CloudflareのDNSにWebサーバを接続するという事は、CloudflareのCDNを利用する事になります。
CDNとは
CDNは[Contents Delivery Network]の略で、画像データ等がCloudflareのネットワークの中にキャッシュされるのでユーザから見たレスポンスが早くなる仕掛けになります。
このCDNを使った接続関係は下図の様になります。
■クライアントとCloudflare間はIPv4又はIPv6で通信します。
■CloudflareとWebサーバ間は3つの接続方法があります。
3.Cloudflareのトンネルで接続する(CNAMEレコード)
上記で接続されたWebサーバは無料版でも下記の様なセキュリティ対策がバンドルされます。
・WAF
WAF(ワフ)とは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守るツールです。
わざわざWAF対策ツールを購入しなくてもCloudflarを利用するだけで対策できる様になります。
・DDoS
DoS攻撃とは1つのIPアドレスからターゲットに大量のアクセスデータを送り負荷をかける攻撃です。
一方、DDoS攻撃は複数のIPアドレスからDoS攻撃をかけるアタック方法です。
CloudflareのCDNを利用すると、このDDoS攻撃にも対応できる様になります。
下記に各接続方法の特徴を解説します。
この接続は絶対に推奨できません。
CloudflareのDNSにインタネット回線のグローバルIPをAレコードで登録します。
回線のグローバルIPだけではWebサーバのIPアドレスが特定できないので、ファイアウオールで80/443のポート番号の転送先をプライベートIPで指定する必要があります。
よって80/443のポート番号を利用するサーバは1台に限定されます。
又、インターネット回線が変動IPの場合は、IPアドレスが変更になった時の更新処理が必要になります。
オリジンIPに対するDDoS対策は、CloudflareとWebサーバ間の通信はCloudflareのIPv4アドレスに限定する必要があります。
詳細は[オリジンIPに対する攻撃]を参照して下さい。
この接続はIPv4よりは「まし」というレベルでこれも推奨できません。
CloudflareのDNSにWebサーバのIPv6アドレスをAAAAレコードで登録します。
IPv6はサーバのアドレスも指定するので複数台のWebサーバが80/443で利用できます。
又、インターネット回線が変動IPの場合は、IPアドレスが変更になった時の更新処理が必要になります。
オリジンIPに対するDDoS対策は、CloudflareとWebサーバ間の通信はCloudflareのIPv6アドレスに限定する必要があります。
詳細は[オリジンIPに対する攻撃]を参照して下さい。
尚、具体的な接続方法は[IPv6で接続する方法]を参照して下さい。
3.Cloudflareのトンネルで接続する(CNAMEレコード)
これが推奨の接続方法です。
CloudflareのZero Trustのトンネルの[Public Hostname]で接続するWebサーバを定義します。
この定義によりCloudflareのDNSにCNAMEレコードが自動で作成されます。
尚、具体的な接続方法は[トンネルで接続する]を参照して下さい。
この接続のメリット下記で解説します。
①Webサーバを複数のサーバに分散できる
この接続はポート番号[443]の転送という概念が無い為、ローカルネットワークの中にある複数のWebサーバを自由に利用する事ができます。
②固定IPでなくてもOK
IPv4やIPv6の場合はISPのIPアドレスが変わった時にCloudflare側を更新する必要がありましたが、トンネル接続はISPのIPアドレスが変わってもトンネルソフトが吸収してくれるので更新処理は不要になります。
③オリジンIPに対する不正アクセスをブロックしやすい
CloudflareのCDNで接続した場合、サーバのオリジンIPは第3者に判りませんが、これを知りえる手段もあります。
詳細は[オリジンIPに対する攻撃]を参照して下さい。
トンネル接続はポート番号は利用しないので下図の様にファイアウオールで総てのポート番号をブロックしても問題がありません。
やり方は[ポート開放状況調査とブロック]を参照して下さい。
■ファイアウオールで総てのポート番号をブロックするとインターネットからはVPN接続も含めて総て通信がブロックされます。
しかし、外部から社内のリソースが利用できないとリモートワークができません。
そこに登場するのがCloudflareの[Zero Trust]です。
WARPクライアントを利用すると外部からでもブロックされたファイアウオールを超えて総てのリソースに安全にアクセスできるようになります。
これからは、ファイアウオールで社内を守るという概念自体がなくなります。