サードパーティサービスとDDoS保護

Cloudflareの前にサードパーティCDNを使用する

一部のCloudflare顧客は、リソースをキャッシュして提供するためにCloudflareの前にコンテンツ配信ネットワーク (CDN)を使用することを選択します。

Cloudflareは、Cloudflareの前にサードパーティCDNを使用しないことを推奨します。一部のCDNプロバイダーは、プロトコル標準やプロトコルのベストプラクティスから逸脱するHTTPリクエストに微妙な違いをもたらす可能性があります。さらに、CloudflareへのトラフィックはサードパーティCDNの限られたIPアドレスから発信されるため、稀に—例えば、Cloudflareの前にAkamai CDNを使用している場合—これらの限られたIPアドレスからのトラフィックの量により、CDNがCloudflareに対してDDoS攻撃を行っているように見えることがあります。

したがって、**Cloudflare CDN**を使用することを推奨します。これにより、以下の利点が得られます：

ベンダーデータセンター間の追加のホップを削除し、ユーザーのレイテンシを減少させます。
インターネットからの最初の接触点でDDoSフィルタリングを行い、これは推奨されるベストプラクティスです。

注意してください。Cloudflareの前にサードパーティCDNを使用していて、CloudflareがDDoS攻撃を緩和した場合、緩和される前に処理された攻撃トラフィックに対して、最初のホップCDNプロバイダーに料金を支払うことになります。

推奨されるDDoS構成調整

Cloudflareの前にCDNまたはプロキシを使用している場合、以下のDDoSルールのアクションおよび/または感度レベルを変更することを推奨します：

HTTP requests with unusual HTTP headers or URI path (signature #1) ルールID ...3486aee1
HTTP requests with unusual HTTP headers or URI path (signature #56) ルールID ...e269dfd6
HTTP requests with unusual HTTP headers or URI path (signature #57) ルールID ...f35a42a0
Requests coming from known bad sources ルールID ...3a679c52

ルールのアクションを_ログ_に変更することをお勧めします（エンタープライズプランでのみ利用可能）。これにより、分析ダッシュボードでフラグが立てられたトラフィックを表示できます。あるいは、ルールの感度レベルを_基本的にオフ_に変更して、ルールがトリガーされないようにします。

詳細については、HTTP DDoS攻撃保護管理ルールセット：ルールセット構成を参照してください。

VPN、NAT、およびその他のサードパーティサービスの使用

一部のCloudflare Magic Transit顧客は、リモート従業員が組織のサービスに安全に接続できるように仮想プライベートネットワーク (VPN)を運営しています。さらに、大規模な組織は、ネットワークの出入りを管理するネットワークアドレッシング変換（NAT）システムを持っています。

Cloudflare Magic Transit顧客は、Zoom、Webex、Microsoft Teamsなどのサードパーティサービスを内部組織のコミュニケーションに使用することもあります。Cloudflareへのトラフィックは、これらのサードパーティサービスに属する限られたIPアドレスから発信されるため、限られたIPアドレスからのトラフィックの量により、サービスがCloudflareに対してDDoS攻撃を行っているように見えることがあります。

さらに、このトラフィックが限られた宛先（例えば、同じ指定されたサービスポート、VPNエンドポイント、またはNAT IPアドレス）をターゲットにしている場合、限られたIPから限られたIPへのトラフィックの量により、CDNがCloudflareに対してDDoS攻撃を行っているように見えることがあります。

推奨されるDDoS構成調整

組織が100 Mbpsを超える高いレートでVPN、NAT、またはサードパーティサービスを使用している場合、以下のいずれかを推奨します：

関連するルールの感度レベルを低いレベルに変更します。レベルを_基本的にオフ_に変更すると、ルールがトリガーされなくなります。利用可能な調整とその実行方法については、HTTP DDoS攻撃保護管理ルールセットおよびネットワーク層DDoS攻撃保護管理ルールセットを参照してください。
表現フィルターを使用して、管理DDoSルールから希望するトラフィックを除外します。ソースポート、ソースIPアドレス、宛先ポート、宛先IPアドレス、プロトコルの組み合わせを除外できます。詳細については、APIを介したネットワーク層DDoS攻撃保護の構成を参照してください。

エンタープライズプランに加入している場合、ルールのアクションを_ログ_に変更して、分析ダッシュボードでフラグが立てられたトラフィックを表示できます。この情報を収集した後、前述のようにルールの調整を定義できます。

Cloudflare Dashboard Discord Community Learning Center Support Portal

Cookie Settings