Cloudflare 防火牆規則說明
Cloudflare防火牆規則使用方法
各分案比較
| 方案 | 規則數量 | 攔截方式 | 是否允許正則 |
|---|---|---|---|
| Free/PRO-plus | 5 | No Log | No |
| PRO | 20 | No Log | No |
| Business | 100 | No Log | Yes |
| Enterprise | 1000 | All | Yes |
部分案例
| 案例 | 說明 |
|---|---|
| (ip.src ne 127.0.0.1) | 全站開啟驗證碼,訪客IP不是127.0.0.1開啟防禦機制 |
| (not cf.client.bot) | 非搜尋引擎的IP進行的訪問進行驗證碼或遮蔽 |
| (not ip.geoip.country in {“CN" “HK" “TW" “MO"} and not cf.client.bot) | 訪客不是大陸,香港,台灣,澳門的並且不是搜尋引擎的進行攔截(加入搜尋引擎判斷,防止Google,BING等國外搜尋引擎被攔截) |
| (not ip.geoip.country in {“CN" “HK" “TW" “MO"} and http.request.full_uri contains “login") | 訪客不是大陸,香港,台灣,澳門的並且訪問的連結裡面帶有login的就進行防火牆動作 |
| (ip.geoip.country in {“CN"} and http.request.full_uri contains “login") or (ip.geoip.country in {“CN"} and http.request.full_uri contains “register") | 大陸訪客的並且訪問的連結裡面帶有login/或者register的就進行防火牆動作 |
| (not http.referer contains “bnxb.com" and not http.referer contains “baidu.com") or (http.referer eq “") | 防盜鏈:來路域名非bnxb.com(含子域名)也非百度下的域名,或者來路為空就觸發防火牆攔截 |
| (http.request.full_uri contains “cdn.bnxb.com" and not ip.geoip.country in {“CN" “HK"}) | cdn.bnxb.com這個子域名只允許大陸,香港訪問,其他遮蔽 |
規則類型及編寫方法
| 規則名稱 | 允許類型 | 說明/範例 |
| http.cookie
字串 |
eq\ne\contains\not contains\matches\not matches | 判斷本地COOKIE是否包含某些特定值支援matches\not matches匹配正則
注意兩端需要用括號括起來,可以用and ,or 連接,類似 (not http.cookie contains “session=8521F670545D7865F79C3D7BED C29CCE;-background=light" and ip.geoip.asnum lt 2000) (http.cookie eq “session=8521F670545D7865F79C3D7BED C29CCE;-background=light") (http.cookie ne “session=8521F670545D7865F79C3D7BED C29CCE;-background=light") (http.cookie contains “session=8521F670545D7865F79C3D7BED C29CCE;-background=light") (not http.cookie contains “session=8521F670545D7865F79C3D7BED C29CCE;-background=light") |
| http.host
字串 |
eq\ne\contains\not contains\in\not in\matches\not matches | 主機名,判斷主機名是否存在設定的值支援正則匹配matches\not matches
(http.host eq “bnxb.com") (http.host ne “bnxb.com") (http.host contains “bnxb.com") (not http.host contains “bnxb.com") (http.host in {“bnxb.com" “cdn.bnxb.com"}) (not http.host in {“bnxb.com" “cdn.bnxb.com"}) |
| http.referer
字串 |
eq\ne\contains\not contains\matches\not matches | 判斷來源是否存在設定的值,正常用cotains(包含)和not contains(不包含)支援正則匹配matches\not matches
(http.referer contains “bnxb.com") (not http.referer contains “bnxb.com") |
| http.request.full_uri
字串 |
eq\ne\contains\not contains\matches\not matches | 設定防火牆的網站的某個完整連結,訪客訪問這個連結就會觸發防禦規則,不能含#,正常可以用contains 來判斷域名中含有某個詞的進行攔截或者放行,支援正則匹配matches\not matches
(http.request.full_uri eq “https://www.bnxb.com/html/123.html") (http.request.full_uri ne “https://www.bnxb.com/html/123.html") (http.request.full_uri contains “123″) (not http.request.full_uri contains “123″) |
| http.request.method
字串 |
eq\ne\in\not in | 訪客請求您網站的方式,可選GET,POST,PURGE,PUT,HEAD,OPTIONS,DELETE,PATCH
(http.request.method eq “GET") (http.request.method ne “GET") (http.request.method in {“GET" “POST" “PUT"}) (not http.request.method in {“GET" “POST" “PUT"}) |
| http.request.uri
字串 |
eq\ne\contains\not contains\matches\not matches | 您域名的URI
(http.request.uri eq “/articles/index?section=539061&expand=comments") (http.request.uri ne “/articles/index?section=539061&expand=comments") (http.request.uri contains “expand=comments") (not http.request.uri contains “expand=comments") |
| http.request.uri.path
字串 |
eq\ne\contains\not contains\in\not in\matches\not matches | 請求路徑
(http.request.uri.path eq “/articles/index") (http.request.uri.path ne “/articles/index") (http.request.uri.path contains “/articles/index") (not http.request.uri.path contains “/articles/index") (http.request.uri.path in {“/articles/index" “/articles/bnxb" “/bnxb/com"}) (not http.request.uri.path in {“/articles/index" “/articles/bnxb" “/bnxb/com"}) |
| http.request.uri.query
字串 |
eq\ne\contains\not contains\matches\not matches | query請求參數,也就是?後面的一串
(http.request.uri.query eq “section=539061&expand=comments") (http.request.uri.query ne “section=539061&expand=comments") (http.request.uri.query contains “expand=comments") (not http.request.uri.query contains “expand=comments") |
| http.request.version
字串 |
eq\ne\contains\not contains | HTTP請求協議的版本,有以下選項
HTTP/1.0 HTTP/1.1 HTTP/1.2 HTTP/2 HTTP/3 SPDY/3.1 (http.request.version eq “SPDY/3.1″) (http.request.version ne “SPDY/3.1″) (http.request.version in {“SPDY/3.1″ “HTTP/1.1″ “HTTP/2″}) (not http.request.version in {“SPDY/3.1″ “HTTP/1.1″ “HTTP/2″}) |
| http.user_agent
字串 |
eq\ne\contains\not contain\matches\not matches | 使用者瀏覽器標識,推薦使用contains/not contains
(http.user_agent eq “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36″) (http.user_agent ne “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36″) (http.user_agent contains “Chrome/65.0.3325.181″) (not http.user_agent contains “Chrome/65.0.3325.181″) |
| http.x_forwarded_for
字串 |
eq\ne\contains\not contain\matches\not matches | x-forwarded-for標頭 支援matches\not matches匹配正規表示式
(http.x_forwarded_for eq “111.111.11.11″) (http.x_forwarded_for ne “111.111.11.11″) (http.x_forwarded_for contains “11.11″) (not http.x_forwarded_for contains “11.11″) |
| ip.src
IP位址 |
eq\ne\in\not in | 客戶端IP地址
(ip.src eq 192.0.2.0) (ip.src ne 192.0.2.0) (ip.src in {192.0.2.0 192.0.3.0 192.168.1.1}) (not ip.src in {192.0.2.0 192.0.3.0 192.168.1.1}) |
| ip.geoip.asnum
數字 |
eq\ne\gt\lt\ge\le\in\not in | 訪客IP所屬的AS號,gt-大於,lt-小於,ge-大於等於,le-小於等於
(ip.geoip.asnum eq 13335) (ip.geoip.asnum ne 13335) (ip.geoip.asnum gt 13335) (ip.geoip.asnum lt 13335) (ip.geoip.asnum ge 13335) (ip.geoip.asnum le 13335) (ip.geoip.asnum in {13335 13332 11112}) (not ip.geoip.asnum in {13335 13332 11112}) |
| ip.geoip.continent
字串 |
eq\ne\in\not in | 訪客所屬的洲(7大洲),洲程式碼如下:
( 或者 T1 代表 Tor網路) (ip.geoip.continent eq “AS") (ip.geoip.continent ne “AS") (ip.geoip.continent in {“AS" “AF" “EU" “OC"}) (not ip.geoip.continent in {“AS" “AF" “EU" “OC"}) |
| ip.geoip.country
字串 |
eq\ne\in\not in | 訪客所屬國家,使用二位英文字母標識國別,詳見http://tool.bnxb.com/domainname.html
(ip.geoip.country eq “CN") (ip.geoip.country ne “CN") (ip.geoip.country in {“CN" “HK" “TW" “MO"}) (not ip.geoip.country in {“CN" “HK" “TW" “MO"}) |
| ip.geoip.subdivision_1_iso_code
字串 |
If known, the ISO 3166-2 code for the first level region associated with the IP address. 1 If not known, this is an empty string.
GB-ENG |
|
| ip.geoip.subdivision_2_iso_code
字串 |
If known, the ISO 3166-2 code for the second level region associated with the IP address. If not known, this is an empty string.
GB-SWK |
|
| ip.geoip.is_in_european_union
布林 |
True if this is an EU country
true |
|
| Ssl
布林 |
是否使用HTTPS | |
| cf.client.bot
布林 |
基於各家搜尋引擎IP段判斷是否放行(支援Google,yahoo,yandex,apple,archive,bing,feedbin,grapeshot,linkedin,mail.ru,naver,pingdom,pinterest,seznam,uptimerobot)
(cf.client.bot) (not cf.client.bot) |
|
| cf.threat_score
數字 |
eq\ne\gt\lt\ge\le\in\not in | 訪客IP的威脅評分等級,越大說明CF對這個IP視為越危險,10分以上均屬於較不安全的IP,40分以上屬於對網際網路有過攻擊行為的IP,因此可以設定10分以上顯示驗證碼,50分以上攔截。(這個設定與防禦等級設定是使用同一套評分系統,防禦等級高-分值>0,防禦等級中-分值>14,防禦等級低-分值>24,防禦等級半關閉-分值>49)
(cf.threat_score eq 2) (cf.threat_score ne 2) (cf.threat_score gt 2) (cf.threat_score lt 2) (cf.threat_score ge 2) (cf.threat_score le 2) (cf.threat_score in {2 5 8}) (not cf.threat_score in {2 5 8}) |
| cf.tls_client_auth.cert_verified
布林 |
已驗證客戶端證書
(cf.tls_client_auth.cert_verified) (not cf.tls_client_auth.cert_verified) |
國外與國內虛擬主機如何選擇使用?
本文並沒有要推薦那些特定虛擬主機廠商,主要是以多年使用虛擬主機的經驗作個簡單的分享。
相信大家都知道虛擬主機在網站使用者體驗中扮演著舉足輕重的角色,因為它涉及到了網站瀏覽速度、網站功能支援、以及網站安全性三個大面向 ! 這些面向相對於一般類型的官方網站而言,對於電子商務網站更為置關重要,因為購物網站只要一個卡頓或是功能錯誤使用者可能就會失去耐心,甚至產生難以抹滅的負面觀感,導致廠商流失重要客戶。
因此,基於購物網站的需求性,虛擬主機的「網站速度」建議一定要列為首要考量因素,在幫購物網站選用虛擬主機時,優先推薦使用「國內主機」,並且國內線路也會有速度上的些微差異,例如中華電信直連線路相較於遠傳或是其他廠商,主機反應速度也會感受的到一點落差。選用國內主機還有一個最重要的優勢,就是語言與問題解決的溝通渠道,以購物網站來說無論在開發或是管理過程,一定都會遇到需要和主機技術人員溝通進行故障排解的時候,國內的虛擬主機商大部分的技術服務都做得非常不錯,而且解決速度都很快,對於網站故障排除,控制受影響時間絕對是相當重要 (懂得就懂XD)
在價格費用國外主機雖然普遍都比國內主機優惠很多,並且很多都標榜著無限空間無限流量,但應該很多人在真的購買後才會發現,CPU 記憶體 還有 I/O Rate 檔案數量上限有非常嚴格管制,並且給的資源量都非常低,因此使用起來除了速度較慢外,上述這些限制更會直接影響您的網站穩定度以及開發使用上限,因此即便您不考慮使用國內主機,在選用國外主機時絕對要特別注意這種規格陷阱,遇過太多客戶選用主機只會看空間以及流量,但真正影響到網站穩定度以及發展上限的反而是這兩項之外的軟硬體規格。
過去兩三年來,國內主機商常常因為各種因素被大量DDos攻擊,進而影響到主機的穩定性,導致國內主機用戶大量外移,這部分確實影響到很多人對於國內主機的觀感,但近期發現因為過去這些DDos攻擊的經驗,反而讓很多國內主機商開始重視資訊安全這一塊,2022年開始許多國內廠商都已強化網路攻擊的處理SOP,建立流量清洗程序以及更強力的防火牆搭建,這部分的強化改善是有明顯的提升。相對於使用國外主機,一年會遇到海纜不穩定幾次,以及各種優劣式綜合考量下,使用國內主機還是勝過國外主機。
最後,聊一下網站安全性部分,其實這部分多數和網站程式本身安全性比較有關和主機關聯性比較低,因為現在開源架站工具非常多,尤其是全球幾乎5~6成網站都是由開源軟體開發的,而網站架設和前後端開發人員,多數的校內或職場上訓練環境又缺少安全性防護這一塊,因此導致資安觀念薄弱,問會使用 wordpress 架站的人,知道什麼是sql injection、xss攻擊以及該如何預防,大概有一半以上答不出來。不過現在已經有很多防火牆服務(Web Application Firewall – WAF),讓流量在進入網站之前先把有問題的部分全部隔絕阻斷開,如果懂得使用這些防火牆服務(WAF),可以幫網站幾乎阻斷95%以上的攻擊,有重視安全性的朋友們建議可以自行GOOGLE相關服務。
ECSHOP近期客戶開發功能一覽表
國泰銀行信用卡刷卡付款
玉山銀行信用卡刷卡付款
綠界信用卡刷卡功能修正(可讓客戶付款失敗再支付,折扣進位修正避免付款狀態變更失敗)
不同物流金流搭配享受不同折扣
登入手機安全驗證
客戶訂單留言顯示優化
黑名單控制功能
自動贈送購物金功能
發票資訊記憶儲存(未來會員回購時可點選直接帶入)
訂單列印增加條碼功能(商品條碼以及訂單條碼)
ECSHOP客製化開發服務
本公司提供ECHSOP各種客製化功能服務,如果您有任何功能開發需求都歡迎來電或來信訊問我們。
我們開發ECSHOP服務已經有8年以上經驗,開發過數百項客戶需求功能,涵蓋範圍如下:
- ECSHOP原始功能強化
- ECSHOP原始功能修正
- ECSHOP網站功能延伸開發
- 各種金流API串接(各家銀行、第三方支付、LINE…等等)
- 第三方API串接(FB登入/LINE登入/ERP系統串接)
- ECSHOP搜尋引擎優化(SEO工程)
- ECSHOP結帳流程優化
- ECSHOP後台管理優化
- ECSHOP前台版型美化
如果您常常遇到電商網站功能沒辦法滿足您的需求,想請人開發卻求助無門,安全遇到問題沒人能協助解決,網站沒辦法貼近您的公司操作流程,有問題卻常被其他廠商踢皮球導致無法解決 ! 如果有上述狀況歡迎來找我們,我們公司將提供您全新的ECSHOP電子商務服務感受,成為您最強的技術後盾。
本公司亦歡迎同業進行發包
最強大的ECSHOP響應式模板(RWD-SHOP 2023年全新改版)
【2023年響應式ECSHOP改版更新內容】
最強大的ECSHOP技術支援就在這裡,幫您從網站安全、網站美觀、網站使用者體驗、網站SEO優化全方位顧及,自己架設電商網站讓您沒煩惱 !
本公司也提供ECSHOP功能客製化服務,如有任何開發需求都歡迎來信/來電洽詢 
- PHP7.3版本支援
- 多重防火牆功能 (可有效阻擋SQL注入/XSS攻擊)
- ECSHOP網址SEO優化 (可在網址列上顯示商品名稱/商品分類名稱)
- 搜尋頁優化功能
- 網站黑名單功能 (選購)
- 手機驗證註冊/登入功能 (選購)
【2022年響應式ECSHOP方案】
- 響應式RWD-ECSHOP 前台版型 / 後台版面升級
- ECSHOP 獨家安全升級版 ( 已知漏洞修正 / 後台安全登入通知)
- 超商取貨全套功能 ( 前台電子地圖串接 / 後台超商訂單獨立管理)
- 金流 ( 信用卡/ 信用卡分期/ 超商繳費/ ATM轉帳 )
- FACEBOOK第三方登入功能
- 可協助代購網域 + 虛擬主機 “免任何設定安裝費用"
閱讀更多
【2019 電商趨勢解密】蝦皮:以「商品數」取勝的年代,已經過了
台灣電商市場經歷行動升級與免運大戰的洗禮,線上購物交易額連年直線上升;新的一年,電商的新戰場在哪?勝負關鍵又在何方呢?
蝦皮購物 16 日公佈 2019 年電商 4 大趨勢:日用品銷售轉移到線上、商品在「準」不在「多」、電商不再只是電商,更是新媒體平台、電商網站首頁不再相同。蝦皮購物商業營運總監楊晨欣表示:「電商環境一直不斷變化,但不變的是服務、滿足用戶的需求,電商平台今年將不再只是線上購物的網站,更會是讓用戶更多互動、更多內容、更多娛樂體驗的新媒體平台。」
日用品銷售從線下轉到「線上」
過去日用品由於購買週期短,民眾大多偏好於實體商家選購,幾大因素有效帶動日用快消品從線下轉到線上,包括:衛生紙之亂讓更多民眾了解日用品網購的方便、高齡社會來臨,網購送到府上,少去爬樓梯的不便、運費持續降低減少網購門檻等。尼爾森最新電商調查報告指出, 台灣保健食品、紙尿褲、衛生紙的線上銷售皆呈現雙位數成長 ,今年將可看到日用快消品成長率持續大幅攀升。
商品講求「準」不是「多」
過去以搜尋引擎導購為主的電子商務,商品數量越多就代表越多長尾流量和銷量;但是現今消費者更常使用社群平台或 APP 接觸商品資訊, 商品數量多反而不重要 ,有時恐造成用戶搜尋障礙。國外可以看到亞馬遜將商品歸類,將各種商品來源(新品、二手、價格區間)彙整於搜尋結果,方便消費者做出決策,今年台灣電商將可看到此趨勢逐漸出現。
電商不只要會賣東西,更得培養社群互動
電商不再只是提供購買的平台,而會是新媒體平台與新入口, 擁有高活躍用戶、停留時間長和用戶常回訪才是勝出的平台 ,越來越多的商品搜尋將會發生在購物 APP 中,而非傳統搜尋引擎平台;越來越多 APP 內的直播,將成為新時代的 TV,因此電商平台將開始逐步內建社群、遊戲機制和內容。
舉例來說,蝦皮購物去年下半年推出的 In-App 體感遊戲「蝦搖一波」,於雙 11 期間在台創下 550 萬人次參與佳績;直播問答遊戲「金頭腦」,更於雙 12 檔期累積 64.5 萬參與人次,同時在線人數高達近 10 萬人,相當於一個台灣中型手遊的規模。今年電商將突破傳統定義,開拓新疆土。
電商的網站首頁走向「個人化」
你的電商網站將不是我的電商網站,隨著 AI 與深度學習的技術,網站首頁的概念將重構, 每個消費者連上電商平台看到的首頁都將不同 ,平台將會依消費者需求推薦不同的商品、量身打造網站首頁。
資料來源:https://buzzorange.com/techorange/2019/01/16/shopee-trends/
六大常見電商平台的適合對象、優點與注意要點
以下針對常見六大電商系統,進行各自的適合對象、優點與注意事項,提供您進一步的資訊分析,協助您更容易找到適合的電商平台。