Cloudflare + 阿里云 WAF + 云防火墙（CFW）纵深防御：真实 IP、CC/注入防护与投流/搜索机器人放行实战#

1.1 架构概览与流量路径#

典型链路如下：

用户 → Cloudflare → 阿里云 ALB（公网入口） → 阿里云 WAF → ECS 源站

在该链路中，源站默认看到的连接源 IP 往往是上游代理（Cloudflare/ALB/WAF）的地址；若不做正确配置，会直接导致：

• CC/限频按 IP 失效或误伤；
• 访问日志与审计溯源不准；
• 风控画像、地域策略、投放平台回访定位偏差。

架构概览图：

流量与 Header 变化路径图：

完整全路径流量图（含安全组配置）：

1.2 Cloudflare 侧：确认真实 IP Header 回源存在且未被改写#

Cloudflare 回源请求中最关键的真实 IP Header：

• CF-Connecting-IP：真实客户端 IP（单值，语义清晰，优先使用）
• X-Forwarded-For：通用链路 Header（多级代理时为列表）

注意：

• 不要在 Transform Rules / Workers 中删除或覆盖 CF-Connecting-IP
• “信任 Header”的前提是：源站网络层只允许可信上游访问（见后文源站与云防火墙加固）

1.3 ALB 侧：确保 X-Forwarded-For 不被删除#

ALB 建议配置为：

• 不删除 XFF（绝对不要 Remove/Delete）
• 可以选择 Add/追加（常见做法），以便后端具备标准化兜底链路

1.4 阿里云 WAF 3.0：配置“从 Cloudflare Header 获取真实 IP”（细节版）#

当 Cloudflare 在 WAF 前时，WAF 必须配置“前面有七层代理”，并指定从可信 Header 读取客户端 IP，推荐：

• 前面有七层代理：是
• 获取客户端真实 IP 方式：使用“指定 Header 的第一个 IP”作为真实 IP（防止 XFF 伪造）
• Header Field（按优先级顺序）：
  1. CF-Connecting-IP
  2. True-Client-IP（若链路存在）
  3. X-Real-IP（若链路存在）
  4. X-Forwarded-For（兜底）

要点：

• Header 可配置多个，WAF 按顺序匹配读取；缺失则按内置逻辑回退
• 选“第一个 IP”是为了避免攻击者在 X-Forwarded-For 尾部拼接伪造链路绕过

1.5 源站（ECS/Nginx/应用）日志与真实 IP#

即使 WAF 已正确识别真实 IP，仍建议在源站日志保留关键字段，便于排障与回溯：

• remote_addr（网络层看到的源地址）
• CF-Connecting-IP
• X-Forwarded-For
• User-Agent

2.1 Cloudflare 最新版功能模块在哪里（控制台路径地图）#

以下路径以 Cloudflare 新版控制台为准（不同账号可能显示“Security rules page/安全规则”入口，但字段与逻辑一致）：

2.2 关键能力解释：每个“选型”的含义与推荐动作#

2.3 Business 版推荐配置（抗压 + 低误伤的“默认档”）#

下面给你一套“默认就能用”的 Business 配置，并附上“攻击期加固档”。

2.4 Free 版推荐配置（在能力受限下尽量“抗压 + 低误伤”）#

Free 计划可用的关键点：

• Cloudflare Free Managed Ruleset 已默认部署（高影响漏洞/广泛攻击托底）。
• Custom rules 在 Free 也可用，但数量更少（例如 5 条）且不支持 Log、Regex，所以你要“少而精”。
• Bot 防护只有 Bot Fight Mode（域名级别，无法精细调参）。

2.5 正常 Bot 放行（Facebook / TikTok / Google / Telegram 等）——“不靠猜 UA”的最新版做法#

你提到“通过 User-Agent 信任 Bot”，但最新版 Cloudflare 更推荐你优先用 Verified Bot Categories（可验证） 来放行，因为它是 Cloudflare 识别后的信号，误判与被伪造的风险更低，并且所有计划都可用。

2.6 长 URL 被托管质询/挑战的治理（不靠“关 WAF”）#

长 URL（参数多、query 很长）常见被挑战原因有两类：

1. 被 Managed rules / OWASP 的“请求异常/注入特征”误判；
2. 被 Rate limiting 当成高频或被 Bot 策略误判。

2.7 攻击期“一键加固”预案（不影响 API 的做法）#

当你遭遇大规模 CC 时，建议按顺序升级（每一步都能回滚）：

1. 先加 Rate limiting（按路径）：优先对热点路径加 Managed Challenge（低误伤）
2. 再提高 Security Level（短期）：从 Medium → High
3. 再启用 Under Attack mode（最后手段）：只在攻击峰值期开，并建议用 Configuration Rule 对 /api/* 禁用 Under Attack，避免 API 被挑战影响业务调用

2.8 你可以直接照抄的“通用规则骨架”（建议落地）#

下面是“策略骨架”，你把路径替换成你自己的即可：

1. Verified bots（Search/Preview/Ads）→ Skip（Managed rules + Rate limiting +（Business 可选）SBFM）
2. 落地页长 URL → Skip（仅跳过导致误判的那部分）
3. 登录/敏感动作（POST）→ Rate limiting + Managed Challenge
4. API（GET）→ Rate limiting + Managed Challenge
5. 常见扫描路径 → Block

3.1 核心 Web 防护：注入 / XSS / 命令执行 / WebShell#

保持核心规则组开启作为主战场。误报治理建议优先用“白名单跳过部分模块”，不要一键关闭核心防护。

3.2 扫描防护（Scan Protection）：最容易误伤投流审核的模块之一#

投流平台审核/预览抓取常见行为：

• 短时间集中抓取
• 访问路径较深、参数复杂
• 重试较多

建议：

• 扫描防护保持开启
• 对明确可信且有业务价值的抓取（Meta/TikTok/Telegram/Ads）建立“可控放行”白名单：只跳过必要模块，并严格限制 URI 范围（落地页 + 静态资源）

3.3 白名单（Whitelist）：正确的放行姿势是“跳过指定模块”#

白名单用于让匹配请求绕过全部或指定模块。对机器人放行建议：

• 只跳过必要模块（例如扫描防护、部分访问控制或限频）
• 保留核心 Web 攻击防护
• 限制 URI 范围（只放行落地页、OG 元信息页、必要静态资源）

4.1 常见 UA 放行规则清单#

• adbot
• AdsBot-Google
• AdsBot-Google-Mobile
• bingbot
• Bytespider
• facebookcatalog
• facebookexternalhit
• facebot
• googlebot
• linkedinbot
• meta-externalads
• meta-externalhit
• slackbot
• telegrambot
• TikTokSpider
• twitterbot
• twitterbot/1.0

4.2 三段式放行模型（推荐）#

A. 强可信（优先）：可验证搜索机器人

• Cloudflare：Verified Bots 豁免挑战/限频
• 源站/应用：需要强校验时，对 Google/Bing 做反向 DNS + 正向 DNS 校验

B. 中可信（可控放行）：投流审核 / Link Preview Fetcher

• 只放行落地页与必要资源
• 保留核心 Web 防护
• 扫描防护/部分限频可跳过或放宽

C. 低可信（谨慎）：AI/采集型爬虫

• 没有业务收益的抓取建议限速或阻断，避免带宽与资源被消耗

5.1 源站只允许可信上游访问#

• ECS 安全组：仅允许来自 WAF 回源 CIDR、必要的 ALB 私网网段/安全组、以及按需的 Cloudflare IP 段
• 删除不必要的公网放通（例如 0.0.0.0/0 直连源站）

6.0 先判断：云防火墙是否会影响你的入口#

• 如果你没有在云防火墙配置任何“互联网边界访问控制策略”，云防火墙默认允许互联网流量进入资产（你仍可能被 IPS 拦截，见 6.4）。
• 一旦你启用“严格访问控制”（例如默认拒绝、只允许白名单），必须把 Cloudflare / 必要探活流量显式放行，否则会出现全站不可用或间歇性失败。

6.1 在云防火墙（Cloud Firewall）“互联网边界”加白：允许 Cloudflare → ALB 公网入口#

在哪里配（控制台路径）：
Cloud Firewall 控制台 → Protection Configuration → Access Control → Internet Border → Inbound（入向）
在入向页签里，选择 IPV4 或 IPV6，点击 Create Policy 创建策略。

策略要点（源是谁 / 目的是谁）：

• Source（源）： Cloudflare 官方 IP ranges（IPv4 + IPv6）
• Destination（目的）： 你的 ALB 公网入口（ALB 绑定的 EIP / 公网 IP）
• Protocol/Port： TCP:80、TCP:443（或你的实际监听端口）
• Action： Allow（允许）
• Priority： 高于“拒绝所有”的兜底规则（即更高优先级）

推荐写法：两条允许 + 两条兜底拒绝

1. 允许（IPv4）

• Source: Cloudflare IPv4 IP ranges
• Destination: ALB EIP（或公网 IP）
• Port: 80/443
• Action: Allow
• Priority: 高

2. 允许（IPv6）

• Source: Cloudflare IPv6 IP ranges
• Destination: ALB EIP（或公网 IP）
• Port: 80/443
• Action: Allow
• Priority: 高

3. 拒绝兜底（IPv4）

• Source: 0.0.0.0/0
• Destination: ALB EIP（或公网 IP）
• Port: 80/443
• Action: Deny
• Priority: 低（必须低于允许规则）

4. 拒绝兜底（IPv6）

• Source: ::/0
• Destination: ALB EIP（或公网 IP）
• Port: 80/443
• Action: Deny
• Priority: 低（必须低于允许规则）

运维注意：Cloudflare IP ranges 会调整，务必以 Cloudflare 官方页面为准定期更新（建议用地址簿/地址组统一管理，然后策略引用地址簿）。

6.2 在 ALB 自身加白：只允许 Cloudflare 访问监听端口（第二道收口）#

仅在云防火墙放行还不够稳。更推荐在 ALB 自身也做一次“只允许 Cloudflare”的访问控制，避免云防火墙策略被误改后 ALB 直接暴露公网。

在哪里配（方式 1：ALB 安全组，最常见）：
ALB 控制台 → 找到实例 → 关联 Security Group（安全组） → 在该安全组的 Inbound（入方向） 里加规则。

源是谁 / 目的是谁：

• Source（源）： Cloudflare IP ranges（IPv4 + IPv6 CIDR）
• Destination（目的）： ALB（安全组绑定到 ALB 实例）
• Protocol/Port： TCP:80、TCP:443（与监听端口一致）
• Action： 允许（Allow 规则）

重要：ALB 安全组要实现“白名单”，通常需要“允许 + 拒绝”配合
ALB 文档说明：如果 ALB 实例加入安全组后仅有 Allow 规则、没有 Deny 规则，监听端口可能仍允许所有请求；要做到“只允许特定 IP”，需要同时配置 Deny 规则（或使用具备默认拒绝能力的安全组类型/默认规则）。实际以你所用安全组类型（基础/高级）与实例形态为准。

推荐规则组合：

• Allow：Cloudflare IP ranges → ALB → TCP:80/443（高优先级）
• Deny：0.0.0.0/0（以及 ::/0）→ ALB → TCP:80/443（低优先级）

额外注意：ALB 通常存在“托管/managed 安全组”规则用于 ALB 与后端通信。不要把 ALB 的本地地址（local IP）加到最高优先级 Deny 里，否则可能中断 ALB 与后端的通信。

在哪里配（方式 2：ACL）：
部分场景可用 ALB/SLB 的 ACL（访问控制列表）对白名单 CIDR 生效。原则与字段不变：源=Cloudflare IP ranges，目的=ALB 监听器，端口=80/443，白名单优先于拒绝。

6.3 在 ECS 源站加白：放行 WAF 回源 CIDR（必须做，否则大量 5xx/超时）#

只要你启用阿里云 WAF 作为代理回源，源站看到的请求源就会是 WAF 的 back-to-origin CIDR。如果源站安全组没放行，会导致：

• WAF 无法回源，业务大量 5xx / 超时
• 源站误把 WAF 回源段当攻击 IP 段封禁

在哪里配（ECS 安全组）：
ECS 控制台 → Network & Security → Security Groups → 选中源站安全组 → Inbound → Add Rule。

源是谁 / 目的是谁：

• Source（源）： WAF back-to-origin CIDR blocks（从 WAF 控制台获取，必须全量添加）
• Destination（目的）： ECS 实例（安全组绑定到 ECS，目标端口是你的服务端口）
• Protocol/Port： HTTP(80)、HTTPS(443) 或你的实际应用端口（例如 8080/8443）
• Action： Allow
• Priority： 最高（例如 Priority=1），并再加一条最低优先级 Deny 兜底（例如 Priority=100，源=0.0.0.0/0）把源站收口到“只允许 WAF 回源段”

若你的源站只在内网被访问（不暴露公网），云防火墙互联网边界可能看不到该内网流量，但 ECS 安全组一定会生效。

6.4 云防火墙 IPS 仍可能拦截“已允许”的流量：需要单独处理 IPS（避免误拦）#

云防火墙的 访问控制（Access Control） 与 IPS（入侵防御/虚拟补丁） 是两条不同的拦截链路：

• 访问控制 Allow 只表示“通过 ACL/访问策略”
• IPS 仍可能在阻断模式下拦截同一条流量（例如被识别为扫描、漏洞利用特征）

在哪里配（IPS 白名单/Allowlist）：
Cloud Firewall 控制台 → Prevention / Intrusion Prevention（IPS 配置页）
在对应实例/边界的 Actions 列中，进入 Configure IPS Whitelist，分别配置 “Source IP Allowlist” 与 “Destination IP Allowlist”（以控制台实际字段为准）。

源是谁 / 目的是谁：

• Source allowlist（源白名单）： 你信任的来源 IP（示例：Cloudflare 边缘节点 IP）
• Destination allowlist（目的白名单）： 你信任的目的 IP（示例：ALB 公网入口 EIP 或 ECS EIP）

实操建议：Cloudflare IP 段数量较多，而部分 IPS 白名单能力可能存在条目数量上限。更通用的做法是：

1. 攻击期先把 IPS 从 Block 调整为 Monitor/观察，确保业务稳定；
2. 再按拦截日志逐步加精确例外（或仅对白名单入口资产启用 IPS 阻断）。

6.5 最终核验清单（上线前必做）#

1. 云防火墙（Internet Border → Inbound）

• Allow：Source=Cloudflare IP ranges → Destination=ALB EIP → TCP:80/443（高优先级）
• Deny：Source=0.0.0.0/0（IPv6 用 ::/0）→ Destination=ALB EIP → TCP:80/443（低优先级）

2. ALB 自身（安全组或 ACL）

• Allow：Source=Cloudflare IP ranges → Destination=ALB → TCP:80/443
• Deny：Source=0.0.0.0/0（以及 ::/0）→ Destination=ALB → TCP:80/443
• 确认未误伤 ALB 与后端的本地通信地址（避免把 local IP 加入高优先级 Deny）

3. ECS 源站（安全组 Inbound）

• Allow：Source=WAF back-to-origin CIDR → Destination=ECS → 服务端口（高优先级）
• Deny：Source=0.0.0.0/0 → Destination=ECS → 服务端口（低优先级，按需）

4. 云防火墙 IPS

• 若启用 Block：先确认未误拦关键入口；必要时改为 Monitor 并按日志逐步收紧

5. 排障顺序

• 先看云防火墙拦截日志（Access Control / IPS）
• 再看 ALB 安全组/ACL 命中情况
• 再看 WAF 拦截日志
• 最后看源站 access log（Header/IP 是否一致）