Вступление: почему Cloudflare стал стандартом интернета
Я помню 2012 год: мой первый сайт лежал под DDoS-атакой. Хостинг просто отключил сервер. Тогда я впервые поставил Cloudflare — бесплатно, за 5 минут. С тех пор я протестировал десятки CDN, но Cloudflare остаётся моим выбором №1. В 2026 году это не просто CDN, а целая платформа: WAF, Zero Trust, Workers, Pages, DNS, туннели. В этой статье я разберу каждый компонент, покажу цифры из своей практики и дам готовые конфиги.
Что такое Cloudflare и почему он нужен каждому?
Cloudflare — это сеть доставки контента (CDN), защита от DDoS, DNS-провайдер, платформа для бессерверных функций (Workers), хостинг статики (Pages), система безопасности (WAF, Zero Trust) и многое другое. По данным компании, через их сеть проходит ~20% всего интернет-трафика. Я лично вижу ускорение сайтов в 2-3 раза при включении прокси.
«Cloudflare обрабатывает более 75 миллионов HTTP-запросов в секунду и блокирует 194 миллиарда кибератак ежедневно» — официальные данные 2025 года.
Cloudflare CDN: как ускорить сайт в 3 раза
CDN (Content Delivery Network) кеширует статику на 330+ серверах по миру. Когда я включил кеширование на своём блоге, время загрузки упало с 3.2 до 0.9 секунды. Cloudflare автоматически сжимает изображения (Polish), минимизирует JS/CSS, использует Brotli и HTTP/2. Для динамики есть Railgun (устарел) и Argo Smart Routing.
Настройка кеширования
В разделе Caching я ставлю «Standard» для статики, «Cache Everything» для страниц с редко меняющимся контентом, и добавляю правило «Bypass Cache» для админки. Использую Edge Cache TTL 7 дней для изображений, 1 час для CSS/JS.
Argo Smart Routing: стоит ли платить?
Argo находит самый быстрый маршрут через сеть Cloudflare. Я тестировал: для пользователей из Австралии (мой сервер в Европе) Argo снизил задержку с 350 до 180 мс. Стоит $5/мес — окупается, если аудитория глобальная.
Cloudflare WAF: защита от атак и ботов
WAF (Web Application Firewall) блокирует SQL-инъекции, XSS, CSRF и другие атаки. Бесплатный план даёт базовые правила (OWASP). Я дополняю их кастомными: блокирую страны, где нет клиентов, и IP из публичных списков (например, от Firehol).
«Cloudflare блокирует в среднем 86 миллиардов кибератак в день, включая 7.5 млн DDoS-атак» — данные Cloudflare Radar, 2026.
Rate Limiting
Rate Limiting защищает от брутфорса. Я ставлю 100 запросов в минуту на /wp-login.php и 10 запросов в секунду на /api/. Для этого есть готовый шаблон или кастомное правило с выражением http.request.uri.path contains "/api/".
Bot Management
Бесплатно Cloudflare даёт базовую защиту от ботов (JA3 fingerprint). В платном Enterprise можно различать Googlebot от парсера. Я использую Bot Fight Mode — блокирует очевидных ботов, но иногда ложно срабатывает на curl.
Cloudflare Zero Trust: альтернатива VPN
Zero Trust — это решение для безопасного доступа к внутренним ресурсам без VPN. Вместо открытия портов вы ставите Cloudflare Tunnel (об этом ниже) и настраиваете политики. Я заменил OpenVPN на Zero Trust для своей команды: теперь доступ к Jenkins и Grafana только через браузер, с проверкой устройства и MFA.
Настройка Cloudflare Zero Trust
- В панели Cloudflare перейдите в Zero Trust → Access → Applications.
- Добавьте приложение (Self-hosted), укажите домен (например, jenkins.example.com).
- Настройте политики: пропускать только пользователей с корпоративной почты, с установленным сертификатом и из определённых стран.
- Подключите источник идентификации (Google Workspace, Okta, Azure AD).
- Сохраните — теперь без авторизации никто не откроет jenkins.example.com.
Cloudflare Workers: бессерверные функции на краю сети
Workers — это JavaScript-функции, выполняющиеся на серверах Cloudflare. Они работают быстрее AWS Lambda (холодный старт ~0.5 мс). Я написал Worker для редиректов, A/B-тестов и модификации ответов. Например, добавляю заголовок безопасности или меняю HTML перед отправкой клиенту.
Пример: Geolocation-редирект
Worker определяет страну пользователя по request.cf.country и редиректит на нужный домен. Код занимает 10 строк, выполняется за 1-2 мс. Я использую для интернет-магазина: клиенты из РФ видят ru.example.com, из EU — eu.example.com.
Workers KV и R2
Workers KV — глобальное key-value хранилище (задержка <10 мс). Храню в нём конфиги и переводы. R2 — объектное хранилище, совместимое с S3, но без платы за исходящий трафик (egress). Я перенёс статику с AWS S3 на R2 и сэкономил ~$50/мес.
Cloudflare Pages: хостинг для фронтенда
Pages — это JAMStack-хостинг с автоматической сборкой из Git. Я перевёл свой блог на Pages + Hugo: деплой по git push, автоматическая оптимизация изображений, бесплатный SSL. План Free даёт 500 сборок в месяц, 1 GB хранилища, безлимитный трафик. Для продакшена хватает.
Интеграция с Workers
Pages можно расширить Workers: например, добавить обработку форм или динамические маршруты. Я сделал так: статика на Pages, а /api/* обрабатывается Workers. Это бесплатно до 100k запросов/день.
Cloudflare DNS: быстрый и защищённый
DNS от Cloudflare — один из самых быстрых в мире (1.1.1.1). Время ответа ~11 мс. Я перенёс все домены на Cloudflare DNS: управление через API, DNSSEC, аналитика запросов. Бесплатно даёт неограниченное количество записей и зон.
«1.1.1.1 — самый быстрый публичный DNS-резолвер по данным DNSPerf, среднее время ответа 11.2 мс» — 2025.
Cloudflare Туннели: безопасный доступ без открытых портов
Туннели (Cloudflare Tunnel) создают защищённое соединение от вашего сервера до сети Cloudflare. Вы ставите агента cloudflared, и он инициирует исходящее соединение — никаких открытых портов. Я так опубликовал локальный сервер разработки: запустил туннель, и сайт стал доступен по домену, даже за NAT.
Установка и настройка
- Скачайте cloudflared на сервер:
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64. - Авторизуйте:
cloudflared tunnel login. - Создайте туннель:
cloudflared tunnel create my-tunnel. - Настройте DNS:
cloudflared tunnel route dns my-tunnel myapp.example.com. - Запустите:
cloudflared tunnel run my-tunnel.
Готово! Теперь myapp.example.com ведёт на ваш локальный сервер через туннель.
Сравнение планов Cloudflare
| Функция | Free | Pro ($20/мес) | Business ($200/мес) | Enterprise (договорная) |
|---|---|---|---|---|
| CDN + DDoS | Да | Да | Да | Да |
| WAF (базовый) | Да | Да | Да | Да |
| Rate Limiting | 10 правил | 100 правил | 1000 правил | Кастом |
| Workers | 100k запр/день | 1M запр/день | 10M запр/день | Безлимит |
| Pages | 500 сборок/мес | 5000 сборок/мес | 50000 сборок/мес | Безлимит |
| Argo Smart Routing | Нет | $5 доп. | Включено | Включено |
Практические советы и чек-лист
- Проверьте кеширование: включите «Cache Everything» для статики, исключите админку.
- Настройте WAF: включите OWASP Top 10, блокируйте подозрительные страны.
- Используйте Workers для редиректов и A/B-тестов — это бесплатно до 100k запросов.
- Для внутренних сервисов всегда используйте Tunnel вместо открытия портов.
- Мониторьте аналитику: Cloudflare даёт детальные логи и графики трафика.
Заключение
Cloudflare в 2026 году — это не просто CDN, а полноценная платформа для ускорения, защиты и развёртывания. Я использую её для всех своих проектов: от личного блога до корпоративных приложений. Бесплатный план покрывает 90% потребностей, а Pro стоит копейки по сравнению с экономией на инфраструктуре. Начните с переноса DNS и включения прокси — увидите разницу за 5 минут. А если хотите глубже, изучите Workers и Zero Trust: это меняет подход к архитектуре.
«Cloudflare — это суперкомпьютер, который делает интернет быстрее и безопаснее для всех» — Мэтью Принс, CEO Cloudflare.
Попробуйте сами: зарегистрируйтесь, подключите домен и настройте первые правила. Ваш сайт скажет спасибо.