Cloudflare：如何配置 DNS Firewall

先決條件   

您的 Cloudflare 賬戶團隊必須為您的賬戶啟用 DNS Firewall。

更改域名服務(wù)器的 IP 地址。

在實施 DNS Firewall 之前更改域名服務(wù)器 IP 地址將防止攻擊繞過 DNS Firewall。

配置 DNS Firewall

1.登錄 Cloudflare 儀表板。

2.單擊已啟用 DNS Firewall 的相應(yīng) Cloudflare 賬戶。

3.單擊頂部第二個導(dǎo)航欄中的配置。

4.單擊 UI 左側(cè)導(dǎo)航欄中的 DNS Firewall。

5.單擊添加 DNS Firewall 群集。

DNS Firewall 群集是一組存儲相同 DNS 區(qū)域數(shù)據(jù)的域名服務(wù)器。

6.在設(shè)置 DNS Firewall 群集彈出窗口中，輸入 DNS 群集名稱。

7.輸入您的域名服務(wù)器 IP 地址。

Cloudflare 建議至少提供兩個 IPv4 和兩個 IPv6 域名服務(wù)器 IP 地址。

8.設(shè)置在從您的域名服務(wù)器代理的任何 DNS 記錄上應(yīng)遵守的最小緩存 TTL 和最大緩存 TTL。

Cloudflare 建議最小 TTL 為 30 秒，最大 TTL 為 1 小時。

9.選擇 DNS Firewall 是否應(yīng)回答 ANY 查詢。

如果 ANY 查詢開關(guān)設(shè)置為關(guān)，則 DNS Firewall 將使用以下示例 HINFO 記錄響應(yīng) ANY：

cloudflare.com. 3788  IN  HINFO  "Please stop asking for ANY" "See draft-ietf-dnsop-refuse-any"

10.單擊繼續(xù)。

11.在新 DNS Firewall IP 地址窗口中顯示 Cloudflare 指定的 IPv4 和 IPv6 域名服務(wù)器地址。

Cloudflare 指定的域名服務(wù)器地址在一小時后在全球范圍內(nèi)生效。

12.等待一小時后：

驗證 Cloudflare 域名服務(wù)器是否響應(yīng) DNS 查詢。

確認(rèn) Cloudflare 域名服務(wù)器提供正確的 DNS 響應(yīng)。

將您的域名服務(wù)器切換到新的 Cloudflare 域名服務(wù)器 IP 地址。