全球知名網路安全防護機構 Cloudflare 的內建防火牆 WAF(Web Application Firewall),提供多種驗證機制來防禦駭客、殭屍網路、木馬攻擊等惡意流量,同時確保正常使用者的訪問體驗。
除了「封鎖(Block)」、「跳過(Bypass)1」等強制性機制外,CFW 還提供三種管理機制,包括:「受控的查問(Managed Challenge)」、「JS 查問(JavaScript Challenge)」與「互動式查問(Interactive Challenge)」是三種常見的驗證方式。
它們的機制與影響程度不同,適用於不同的安全情境,包括:
1. 受控的查問(Managed Challenge)
機制
受控的查問是 Cloudflare 自動決定 使用哪種驗證方式來確保請求的合法性。它能夠根據風險評估,選擇最適合的驗證方式,並且可能直接允許請求通過,而無需用戶手動操作。
驗證方式
- 若 Cloudflare 判斷風險低,請求可能自動通過。
- 若風險較高,則可能觸發 JS 查問或 CAPTCHA 驗證。
- 可能使用無需用戶輸入的驗證方法(如 Web API 瀏覽器檢測)。
適用情境
受控的查問適用於大多數網站,因為它能夠智能選擇驗證方式,降低對正常訪問者的影響,同時有效阻擋惡意流量。
2. JS 查問(JavaScript Challenge)
機制
JS 查問會要求訪問者的瀏覽器執行一段 JavaScript 代碼,以驗證其是否為人類或正常瀏覽器。
驗證方式
- 自動進行,使用者無需手動操作。
- 若訪問者的瀏覽器不支持 JavaScript,可能無法通過驗證。
適用情境
JS 查問適合防範簡單的機器人和自動化流量,且對一般使用者影響較小。但如果訪問者的瀏覽器禁用了 JavaScript,可能無法通過驗證。
3. 互動式查問(Interactive Challenge)
機制
互動式查問要求用戶手動完成某種驗證,例如輸入 CAPTCHA,以證明自己是人類。
驗證方式
- Cloudflare 內建 CAPTCHA 或 Google reCAPTCHA。
- 用戶需點擊驗證、識別圖片或輸入驗證碼來通過挑戰。
適用情境
互動式查問適用於高風險流量,如來自惡意 IP 或異常行為的請求。然而,這種驗證方式可能影響正常用戶的體驗,因此應謹慎使用。
4. 三種驗證方式比較
| 查問類型 | 驗證方式 | 影響程度 | 適用情境 |
|---|---|---|---|
| 受控的查問 | Cloudflare 自動決定(可能 JS 查問、CAPTCHA 或自動通過) | 最低 | 建議預設使用,智能調整 |
| JS 查問 | 自動執行 JS 檢查,無需用戶手動操作 | 中等(影響無 JS 瀏覽器) | 主要用於防範機器人 |
| 互動式查問 | 需要用戶手動輸入 CAPTCHA 或通過驗證 | 較高(可能影響用戶體驗) | 針對高風險流量,防止惡意攻擊 |
5. 如何選擇合適的驗證方式?
- 首選「受控的查問」,讓 Cloudflare 根據風險智能決定驗證方式,減少對正常訪問者的干擾。
- 如果網站經常受到機器人攻擊,但不希望影響用戶體驗,可以選擇「JS 查問」。
- 若流量風險極高(如 DDoS 攻擊),可選擇「互動式查問」,但需注意可能影響用戶體驗。
Cloudflare WAF 提供靈活的安全防護選項,網站管理者應根據需求調整策略,以兼顧安全性與可訪問性。
- 跳過(Bypass):當某些流量被誤判為惡意時,可以設置 WAF 規則跳過這些流量,允許它們正常通過。這通常用於信任的 IP 地址、特定的用戶代理(User-Agent)或其他可信任的條件。跳過動作可以避免誤封合法的流量,確保網站正常運作。 ↩︎
發佈留言