赛博菩萨现身!手把手教你白嫖 15 年免费证书 + 顶级网站防护,流量成本直降 99%!

📝 摘要
还在为阿里云、腾讯云 3 个月一次的 SSL 证书续期烦恼吗?本指南教你通过 Cloudflare(人称“赛博菩萨”)申请长达 15 年的免费通配符 SSL 证书,并手把手教你配置顶级 WAF 防火墙,将恶意攻击流量降到原来的 1%!

🌟 为什么我们需要“赛博菩萨”?

最近不少站长朋友跟我抱怨,云厂商的免费 SSL 证书有效期从一年缩短到三个月,频繁手动更新简直是噩梦。再加上网站三天两头被扫、流量包莫名其妙见底,运维压力山大。

今天我就把压箱底的宝贝分享出来——Cloudflare (CF)。它不仅是全球最大的 CDN 厂商,更是我们站长的“救命恩人”。

CF 的核心优势:

  • 超长待机:提供有效期长达 15 年 的免费 SSL 证书。
  • 通配符支持:一个证书搞定所有二级域名。
  • 强力防护:自带免费 DDoS 防护和 WAF 防火墙,能把 80G 的恶意流量压到几百 M。

一、 15 年免费 SSL 证书申请:一劳永逸!

与其每 90 天折腾一次,不如一次性搞定 15 年。

1. 准备工作

首先,你得有个 Cloudflare 账号,并将域名的 DNS 解析托管到 CF。在域名管理后台,把原来的 NS 地址修改为 CF 提供的(例如 coco.ns.cloudflare.com)即可。

2. 创建证书

  • 进入 CF 后台,点击左侧菜单栏的 SSL/TLS -> 源站

  • 点击“创建证书”,选择“使用 Cloudflare 生成私钥和 CSR”。

  • 关键点:在有效期一栏,直接拉满选择 15 年
  • 生成的证书内容和私钥务必保存好。私钥(Private Key)离开页面就看不到了,建议存成 private.keycertificate.pem 文件。

3. 开启“严格”模式

在服务器安装完证书后,别忘了在 CF 的 SSL/TLS 概述页面,将加密模式改为“完整(严格)”,这样你的网站通信才真正安全。

二、 进阶:配置“智能门卫”屏蔽攻击

证书只是基础,真正的技术活是利用 CF 的 Custom Rules(自定义规则) 让你的网站稳如泰山。

🚀 第一招:一键拦截海外流量

如果你的网站只服务国内用户,那 99% 的海外访问可能都是爬虫或攻击。

  • 操作:Security -> Security rules -> Create rule。
  • 规则Field: Country + Operator: does not equal + Value: China -> Action: Block
  • 效果:所有非中国大陆的 IP 直接吃闭门羹,源站压力瞬间归零!

🛡️ 第二招:精准打击恶意 UA

很多攻击脚本(如 Python、curl)特征明显。我们可以通过识别 User-Agent 来拦截:

  • 配置:当 UA 包含 curlpythonheadlesschrome 时,直接拦截。
  • 注意:对于百度、搜狗等搜索引擎爬虫,建议使用 Managed Challenge(托管挑战) 模式。这就像给真人发一张验证码,既能防刷又不影响 SEO 收录。

📊 第三招:优先级编排

规则不是越多越好,顺序很重要!建议按照以下优先级排列:

  1. 白名单(放行自己人)
  2. 搜索引擎挑战(保护爬虫)
  3. 恶意 UA 拦截
  4. 海外 IP 屏蔽

三、 实战:利用 GA 分析“抓鬼”

CF 的 Security Events 告诉我们拦截了谁,而 Google Analytics (GA) 能告诉我们攻击者想看什么。

如果你发现 GA 里某些路径(比如 /wp-login 或某接口)有异常高的跳出率或零秒会话,那这就是被盯上了。

  • 应对方案:在 CF 中针对这些高危路径设置 Rate Limit(速率限制)。例如:每分钟请求超过 5 次的 IP 封禁 10 分钟。

💬 写在最后

网络安全不是一劳永逸的,但有了 Cloudflare 这位“赛博菩萨”,我们确实能省下大笔的证书费和服务器带宽费。