Наша деятельность в интернете обеспечивается DNS-серверами, данные которых распределяются по разным мировым ресурсам. 1.1 1.1 — это системный сервис бесплатных доменных имен американской компании. Функционирует в качестве рекурсивного и обеспечивает разрешение для любого хоста в Интернете. Расскажем о преимуществах и недостатках Cloudflare 1.1.1.1, функционале и разновидностях, особенностях работы с сервисом.
Что такое cloudflare

Это сеть, разработанная одноименной американской компанией, основная задача которой — обеспечить безопасность, конфиденциальность и быстродействие всех устройств, которые пользователь подключает в интернете. Сервисы компании выступают в качестве обратных прокси для сайтов.
Основные функции
Каждый пользователь, который решил воспользоваться Cloudflare, получает:
- защиту от DDoS. Для этого предусмотрено особый режим «Я под атакой». Компания-создатель утверждает, что ее детище может выдержать массированную атаку седьмого уровня. И этот факт подтверждается историей существования сервиса — The Spamhaus Project смогла выдержать атаку, превышающую 300 Гб/с. По утверждению специалистов это была самая мощная DDoS attack в интернете. Компания может похвастаться и еще более впечатляющими достижениями — отражением нападений и в 400-500 Гб/с, но основанных на NTP запросах;
- Firewall веб-приложения. Функция доступна пользователям платных пакетов по умолчанию;
- систему переноса — сервис проводит анализ текущих настрое и полностью копирует себе. Здесь все просто — пользователю достаточно указать адрес всего сайта и нажать зеленую кнопку. Процесс занимает пару минут в течение которого настройки переносятся;
- защита и кэширование сайта на уровне DNS;
- статистику — анализ посетителей и поисковых ботов. Для бесплатных версий обновление происходит раз в сутки, для платных — каждые 15 минут. Здесь же доступны графики развития сайта и то количество запросов и трафика, которые помог сжать сервис.
Кроме того, создатели предлагают множество приложений для интеграции. Например, Monitis и Pingdom — системы для мониторинга сайтов. Или CodeGuard — сервис, позволяющий увидеть сохраненную копию сайта в том случае, если он оказывается недоступным для просмотра. CodeGuard бесплатен для всех пользователей, сайт которых занимает менее 1 ГБ.
Преимущества и недостатки

Как и у любого интернет-продукта, у Cloudflare есть свои достоинства и недостатки. Выделим основные преимущества:
- есть бесплатная версия с достаточно широким функционалом. Для небольших легких сайтов это удобный инструмент защиты, определения статистики и интеграции;
- после переноса домена в Cloudflare пользователь получает супер быстрый DNS. Например, А-записи вступают в силу практически через минуту после изменения;
- бесплатный сертификат https, который очень просто активировать — просто включить функцию в Cloudflare;
- мощный firewall, позволяющий за пару кликов блокировать как отдельные ip, так и целые страны;
- блок Optimization, позволяющий ускорять загрузку и оптимизировать (сжимать) загрузку для мобильных устройств;
- настройка кэширования для статичных устройств для ускорения процессов загрузки;
- раздел APPS — установка любого приложения на сайт. Например, это может быть всплывающее меню, предлагающее согласиться с использованием куки.
Многие, кто уже успел перенести свои домены на Сloudflare, практически не видят в нем каких бы то ни было недостатков. Но с момента выпуска сервиса (в 2018 году) компания уже контролирует треть интернета. Это всегда грозит неустойчивостью сети — технической и экономической. После даунтайма в июле 2019 года многие компании понесли убытки.
Компания управляет огромной частью трафика, поэтому огромное количество пользователей слишком уязвимы перед ее внутренними ошибками и желаниями хакеров проводить новые и новые атаки.
Еще одна проблема работы — фирменные алгоритмы определение вредоносного трафика часто принимают за неблагонадежных клиентов тех, кто такими качествами не обладает. В качестве наказания для них предусмотрено прохождение капчи на каждом пятом заходе по ссылке.
Например, такая ситуация возможна, если в интернет вы будете выходить по ip-адресу, которым пользуется еще несколько человек. Система может принять вас за группу ботов.
Серверы компании всегда работают в режиме MiTM, чтобы иметь возможность видеть http трафик. Это необходимо для правильного кэширования и фильтрования. Проблема в том, что сервер CF расшифровывает трафик от сервера и затем снова зашифровывает его своим сертификатом.
Конечный посетитель видит SSL-сертификат, зашифрованный CF. Это фактически дискредитирует всю систему SSL, которая предполагает, что информация не будет расшифровываться и пойдет в неизменном виде от клиента до конечной точки.
Разновидности
После выхода базовой версии, американская компания анонсировала несколько разновидностей на базе DNS приложения 1.1.1.1.
Cloudflare 1.1.1.1 warp vpn

1 апреля 2019 года компания анонсировала апдейт основного продукта — VPN сервис для мобильных гаджетов. При этом шифрование базировалось на собственной технологии — Warp. Основная фишка данного детища компании CF — простота.
Разработчики уточнили, что ориентировались на специфическую целевую аудиторию — обычные люди, для которых привычный VPN — это ненужная фишка, обнуляющая батарею устройства, жрущая трафик и замедляющая работу.
Для использования доступны тарифных плана — Basic и Pro. Первая бесплатна, но скорость работы будет урезанной, платный вариант обещает быстрый серфинг в сети, безопасность и комфорт.
Интересно, что для разных региональных секторов мира компания установила дифференцированную платной подписки. В офисе заявили, что это необходимо для того, чтобы нивелировать разницу в доходах и обеспечить возможность приобрести доступ всем желающим.
Основные моменты апдейта приложения 1.1.1.1:
- сквозной тип шифрования на всем пути до серверов Cloudflare без сертификатов удостоверения. Фактически CF самостоятельно отказываются от просмотра трафика;
- используемый для работы VPN-протокол — WireGuard;
- весь незашифрованный трафик подвергается шифрованию — опция по умолчанию при условии работы через приложение или если просматривается небезопасный контент;
- на стороне CF трафик подвергается оптимизации.
Cloudflare dns

DNS — важнейший компонент для онлайн-бизнеса. Но большинство упускает его из виду. До тех пор, пока что-то не ломается. Корпорация CF выпустила DNS корпоративного уровня с целым набором преимуществ:
- максимально быстрое время отклика;
- расширенные настройки безопасности — встроенная защита от DDoS и DNSSEC в один клик;
- глобальная связь — подключение к максимально большому количеству интернет бирж (по сравнению с другими провайдерами);
- глобальная и локальная балансировки нагрузки — перенаправление и динамическое распределение трафика от некорректных источников к пулам с более отзывом. Используется глобальная сеть Anycast с поддержкой всех протоколов;
- расширенная аналитика (до полугода).
Новый продукт обеспечен постоянной технической поддержкой по телефону и е-мейл.
Cloudflare warp

Warp был анонсирован компанией как VPN-сервис. Но на самом деле это не совсем так. Это своеобразная комбинация DNS, VPN и Argo. Последняя представляет собой технологию для обнаружения перегрузок сети в режиме реального времени и перенаправить веб-трафик по самым наиболее быстрым и надежным путям в сети.
Сочетание трех инструментов позволяет шифровать данные, защищать от отслеживания и ускорять передачу в среднем на 30 %. Последнее является неоспоримым преимуществом. Ведь именно из-за существенного снижения быстродействия пользователи так не любят ВПН.


Принцип работы cloudflare
Принцип работы прост и аналогичен другим CDN — вся масса запросов от пользователя проксируется через серверные точки CloudFlare. Далее два варианта развития событий:
- прямое обслуживание из сети — при условии закэширования;
- производство запроса к исходнику — где расположен сайт.
И только потом участник получает ответ системы. Поскольку обслуживание происходит посредством CF, появляется возможность копировать контент и работать с ним.
Регистрация на cloudflare

Для регистрации необходимо перейти на официальную страницу CF и нажать на кнопку «Зарегистрироваться». В открывшейся форме необходимо будет ввести данные — е-мейл и пароль. Будет создан аккаунт. При этом полный функционал платформы будет доступен только после того, как вы подтвердите адрес электронной почте — по ссылке из письма.
Подключение cloudflare к сайту

После подтверждения регистрации на платформе можно переходить к добавлению доменов. Процесс добавления сайта:
- Кликнуть по синей кнопке «Добавить сайт». Если в планах добавить одновременно несколько, ниже на этой же странице есть инструкция. Как только будет добавлено имя, платформа начнет в автоматическом режиме проводить запрос DNS доменов у регистратора.
- Появится окно с информацией о том, что DNS-записи доменов запрошены. Просто переходите к следующему шагу.
- Теперь нужно выбрать тарифный план — бесплатный или платный. Далее шаги будут отличаться только тем, что при выборе платного тарифа понадобится произвести оплату.
- Переходим на страницу ДНС-записей. Платформа проверит все существующие для того, чтобы обеспечить стабильную работу. Будет предложено проверить данные. Если все правильно — идем дальше.
- Заключительный этап — смена замена NS-сервера на Cloudflare.
Если провести замену самостоятельно не получается — обратитесь в техподдержку. Она бесплатна, специалисты работают 24 часа без выходных. Они не только помогут с настройками, но и сделают это за вас.
Если подключать во время ddos атаки
Если вы проводите подключение во время Ddos атаки с целью защиты сайта, рекомендуется заменить существующий ip адрес. Процедура проводится через провайдера. Без такой смены (до присоединения) сайт останется уязвимым.


Особенности работы с Cloudflare
Работать с сервисом просто, но есть небольшие нюансы.
Очистка кэша

На CF кэширование является предустановленной опцией. Если проводятся какие-то изменения, необходимо обязательно чистить кэш. В противном случае посетители просто не увидят проделанной работы — все данные останутся без изменений.
Как чистить кэш:
- Перейти в разделы «Кэш» — «Конфигурация».
- Активировать «Пользовательскую чистку» — если она будет выборочной или «Очистить все» — если полная.
Если на сайте проводятся работы, активируйте опцию «Режим разработки». Он отключает кэш на 3 часа. Проведенные изменения будут немедленно видны в браузере.
Работа с dns записями
Панель CF позволяет работать с ДНС-записями после переключения. В соответствующем разделе размещается таблица, в которой можно найти все записи пользовательского домена на серверах. В соответствующем разделе находится таблица, где можно проверить все записи доменов. Алгоритм добавления новой записи:
- кликнуть по кнопке «Добавить запись»;
- выбрать тип — А;
- имя — хост на домене. Если он основной — внести в строку @, если поддомен — только его без имени основного;
- IPv4 адрес — данные для присоединения хоста;
- статус проксирования. Надпись Proxied указывает на процесс, при котором все записи буду двигаться через CF, а значит будут активны все сервисы.
Настройки гибкие, поскольку позволяют не только добавлять, но изменять, стирать данные.
Настройка https

CF — это своеобразный посредник между потребителем и контентом. А значит нужна двойная защита. Отметим, что при регистрации на платформе новый участник уже автоматически получает защиту на уровне — от себя до платформы. Это происходит благодаря встроенному бесплатному SSL-сертификату.
Чтобы проверить статус защиты, необходимо зайти в раздел SSL/TLS. Здесь схематично изображен процесс взаимодействия всех участников и предложены несколько режимов на выбор. Последние выбирают, исходя из наличия сертификата на хостинге:
- если он есть — выбирают режим Full;
- если нет — Flexible.
Стоит учесть, что второй вариант не дает полной защиты. Кроме того, посетители будут введены в заблуждение, полагая, что соединение защищено на всех отрезках.
Если на хостинге отсутствует сертификат, активировать оба варианта Full не рекомендуется. Такой выбор приведет к экрану, на котором отображается информация об ошибке при обращении.
Удаление домена
Здесь можно не только полностью удалить домен, но и приостановить его работу. Для удаления перейти в раздел «Обзор» и выбрать строку «Remove Site». А вот для приостановки работы необходимо активировать кнопку «Пауза» в этом же разделе.
Использование ДНС-хостинга продолжится, но все запросы будут отправляться провайдеру. При этом кэширование, защита и другие сервисы перестанут работать.
Настройка правил переадресации
Для установки правил переадресации переходим в соответствующий раздел, генерируем новое. Далее: «Forwarding URL — 301» с указанием адреса.
Защита сайта от ddos атаки

Присоединение к CF — уже хорошая мера по защите своих ресурсов. Все атаки злоумышленников приходятся на сервера компании. Последние имеют такие настройки, которые позволяют заблокировать недобросовестные источники.
Бесплатный план не оградит от всех атак. Если у вас высоко нагруженный и часто посещаемый ресурс — нужно принять дополнительные меры для его защиты.
Режим i m under attack

Особый режим работы, при активации которого платформа верифицирует каждого входящего. При попытке открыть ресурс они видят сообщение о том, что система проверяет браузер. А затем доступ или разрешается или нет. Как активировать режим:
- Перейти в раздел Firewall.
- Открыть «Настройки».
- В блоке «Уровень защиты» — «Я атакован».
По умолчанию настройки позволяют посетителю, прошедшему проверку, оставаться на ресурсе полчаса. Эти настройки можно изменить. Важно отключить режим после окончания атаки. В противном случае все новые посетители будут вынуждены ждать, пока проверка закончится. Естественно, количество заходов сократится.
Вместо указанного режима можно активировать уровень защиты «Высокий». Система будет подвергать проверке не каждого, а только тех, кто в течение двух недель проявил странную активность — фишинг, попытки захода в чужие аккаунты и др.
Настройка доступа

На платформе гибкие настройки доступа. Есть возможность установить окно с капчей для каждого, внести в блок конкретные регионы или диапазон ip-адресов, ОС или версии браузеров. В бесплатной версии таких настроек пять. Все изменения проводятся через блок «Правила Firewall».
Достаточно создать новое и вписать его имя, а затем в поле фильтрации ввести основание — ip, ОС, браузер, капча и др.
Улучшение работы страниц
Платформа позволяет существенно ускорить процессы загрузки страничек. Если выбран бесплатный тарифный план, у участника есть три инструмента.

Дополнительная защита для страницы входа
Настройки по умолчанию — уровень защиты middle при попытках авторизоваться. Если определить точки, которые чаще всего атакуются, можно установить для них более высокую степень. Например, панель администрирования. Как защитить:
- в поле «Совпадение URL» добавить адрес странички;
- в настройках установить уровень security — «High»;
- добавить новое правило и установить уровень кэша — «Обход».
Такая степень защиты может привести к неудобствам — прохождению капчи или доппроверкам при попытке зайти с непривычного ip.
Кэширование для неизменного контента

На ресурсе всегда есть динамичный или статичный контент. Последний редко редактируется, остается неизменным. Например, это дизайнерские изображения. Чтобы они грузились быстрее, их нужно кэшировать. Для этого:
- найти поле «URL совпадает» — указать адрес папки с файлами, которые будут кэшированы;
- активировать уровень кэширования — «Cach all»;
- далее добавить правило в «TTL кэша браузера» — ежедневно;
- далее «TTL пограничного кэша» — 7 дней.
По этой схеме могут кэшироваться любые данные.
Редирект сайта с www на без www

Практика по умолчанию — склеивание таких доменов, чтобы поисковые системы не разделяли их. Как настроить:
- в поле «Совпадение URL» указать адрес с www;
- в настройках выбрать правило «Перенаправление URL — адреса — 301 — Постоянное» — и здесь уже указать путь к ресурсу без www.
Таким образом можно настроить редирект для любых страничек.
Почему cloudflare не работает
Чаще всего с ошибками в работе сталкиваются обладатель стационарных устройств на Windows. Причем проблема возникает еще на стадии установки. Причиной может стать неправильная работа установщика ОС (нужно будет перезапустить его или перерегистрироваться), или блокировка брандмауэром системы некоторых доменов (Майкрософт) — нужно добавить их в белый список.