滥用与数据爬取
原理:通过高频调用 API 接口窃取数据或耗尽资源。
Cloudflare 防护:
- 使用 自定义 WAF 规则 + 速率限制 组合策略。
- 基于 cf.threat_score(攻击可能性评分)动态拦截高风险请求。
- 对非浏览器 UA(如 python-requests)实施严格验证。
9. 零日漏洞(Zero-Day)防护
原理:利用尚未公开的软件漏洞发起攻击。
Cloudflare 防护:
- 利用 全球网络每秒处理超 1 亿请求 的实时情报,快速生成虚拟补丁(Virtual Patching)。
- 机器学习模型分析异常流量模式(如突发大量 404 请求),即使无明确签名也能阻断。
10. DDoS 与 HTTP Flood(应用层 DDoS)
原理:通过海量合法格式请求耗尽服务器资源。
Cloudflare 防护:
- 自动 DDoS 缓解:无需配置,全球 Anycast 网络吸收攻击流量。
- 5 秒盾(Under Attack Mode):对可疑 IP 强制 JS 挑战。
- 高级速率限制:按 IP、国家、URI 路径等维度精细化限流。
如何最大化 WAF 防护效果?
- 启用所有托管规则集(尤其是 OWASP CRS 和 Cloudflare Managed Ruleset)。
- 定期查看 Security Events 日志,识别漏报并创建自定义规则。
- 对关键路径(如登录、支付、管理后台)设置更严格的规则和速率限制。
- 结合 Bot Management、Rate Limiting、Page Shield 等产品形成纵深防御。
- 在免费计划中优先使用“挑战”动作,避免误杀;付费计划可启用“阻止”+ 实时分析。