처음에 클라우드플레어를 사용하는데 도메인을 삭제할줄 몰라 눈물을 머금고
네임서버를 옮겨서 등록을 한적이 있다. 하지만 여기서
Status 옆에 Advanced라고 있는대 그걸 누르면 UI가 드롭되면서 두가지 항목이 나오는데
Pause는 일시정지 / Delete Website는 말 그대로 웹사이트를 삭제한다.
원하는대로 도메인을 삭제를 할 수가 있다.
--------------------
클라우드플레어가 되게 좋은데
되게 큰 부작용이 있다. 그것이 무엇이냐...
일단 구조도 부터 보자
대략 구조가 이렇다.. 유저가 클라우드플레어로 접근을 하고 그 처리를 서버로 넘겨주는 방식이다. 이렇게 되면 리얼아이피 숨기는 역할을 하게되어 기본적인 보안처리가 가능하게 된다. 소스및 구조문제만 아니면 왠만한 보안이슈는 발생하기 어렵다.
문제는 모든 리퀘스트아이피를 앞단쪽에서 받아버리고 그 모든걸 서버에다가 리퀘스트를 전달해주느 일종의 프록시 역활을 하게 되어 . 타 프록시와 동일한 부작용을 가지고 있다는 것이다.
그래서 본서버에서 방화벽 작업을 해도 방화벽이 무력화되는 증상이 발생하여
관리하는데 있어 관리자 입장에서는 계륵같은 상황에 처하게 된다 .
그래서 아이피 차단 같은 경우에는 매우 불편하지만 어느정도 룰셋 조정이 가능하다.
대쉬보드 상단에 보면 Firewall이 있는데 그 항목을 클릭해보자
Security Level : 해당 기능같은 경우에는 보안등급을 매겨서 fooding 공격을 차단하는 의미인것 같았다. 필자가 fooding 공격을 당한적이 있었는데 레벨을 올리니 공격성 리퀘스트의 수가 크게 감소한 적이 있었다.(connlimit 설정과 유사한듯하다.)
불편함 없이 사용을 하기 위해서는 구조를 고려하고 레벨을 조정하는것이 좋을것 같다.
Challenge Passage : 이건 좀비인지 아닌지를 판단하고 본 페이지를 넘기는 기능인데... 주로 캡챠페이지기능과 유사하다고 생각하면 될것 같다. (실제로 그런지는 모르곘지만 경험상으론 그렇다) 그래서 접속시 클라우드플레어창이 뜨면서 몇초 대기했다가 본 페이지에 접속하게 된다. 초회 접속할때만 해당 페이지가 나오고 옆에 설정값은 에이징 타임이라고 생각하면 될것 같다.
다음으로 IP Firewall 기능인데. 여기서 차단을 해야 리얼 아이피가 차단이 된다. 본서버에서 설정해봤자 구조적인 문제로 소용이 없다. 여기서 차단해야한다. 무조건...
근데 되게 제한적인게 문제이다.
문제점 세가지(운영하면서 느끼고 있는 )
1. ALL 차단이 안된다. 차단 범위는 최대 16bit까지 가능함
2. 국가차단이 화이트처리만 된다.
3. iptables 처럼 유동적인 차단이 어렵다 오직 아이피와 국가만 차단...
이 문제만 감당할 수 있으면 충분히 이 방화벽도 유용하다.
댓글 없음:
댓글 쓰기