威胁景观每秒都在变化。随着攻击者的发展，变得更加动态和狡猾，漏洞出现的速度比工程师修补应用程序的速度要快。Cloudflare的任务之一是保护您和您的应用程序的安全。如今，Cloudflare推出了一项新功能，为客户提供了他们一直要求的功能—对他们的传入请求进行细粒度控制。Cloudflare已经提供了许多功能强大的防火墙工具，如IP规则、CIDR规则、ASN规则、国家/地区规则、HTTP用户代理阻止、区域锁定（对于这些URI，仅允许来自这些IP的流量）以及我们在WAF（Web应用程序防火墙）中全面管理的规则。但有时，您需要将这些功能结合起来以完全减轻攻击，并表达一个打破现有工具界限的块规则，为了能够"当请求来自该IP并且用户代理与其中一个匹配时阻止到该URI的流量"。灵活性和控制©Stefano Kocka:Source Wikipedia的共同主题出现在我们与客户讨论他们的需求时，同时还审查了客户支持团队看到的功能请求，我们将反馈和功能请求的最重要部分分为三个核心需求：更大的灵活性要创建一个不仅仅匹配单个属性（如IP地址和用户代理）的防火墙规则，通过使用字符串或模式，不仅完全匹配属性，而且部分匹配属性，例如，用户代理：*Firefox*通过UI和Cloudflare的公共API完成自助服务控制，即使对于最复杂的防火墙规则，该团队共同研究了新的防火墙方法是什么样的，有一个首要的任务是正面和中心：为我们的客户打造一把瑞士军刀式的防火墙。我们的主要目标是：提供一种工具，使客户能够灵活、精确地控制他们的流量，保持流畅直观的用户体验，这是我们在交付过程中发展壮大的东西确保我们的所有客户都可以访问和使用它，而不管用户技能或业务规模如何防火墙规则CloudFlare的新功能、防火墙规则，以广为人知的Wireshark®语言为灵感，以灵活直观的方式为客户提供控制请求的能力。规则的配置不仅可以通过我们的仪表板和API完成，还可以通过Terraform（此处链接）完成零部件：匹配：定义一个全局运行并与您的trafficAction精确匹配的筛选器操作：声明当筛选器匹配时Cloudflare应应用的操作Simply put，当过滤器匹配时，应用动作。匹配：作用域ruleCloudflare防火墙规则使客户能够访问HTTP请求的属性，包括referer、用户代理、cookies、Cloudflare威胁评分（IP信誉评分），以及更多。全部支持的报头可以由许多运算符匹配，包括部分匹配（contains），完成字符串或整数匹配（等于），对于我们的企业和企业客户，模式匹配（匹配）。是的，你读得对，我们现在提供模式匹配使用正则表达式，直接通过仪表板和API！防火墙规则最棒的地方在于Cloudflare对字段选项的灵活性；例如，Cloudflare的威胁情报（在功能上驱动仪表板上的安全级别）将成为客户可用的字段。Cloudflare引入的最重要领域之一是cf.client.bot字段，它通过反向DNS验证已知良好的机器人程序。在我们的初始版本中，我们为客户提供了"已知良好机器人程序"的一般分类。关于这些机器人的详细信息可以在这里找到。Cloudflare历来允许Google代表我们的客户使用，并使用Web应用防火墙规则（仅适用于专业及以上级别的客户）来阻止欺骗爬虫。通过防火墙规则，所有客户现在都可以访问这些保护。由于Cloudflare已经删除了allowlisting功能，因此重要的是客户只需cf.client.bot在一个允许的规则，以避免无意中阻止好的爬虫，这可能会影响你的搜索引擎优化和监控。行动：什么操作应用于requestAll标准Cloudflare操作，如JavaScript Challenge，有挑战和拦网。标准缓解列表中增加了一个新的功能，即allow action，它为客户提供了创建规则的能力，可以说"如果这个条件匹配，停止处理进一步的规则"。给我一些例子！当然，下面是我们今天看到的四个很酷的例子。目前，可视化规则生成器不支持高级规则或嵌套规则。每个规则下面都有说明。除GBorthis外，所有国家/地区都可以使用我们的IP-Editchis-Challenge来完成，但我们的示例IP+150都可以支持！(ip.geoip.国家ne"GB"）示例2-支持高级热链接保护：Visual Builder、Expression EditorCloudflare的内置热链接保护对于某些客户来说可能是限制性的，因为它不提供绕过某些路径的能力。这有时也可以捕获合法的爬虫程序(http.request.method情商"得到"和http.referer东北"。example.com网站"而不是http.user_代理匹配"（googlebot | facebook）"和http.request.uri.path eq"/content/"）示例3-阻止威胁评分大于10的客户端或来自恶意网络的客户端（按AS号码），访问我的登录页面支持：Expression Editor防火墙规则的优点之一是我们为您提供了访问权限参考威胁评分, 这就是今天仪表板中的安全级别的动力(http.request.uri.path eq"/login"和(参考威胁评分