推荐设置
-
通用网站(如博客、展示型网站):
-
10秒内 20-50 次请求。
-
普通用户通常不会在短时间内频繁请求页面,20-50 次足以覆盖正常浏览行为。
-
-
登录页面或表单:
-
10秒内 5-10 次请求。
-
防止暴力破解或凭据填充攻击,用户登录操作通常较慢。
-
-
API 端点:
-
10秒内 50-100 次请求。
-
API 调用频率较高,但需根据实际使用场景调整(例如,支付 API 可能需更严格限制)。
-
-
支付/结账页面:
-
10秒内 5-15 次请求。
-
支付流程通常涉及少量请求,严格限制可防止刷单或恶意请求。
-
如何选择最佳值
-
分析正常流量:
-
在 Cloudflare 的 Analytics > Traffic 中查看正常用户每 10 秒的请求频率。
-
设置限制为正常流量的 1.5-2 倍,避免误伤合法用户。
-
-
攻击特征:
-
如果 DDoS 攻击以高频请求为主(如每秒数百次),将限制设为较低值(如 10-20 次)。
-
检查 Security > Events,观察攻击 IP 的请求模式。
-
-
用户体验:
-
过于严格的限制(如 10秒内 5 次)可能导致正常用户被拦截,尤其在高并发场景(如促销活动)。
-
使用 Challenge(CAPTCHA 验证)而非直接 Block,给合法用户补救机会。
-
推荐示例(针对预付费网站)
假设您的网站面临 DDoS 攻击,推荐以下 10秒内的速率限制:
-
登录页面:10秒内 10 次请求,操作设为 Challenge,阻止时长 15 分钟。
-
API 端点:10秒内 50 次请求,操作设为 Block,阻止时长 1 小时。
-
支付页面:10秒内 8 次请求,操作设为 Challenge,阻止时长 30 分钟。
注意事项
-
测试规则:先用 Simulate 模式运行规则,检查是否误拦截正常用户。
-
排除白名单:对内部 IP、支付网关 IP 或已知合法客户端(如
example.com/api/partner)设置豁免。 -
结合其他防护:10秒限制适合快速响应,但应搭配防火墙规则、Under Attack 模式等综合防护。