Перейти к содержимому

CDN и защита

CDN и защитный слой WebShield включаются через проксирование DNS-записей. Когда запись проксируется, пользовательский трафик идет не напрямую на origin-сервер, а через WebShield.

Проксирование доступно только для:

  • A
  • AAAA
  • CNAME

Для MX, TXT, SRV, CAA и других служебных записей проксирование не включается.

  1. Откройте DNS.
  2. Найдите запись A, AAAA или CNAME для нужного хоста.
  3. Включите переключатель Proxy.
  4. Откройте параметры proxy для этой записи и настройте поведение трафика.

После включения proxy запросы к этому имени проходят через WebShield CDN, WAF и механизмы фильтрации.

На странице параметров proxy доступны:

  • Режим хоста: Проксирование - запросы проксируются на origin-сервер с защитой WAF.
  • Режим хоста: Редирект на другой хост - вместо проксирования посетители получают 301-редирект на указанный хост с сохранением пути и параметров запроса.
  • SSL required - требовать HTTPS для защищенного хоста.
  • Redirect HTTP to HTTPS - перенаправлять HTTP-запросы на HTTPS.
  • Bot protection: Off - не выполнять дополнительную проверку браузера.
  • Bot protection: Browser - включить browser-check для подозрительных клиентов.
  • Bot protection: Captcha - включить режим проверки с CAPTCHA. Этот режим взаимоисключающий с Browser.
  • HTTP/2 - включить HTTP/2 для клиентских соединений.
  • HTTP/3 - включить HTTP/3 для клиентских соединений.

Если основной сайт размещен на апексе (например, статический сайт на example.com), а www.example.com должен вести на него, проксировать www некуда - у него нет origin-сервера. Настройте редирект:

  1. Откройте DNS и включите Proxy для записи www (это направит трафик на WebShield).
  2. Откройте параметры proxy записи www.
  3. Выберите режим Редирект на другой хост и укажите целевой хост, например example.com.
  4. Сохраните параметры.

Посетители www.example.com будут получать 301-редирект на example.com с сохранением исходного пути и параметров. Сертификат для www выпускается автоматически.

Исключения задаются построчно. Добавляйте только необходимые служебные адреса и не исключайте разделы с пользовательскими данными, формами входа или административными функциями.

Правила:

  • максимум 50 исключений;
  • каждое исключение должно начинаться с /;
  • нельзя указывать корень /;
  • нельзя использовать ..;
  • максимальная длина одного исключения - 200 символов;
  • разрешены буквы, цифры, /, _, ., -, *;
  • * используется как маска в конце сегмента.

Текущий CDN WebShield работает как reverse proxy перед вашим сайтом. DNS-запись указывает на инфраструктуру WebShield, WebShield принимает запрос, применяет защитные проверки и передает допустимый трафик на origin, заданный в записи или конфигурации.

В статистике отдельно отображается трафик от пользователя к WebShield и трафик от WebShield к backend. Это помогает оценить нагрузку на CDN и origin.