国内使用 CloudFlare 避坑指南

最近明月收到了不少新手使用CloudFlare的求助，发现很多首次使用 CloudFlare 的甚至包括已经在使用 CloudFlare 的站长们对 CloudFlare 的使用有很多的误区，再加上国内简中互联网上有关 CloudFlare 的教程良莠不齐，更是加深了新手使用 CloudFlare 入坑的概率，让一些别有用心的人钻空子各种诋毁、造谣 CloudFlare。明月实在是看不下去了，今天就结合这两年使用 CloudFlare 以及帮别人代维 CloudFlare 经验给大家分享这篇国内使用 CloudFlare 避坑指南，让各位首次使用或者还没有使用 CloudFlare 的少走弯路，少进坑。

首先，明月要强调一下：我没有跟 CloudFlare 有任何商业合作，CloudFlare 更没有跟我有什么推广诉求，长期以来明月给大家推荐 CloudFlare 的主要原因就是明月非常看不惯国内某些群体利用廉价、低门槛的 CC 攻击、DDoS 攻击手段忽悠、威胁、逼迫站长们购买高昂高防服务器、高防 CDN 的有针对性的“薅羊毛”行为。因为本来现在个人站长们都够苦逼了，好不容易坚持 N 年做个博客网站，稍微有点儿气色了就被无端 CC 攻击/DDoS 攻击胁迫购买这、购买那的，不续费就继续攻击直至掏钱或者关站。本来都是一群弱势群体了，还被这样欺负，是个爷们儿都看不惯，受不了。所以明月推荐 CloudFlare 的原因只有一个：免费！免费！还是他妈的的免费！不仅仅是加速免费，还有免费抵御 CC 攻击、DDoS 攻击以及最新的网站技术、安全协议免费支持等等。就这么简单，爱信不信！反正我这两年都是这么走过来的，也没见谁再能攻击到我被黑洞封禁的。

倒是每次攻击都成了给我博客刷流量了！如下图：

调侃一下而已，当事者看到不要生气了！反正我是不在意的！

不废话了，说正题吧！明月仔细想了想还是认为对于国内网站首次使用 CloudFlare 来说有一下几个坑要注意，我一一给大家详述：

一、接入 CloudFlare 方式

目前国内网站接入 CloudFlare 一般有两种方式，分别是 DNS 接入和 CNAME 接入（可参考【Cloudflare 免费版不支持 Cname 解析解决办法】一文），其中的DNS 接入意思就是把你域名管理解析服务商变更为 CloudFlare 来管理，类似于国内阿里云 DNS、腾讯云 DNS 等等 DNS 管理服务，这里就是第一坑了，很多人会相当然的以为域名管理解析服务商变更为 CloudFlare 后就等同于域名迁移到国外 CloudFlare 上了，其实这只是域名解析服务管理权而已，你的域名所在“域”依旧是你注册购买域名的平台上，续费、变更解析服务器管理商的操作依旧要在这些平台上操作的。

如上图所示，这个 DNS 接入 CloudFlare 的域名，域名的“域”依旧在国内阿里云上的，只是让 CloudFlare 负责这个域名的解析管理了。

上图这个才表明，域名不仅仅是 CloudFlare 管理域名解析，域名的“域”也是在 CloudFlare 上的，所以能看到域名到期日期，域名注册机构也是 CloudFlare，跟国内 DNS 服务商是没有任何关系的。

注：域名的域迁移到 CloudFlare 后，明月实测是.com 后缀的域名续费便宜了，域名年费也就是$9.77/年了，划不划算大家自己心算吧。

所以，那些还在担心什么国内已备案域名接入 CloudFlare 会掉备案、被封禁啥的可以放心了，只要你的域名依旧指向你备案的云服务器 IP，就不存在掉备案之说，只要你网站内容不违法违规就没有被封禁之说。一句话跟你接入 CloudFlare 没有关系的。

据说国内某些小 DNS 服务商禁止用户变更域名解析管理服务商的。明月只能说：真垃圾！我自己的域名连这个权力都没有吗？目前，明月实测过阿里云、腾讯云的 DNS 是没有此限制的，甚至你把域名的“域”迁移变更到 CloudFlare 也是没有问题的（就看你会不会了！），当然变更域名的“域”就不要奢望保留备案了，你域名都不在人家“域”里了，人家还有啥责任跟你对接备案呢？

至于CNAME 方式接入，在国内使用过 CDN 的都多少知道点儿，我就不赘述了，想了解的可以自行百度、谷歌了。

DNS 接入和 CNAME 接入方式上有啥区别吗？

虽然网上大部分教程都说两者没有区别，但明月实测的结果是在缓存规则和 WAF 规则自定义和效果上还是有很大区别的，CNAME 接入方式下缓存命中效率会有影响，毕竟 CNAME 接入方式利用的是其他域名跳转过来的，这本身就比 DNS 接入多了一次网络转移请求。同时，在 CNAME 接入下，CloudFlare 的 WAF 规则也面临一个响应、匹配效能上的影响，对付一些简单的恶意请求、爬虫骚扰问题都不大，面对 CC 攻击、DDoS 攻击的时候基本就是毫无招架之力了，加上采用 CNAME 方式接入都是为了借助国内 DNS 多线路解析，这就让防御攻击成了“竹篓”式防御了，攻击方很容易通过高密集代理 IP 绕过防御触及源服务器让防御彻底失败。这点儿是毋庸置疑的，因为明月已经实测过多次了，都是些惨痛的教训呀！

DNS 接入方式的一个坑

选择 DNS 接入方式，尤其是国内已备案域名接入的时候要注意的是域名在接入 CloudFlare 后并不是实时生效的，因为国内独特的互联网生态所致，各地宽带运营商为了“降本增效”打价格战抢夺用户推出的宽带服务水分都很大的，一个主要特点就是各个地区都是以 DNS 缓存形式给当地宽带提供解析服务的，这给外行一个直观感觉就是宽带速度飞快（DNS 解析零等待）。明月感觉以缓存时长排序依次为电信=>联通=>移动，所以国内域名接入 CloudFlare 至少需要 24-72 个小时之后才能在全国主要地区生效，不是实时的！不是实时的！不是实时的！重要的事儿说三遍。国内域名接入 CloudFlare 第一关就是耐心，想让自己本地生效快就只能手动清理本地电脑 DNS 缓存了（可参考【亲，你有多久没有清理过你电脑的 DNS 缓存了？】、【Windows 11 下清理本地 DNS 缓存方法汇总】、【Windows 下自动定时清理本地 DNS 缓存！】等文章了解）或者重启路由器，上述方法只对联通或者移动有效，电信很少见到过成功的（你品，你品，你细品！）。

综上所述，如果你的接入 CloudFlare 的初衷是为了安全防御，DNS 接入是首选，CNAME 接入明月极力不推荐，至少你如果购买了明月的 CloudFlare 代部署服务（如上），我是不保证安全防御效果的，尤其是国内云服务器，CNAME 接入分分种就被干死，宕机都是小事儿，被黑洞封禁都有很大可能。

二、接入 CloudFlare 后影响国内网站速度

这个是很多对 CloudFlare 心怀怨恨的群体最乐意用来黑 CloudFlare 的话题了。实话说，明月首次使用 CloudFlare 的时候也是这个认知，但使用 CloudFlare 近两年来发现跟 CloudFlare 的关系微乎其微，甚至可以说接入 CloudFlare 后网站速度下降这个锅 CloudFlare 绝不能背。明月代维客户服务器有美国的、香港的、韩国的、新加坡的、国内阿里云的、国内腾讯云的，速度从来就不是个问题。

好笑的是很多污蔑接入 CloudFlare 影响速度的拿出的数据都是国内测速平台的结果截图，我可以明确的告诉大家，国内所有的测速平台的测速节点 IP 请求都会被 CloudFlare 过滤掉。注意，是过滤不是屏蔽，你在 CloudFlare——【安全性】——【事件】里都看不到的那种，因为 CloudFlare 的安全规则直接把这些 IP 当肉鸡了视为一种危险请求。接入 CloudFlare 站点除非手动自定义规则放行，否则这类测速平台的测速结果都是“一片红”。在【建议大家少用点儿网站测速工具】一文里明月就给大家说过这类测速平台的危害了，再国内能让你免费、不限次数用的都慎重点儿为宜。

前面我专门讲过 DNS 接入 CloudFlare 会有一个小坑，那就是解析生效时间不是实时的，需要 24-72 小时才能让国内主要地区解析生效，偏远点儿的地区这个时间可能会更长，明月见过 DNS 缓存 30 天以上的地区。所以在接入 CloudFlare 初期很长一段时间出现速度下降完全是正常的，随着时间的推移这些地区的 DNS 缓存更新后自然就恢复了，这是国情所限，我们能做的也就是告之用户手动清理清理一下本地 DNS 缓存（可参考【亲，你有多久没有清理过你电脑的 DNS 缓存了？】、【Windows 11 下清理本地 DNS 缓存方法汇总】、【Windows 下自动定时清理本地 DNS 缓存！】等文章了解）

DNS 接入方式过了解析国内各地生效这个阶段后就是 CloudFlare 发挥势力的时候了，借助 CloudFlare 缓存规则提速、启用 HTTP/2、、HTTP/3 协议等等都能显著改善网站载入速度，还会更加的安全。这里要给大家推荐的就是 CloudFlare 灵活强大的缓存规则了，至少明月已经摸索出根据访客不同浏览器、不同网络方式、不同网页类型（动态、静态）甚至不同应用内置浏览器制定单独的缓存策略，最近还在尝试根据不同攻击方式进行具体处理（小有收获）。

最后，再说个老生常谈的观点，速度从来都不是一个网站的核心因素，明月常说成人网站速度有几个快的，你啥时候见过成人网站缺流量了？所以，只要你的网站内容满足了访客的刚需需求，就算翻山越岭、跋山涉水都要来给你流量的。速度再快没有内容，人家来干啥？感受膜拜你“快枪手”独特魅力吗？

CloudFlare 给你一个稳定可靠的速度还能保证不会因为廉价、低门槛的攻击造成无法访问，又是免费的，还要啥自行车呀？

三、CloudFlare 防御 CC 攻击、DDoS 攻击具体能力

很多新手对 CloudFlare 了解有限，明月推荐大家看看往期文章：【Cloudflare 有多厉害呢？】、【如何干翻 CloudFlare？】多了解一下，有关 CloudFlare 的防御能力，结合明月自己的体验，在防御 CC 攻击、DDoS 攻击上免费版的 CloudFlare 是没有上限的，CloudFlare 的防御策略是有别于高防服务器、高防 CDN 的技术的。原理上 CC/DDoS 攻击只有 CDN 分发技术可以很好的低成本应对，无非是看 CDN 服务上愿不愿意了而已，幸运的是 CloudFlare 就是那个愿意的。CloudFlare 也是至今保持成功抵御 CC/DDoS 攻击最高记录的 CDN 服务上。对于我们个人博客站长来说 CloudFlare 能让我们成为一个“打不死的小强”，还是免费的！免费的！他妈的免费的！

CloudFlare 的安全防御规则给了用户很大的自由度，也就是说要让 CloudFlare 防御能力更强，是需要根据自己被攻击的实际情况及时调整防御规则的，知道为啥明月的博客经常被攻击了吗？哈哈，我说我是故意的，你信不？

所以，很多人说 CloudFlare 防御效果一般都是没有运用好防御规则而已，这点儿 CloudFlare 是有别于国内哪些无脑接入式 CDN 的，甚至很多时候 CloudFlare 需要跟源服务器进行配合联动来抵御攻击，可想而知 CloudFlare 的防御策略有多么的灵活，这要是为什么明月会推出【CloudFlare 代配置、代运维、速度（国内）】和【境内外服务器安全防御 DDos/CC 攻击运维】两项服务的原因，收费只是给我支付的时间成本报酬，毕竟我要根据每个服务对象的具体情况来服务的。

好了，今天就给大家分享这么多吧，原创不易，为了方便大家少踩坑，本文就不设阅读限制了，开放式阅读，如果你觉得对你有帮助就请多多分享，给来个赞赏那就最完美了！谢谢大家的支持！