Bosh sahifa Wiki Cloudflare

Cloudflare

Cloudflare — internet ilovalari oldida joylashib, content delivery, DNS, reverse proxy, traffic filtering, DDoS himoyasi va edge computing xizmatlarini taqdim etadigan global network platforma. U foydalanuvchi requestlarini origin serverga yetib borishidan oldin qabul qilib, performance va security funksiyalarini bajarishi mumkin.

Cloudflare ko‘p hollarda authoritative DNS va reverse proxy qatlamida ishlatiladi.

Reverse proxy

Proxy yoqilganda client to‘g‘ridan-to‘g‘ri origin IPga emas, Cloudflare edge node’iga ulanadi.

Edge:

bajarib, kerak bo‘lsa requestni origin serverga yuboradi.

Global network

Edge point of presence’lar foydalanuvchilarga geografik yaqin joylashadi.

Anycast routing bir xil IP prefixni ko‘p lokatsiyadan e’lon qilishi mumkin.

Traffic network holatiga qarab yaqin yoki optimal data centerga boradi.

Bu latency va resilience’ni yaxshilaydi.

DNS

Authoritative DNS domain recordlariga javob beradi.

Recordlar:

  • A;
  • AAAA;
  • CNAME;
  • MX;
  • TXT;
  • boshqa turlar.

Proxy status faqat mos web trafik recordlariga qo‘llanishi mumkin.

DNSSEC domain javobining originini cryptographic tekshirishga yordam beradi.

CDN

Cacheable content edge’da saqlanadi.

User bir xil assetni origin’dan qayta-qayta olmaydi.

Cache key:

asosida tuzilishi mumkin.

Noto‘g‘ri cache private data’ni boshqa userga ko‘rsatishi mumkin.

Cache control

Origin Cache-Control, ETag va boshqa headerlar orqali cache behaviorini bildiradi.

Edge rule bu behaviorni o‘zgartirishi mumkin.

HTML va API response’ni uzoq cache qilishdan oldin authentication va personalization tekshiriladi.

Purge eski contentni olib tashlaydi.

DDoS himoyasi

Distributed denial-of-service trafikni global networkda absorb va filter qilishga yordam beradi.

Layer 3/4 va application layer hujumlari farq qiladi.

DDoS himoyasi applicationdagi qimmat endpoint va business abuse’ni avtomatik to‘liq hal qilmaydi.

Rate limit va origin capacity ham muhim.

Web Application Firewall

WAF HTTP requestlarni rule asosida tekshiradi.

U:

bo‘yicha action bajarishi mumkin.

False positive kuzatiladi va rule tuning qilinadi.

Bot boshqaruvi

Automation trafikni ajratishga harakat qiladi.

Bot:

bo‘lishi mumkin.

Faqat user-agentga tayanish yetarli emas.

Behavior va reputation signallari ishlatiladi.

Rate limiting

Ma’lum endpoint uchun request tezligini cheklaydi.

Key:

bo‘lishi mumkin.

NAT ortidagi ko‘p userni faqat IP bo‘yicha cheklash false positive yaratadi.

TLS

Edge client bilan TLS connectionni tugatadi.

Keyin edge va origin orasida ham TLS ishlatilishi kerak.

“Flexible”ga o‘xshash origin tomonda plaintext model xavfsizlikni pasaytiradi.

Origin certificate va strict validation afzal.

Origin himoyasi

Origin IP internetga ochiq qolsa attacker Cloudflare’ni chetlab to‘g‘ridan-to‘g‘ri ulanishi mumkin.

Firewall faqat trusted proxy networkidan trafikni qabul qiladi.

Authenticated origin pull, tunnel yoki private connection qo‘llanishi mumkin.

Mail va boshqa service’lar origin IPni oshkor qilishi ehtimoli bor.

Load balancing

Bir nechta origin pool health check bilan boshqariladi.

Traffic region, latency yoki weight bo‘yicha taqsimlanishi mumkin.

Origin unhealthy bo‘lsa boshqa poolga failover qilinadi.

Database va session ham failoverga tayyor bo‘lishi kerak.

Edge computing

Requestga yaqin joyda JavaScript yoki boshqa supported runtime’da kod ishlashi mumkin.

Use-case:

Execution time va API cheklovlari mavjud.

Edge storage

Edge function bilan key-value, object yoki stateful storagega oid xizmatlar ishlatilishi mumkin.

Global replication latency’ni kamaytiradi.

Consistency modeli application uchun muhim.

Strong transaction talab qiladigan data regional database’da qolishi mumkin.

Tunnel

Origin public inbound port ochmasdan outbound connection orqali Cloudflare networkiga ulanadi.

Bu home lab, internal service yoki private application uchun ishlatilishi mumkin.

Tunnel credentiali secret hisoblanadi.

High availability uchun bir nechta connector ishlatiladi.

Zero Trust

Identity-aware proxy internal application accessini boshqarishi mumkin.

User identity, device posture va policy tekshiriladi.

VPNga alternativ yoki qo‘shimcha sifatida ishlatiladi.

Applicationning o‘z authorizationi baribir saqlanadi.

Analytics

Traffic, cache, security event va performance metriclari ko‘rsatiladi.

Sampled data va plan cheklovi mavjud bo‘lishi mumkin.

Origin loglari bilan correlation request ID orqali bajariladi.

Privacy va retention siyosati hisobga olinadi.

Bypass va debug

Muammo cache, edge rule yoki origindami, ajratish kerak.

Tekshiruv:

Origin’ni vaqtincha public qilish xavfsiz diagnostika usuli emas.

Cache poisoning

Cache keyga kirmagan header yoki query response’ni o‘zgartirsa attacker noto‘g‘ri contentni boshqa userlar uchun cache qildirishga urinishi mumkin. Origin normalization, aniq cache key va untrusted headerlarni cheklash zarur.

Email va DNS

DNS recordlarini proxy qilish web trafik bilan cheklanishi mumkin. Mail server recordlari odatda DNS-only qoladi. Noto‘g‘ri proxy holati email deliveryni buzishi yoki origin IPni boshqa record orqali oshkor qilishi mumkin.

Bog‘liq tushunchalar

Cloudflare, Content Delivery Network, Reverse proxy, Authoritative DNS, DDoS protection, Web Application Firewall, Edge computing, Anycast, Rate limiting, Origin server, Zero Trust