HOME  /Cloudflare
 /CloudflareのDNSにWebサーバを接続する方法【概論】
2024年08月21日

CloudflareのDNSにWebサーバを接続する方法【概論】


CloudflareのDNSにWebサーバを接続するという事は、CloudflareのCDNを利用する事になります。

 CDNとは

CDNは[Contents Delivery Network]の略で、画像データ等がCloudflareのネットワークの中にキャッシュされるのでユーザから見たレスポンスが早くなる仕掛けになります。

このCDNを使った接続関係は下図の様になります。

■クライアントとCloudflare間はIPv4又はIPv6で通信します。

■CloudflareとWebサーバ間は3つの接続方法があります。

1.IPv4で接続する(Aレコード)

2.IPv6で接続する(AAAAレコード)

3.Cloudflareのトンネルで接続する(CNAMEレコード)

 上記で接続されたWebサーバは無料版でも下記の様なセキュリティ対策がバンドルされます。

WAF

WAF(ワフ)とは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守るツールです。

わざわざWAF対策ツールを購入しなくてもCloudflarを利用するだけで対策できる様になります。

DDoS

DoS攻撃とは1つのIPアドレスからターゲットに大量のアクセスデータを送り負荷をかける攻撃です。

一方、DDoS攻撃は複数のIPアドレスからDoS攻撃をかけるアタック方法です。

CloudflareのCDNを利用すると、このDDoS攻撃にも対応できる様になります。

 

下記に各接続方法の特徴を解説します。

1.IPv4で接続する(Aレコード)

この接続は絶対に推奨できません。

CloudflareのDNSにインタネット回線のグローバルIPをAレコードで登録します。

回線のグローバルIPだけではWebサーバのIPアドレスが特定できないので、ファイアウオールで80/443のポート番号の転送先をプライベートIPで指定する必要があります。

よって80/443のポート番号を利用するサーバは1台に限定されます。

又、インターネット回線が変動IPの場合は、IPアドレスが変更になった時の更新処理が必要になります。

オリジンIPに対するDDoS対策は、CloudflareとWebサーバ間の通信はCloudflareのIPv4アドレスに限定する必要があります。

詳細は[オリジンIPに対する攻撃]を参照して下さい。

 

2.IPv6で接続する(AAAAレコード)

この接続はIPv4よりは「まし」というレベルでこれも推奨できません。

CloudflareのDNSにWebサーバのIPv6アドレスをAAAAレコードで登録します。

IPv6はサーバのアドレスも指定するので複数台のWebサーバが80/443で利用できます。

又、インターネット回線が変動IPの場合は、IPアドレスが変更になった時の更新処理が必要になります。

オリジンIPに対するDDoS対策は、CloudflareとWebサーバ間の通信はCloudflareのIPv6アドレスに限定する必要があります。

詳細は[オリジンIPに対する攻撃]を参照して下さい。

尚、具体的な接続方法は[IPv6で接続する方法]を参照して下さい。

 

3.Cloudflareのトンネルで接続する(CNAMEレコード)

これが推奨の接続方法です。

CloudflareのZero Trustのトンネルの[Public Hostname]で接続するWebサーバを定義します。

この定義によりCloudflareのDNSにCNAMEレコードが自動で作成されます。

尚、具体的な接続方法は[トンネルで接続する]を参照して下さい。

この接続のメリット下記で解説します。

①Webサーバを複数のサーバに分散できる

この接続はポート番号[443]の転送という概念が無い為、ローカルネットワークの中にある複数のWebサーバを自由に利用する事ができます。

 

②固定IPでなくてもOK

IPv4やIPv6の場合はISPのIPアドレスが変わった時にCloudflare側を更新する必要がありましたが、トンネル接続はISPのIPアドレスが変わってもトンネルソフトが吸収してくれるので更新処理は不要になります。

 

③オリジンIPに対する不正アクセスをブロックしやすい

CloudflareのCDNで接続した場合、サーバのオリジンIPは第3者に判りませんが、これを知りえる手段もあります。

詳細は[オリジンIPに対する攻撃]を参照して下さい。

トンネル接続はポート番号は利用しないので下図の様にファイアウオールで総てのポート番号をブロックしても問題がありません。

やり方は[ポート開放状況調査とブロック]を参照して下さい。

■ファイアウオールで総てのポート番号をブロックするとインターネットからはVPN接続も含めて総て通信がブロックされます。

しかし、外部から社内のリソースが利用できないとリモートワークができません。

そこに登場するのがCloudflareの[Zero Trust]です。

WARPクライアントを利用すると外部からでもブロックされたファイアウオールを超えて総てのリソースに安全にアクセスできるようになります。

これからは、ファイアウオールで社内を守るという概念自体がなくなります。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「cloudflare」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflareの[Email Routing]はCloudflareで管理しているドメインにメールアドレスを定義し、これを他のメールシステム(Gmail等)に転送するアプリケーションです。この機能を利用するとメールサーバを立てなくても企業ドメインのメールシステムが構築できます。

IPv4、IPv6アドレスを調べるとインターネットからのポート開放状況や利用しているCDNベンダを調べる事ができます。ここではこれらを調査する方法を詳しく解説しています。

DNS(Domain Name System)は、[ DNSリゾルバ ]、[ DNSルートネームサーバ ]、[ TLDネームサーバ ] 及び [ 権威DNSサーバ] から構成される仕掛けで、インターネットアクセスに必須な仕掛けになります。

DDoS攻撃には1.DNSサーバに対する攻撃、2.グローバルIPに対する攻撃、3.オリジンIPに対する攻撃があります。CloudflareのCDNを利用してDDoS攻撃対策をする為にはオリジンIPに対する攻撃も考慮する必要があります。

CloudflareのCDNは、Cloudflareの高速ネットワークの中にコンテンツをキャッシュしてくれると共に、1.IPv6対応、2.DDoS対策、3.WAF対策、4.ボット対策を行ってくれるCDNサービスです。

[ 1.1.1.3 ] は [ 1.1.1.2 ] のマルウェア等のサイトブロック機能に加えて、ブラウザの[セーフサーチ機能]を自動でONにする事によりアダルトサイトを表示させないDNSリゾルバになります。ここではこの利用方法を徹底解説しています。

[1.1.1.1] は、Cloudflare社とアジア地区のIPアドレスの元締めの APNICが共同開発した無償でスピードが一番早いDNSリゾルバーになります。ここではこの利用方法を徹底解説しています。

[ 1.1.1.2 ] は [ 1.1.1.1 ] の機能にセキュリティリスクがあると判断したWebサイトをブロックする機能が追加されます。
ここではこの利用方法を徹底解説しています。

SynologyのWebサーバをCloudflareにtトンネルで接続する為には①Cloudflareとサーバ間にトンネルを作成する②トンネルにWebサーバを定義する皇都で行います。

SynologyのWebサーバをCloudflareにIPv6で接続する為には①Cloudflareに仮のAAAAレコードを作成し、Synology側からこのAAAAレコードを更新する方法で行います。

CloudfalreのCDNを利用する為には①Cloudflareアカウントの作成、②ドメインの追加、③CDNの設定に順番で設定していきます。また④Cloudflareアカウントの2要素認証も重要になります。

ここではXserverからドメイン名を取得する方法を解説しています。