Gonzague Dambricourt

Cloudflare : DNS / reverse-proxy / CDN .. tout en un

(un article un poil technique mais j’ai fait de mon mieux pour que ça soit simple)

J’ai essayé pour vouuuuuus : CloudFlare un service qui permet d’optimiser la façon dont marche un site assez simplement ( bon si de base le site est développé avec les pieds, ça ne fera pas des miracles par contre) . Sur les bons conseils de Ludovic et Claude j’ai mis en place CloudFlare sur plusieurs de mes sites. Mais c’est quoi ça ?

Alors. En gros (quand je dis en gros c’est que oui j’évite des étapes) *sans* ce service normalement ça se passe comme ça quand vous consultez un site web :

Avec CloudFlare ça donne ceci :


En gros on a ce qu’on appelle un “reverse proxy” en amont de mon serveur et en plus de faire reverse proxy , ce petit coco fait aussi du filtrage entrant de trafic.

Pour mettre CloudFlare en place vous devez y héberger vos DNS (si c’est un peu technique … désolé ^^ mais les intéressés comprendront).

Quel est l’intérêt ?

– Décharger votre serveur (une partie des visites sont “servies” – c’est à dire délivrées – par les serveurs de CloudFlare ce qui sollicite moins le serveur web et celui des bases de données)
– Le protéger de potentiels botnets (réseaux de PCs infectés de virus, ou de logiciels utilisés à des fins douteuses comme l’attaque de systèmes informatiques), virus ou utilisés par des spammeurs (manuels ou utilisants des systèmes automatisés)
– Participer à la construction d’une base de donnée des IPs “douteuses” et aidant à la protection mentionnée ci-dessus.
– Masquer l’IP réelle de votre serveur (attention ça ne masque pas l’IP quand votre serveur envoie un email.. eh oui.. pour ça il faut utiliser un service comme SendGrid)

Le danger de ce type de service est que vous ajoutez à votre infrastructure ce qu’on appelle un SPOF – Single Point of Failure ( point individuel de défaillance ) : si CloudFlare ne fonctionne plus, il est très possible que votre site cesse d’être accessible. Aussi pour le moment je ne sais pas si CloudFlare sait réagir de façon automatisée à des attaques type DDoS. A noter que pour le moment ils sont techniquement incapables de protéger quelquechose configuré en wildcard (définition anglaise ici).

Le panneau de contrôle de CloudFlare … un outil bien pratique :

En gros cette partie vous permet de mesurer le trafic réel de votre site ainsi que le trafic représenté par les robots “crawlers” (indexeurs de contenu comme Google, Yahoo et Bing ou autres..) , le trafic représenté par des machines considérées comme corrompues / dangereuses (“threats”). On y voit aussi l’origine de ces menaces, le nombre de requêtes évitées à votre serveur, la bande passante économisée et d’autres informations selon votre configuration.

Passons à la partie “Threat control” .. qui est un indicateur plus précis de ce qui se fait bloquer automatiquement :

Quand vous cliquez une IP vous obtenez des détails sur les raisons du blocage, est-ce que l’utilisateur a passé le captcha (indiqué dans mon schéma plus haut) :

Gonzaaaague c’est quoi un CDN ?

Un CDN , fonction aussi gérée par CloudFlare – et cela les rend uniques – cela veut dire Content Delivery Network.

J’explique, de façon simple. Quand vous allez sur un site , il se charge tout un tas de trucs, des images, des “feuilles de style” (qui régissent l’affichage des pages) etc etc. Un site est généralement hébergé dans un pays. Mettons… La France.

Pour l’utilisateur aux Etats Unis, le chargement de mon site est plus long car les informations doivent passer par des câbles sous marins pour arriver jusqu’à son ordi bref.. un peu chiant.

Un CDN est un système permettant de distribuer le contenu dit “statique” (enfin en général – et on parle ici d’images par exemple ou de vidéos) sur des serveurs tout autour du monde. Quand l’utilisateur aux USA va vouloir accéder à mon contenu , on va charger la page depuis la France mais les images viendront d’un serveur plus proche de lui (serveur appelé Edge).. Les systèmes de CDN déterminent l’origine de la requête (vous) pour trouver quelle est la meilleure route pour vous acheminer du contenu rapidement. Il permet en outre de consommer moins de bande passante (trafic) et de ressources au niveau du serveur puisque les fichiers demandés sont chargés d’ailleurs.

Fonctions actuelles de CloudFlare :
– Réseau réparti sur des serveurs à travers le monde + routage Anycast
– DNS redondants (on verra si ça tient ^^)
– Mise en cache automatique du contenu statique
– “Always online” (maintien d’une copie de votre site au cas où le serveur tombe)
– Scan des ressources et optimisations (Pro et Enterprise)
– Cryptage javascript des adresses email présentes en clair dans vos sites
– Threat protection (expliqué plus haut)
– SSE (Server Side Exclude)
– Protection anti hotlink
– Vérification de l’intégrité du navigateur
– Blocage d’IP par pays ou par plage
– Alerte des visiteurs infectés
– Gestion des DNS assez simple
– Statistiques (mises à jour plus souvent pour les gens payants)
Et là juste pour ceux qui payent :
– Web Application Firewall (WAF)
– POST content verification
– POSTED content analysis (SQL)
– Web Vulnerability Control (XSS)
– SSL “facile”

En termes de prix il y a une offre gratuite, déjà très complète et deux offres payantes. J’essayerai la payante après avoir tourné assez longtemps sur la version gratuite pour pouvoir me faire un avis!

J’espère que ça vous aura intéressé et que j’ai réussi à ne pas être trop technique (par contre désolé je ne pourrai pas changer vos DNS à votre place etc etc je ne peux pas faire SAV hehe ^^)

Quitter la version mobile