해외 사이트를 이용하다보면 Cloudflare 접속 페이지를 자주 보게 됩니다.
Cloudflare는 DNS 관리 및 보안 설정을 무료로 사용할 수 있습니다.
네임서버를 클라우드플레어(Cloudflare)로 사용하는 이유
| 항목 | 국내 도메인 업체, DNSZI | 클라우드플레어 |
|---|---|---|
| 보안 (DDoS) | 서버 IP가 노출되어 공격에 무방비 | 서버 IP를 숨기고(Proxy) 공격을 미리 차단 |
| 속도 (CDN) | 서버 위치가 멀면 접속 속도 저하 | 전 세계 엣지 서버에서 데이터를 빠르게 전달 |
| 서버 부하 | 모든 봇과 트래픽이 공유기를 거쳐 서버로 직접 유입 | 캐싱과 봇 차단 모드로 서버 자원 절약 |
| SSL 인증서 | Let’s Encrypt 와일드카드 불가 3개월 유지 | 구글 인증서 와일드카드 SSL 보안 연결 적용 15년 유지 |
| 편의 기능 | 캐시, 이메일 포워딩, 이미지 최적화 등 직접 구축 | 캐시, 대시보드에서 이메일 라우팅 등 부가기능 제공 |
| 비용 | 기본 DNS 기능은 무료 | 기본 DNS 기능은 무료, 고급 보안은 유료 구독 |
가입 및 로그인
Cloudflare Dashboard | Manage Your Account 사이트에 가입 및 로그인 합니다. 한국어를 지원합니다.
도메인 등록
관리할 도메인을 등록합니다.
도메인을 입력하면 DNS 관리에서 입력했던 모든 정보를 자동으로 가져옵니다.
네임서버 변경
| NS | carioca.ns.cloudflare.com |
| NS | norman.ns.cloudflare.com |
도메인 관리 사이트에서 기존 네임서버를 Cloudflare 네임서버로 변경합니다.
Cloudflare 레코드 페이지에 나타나는 기존 네임서버는 모두 삭제합니다.
메뉴
메뉴를 하나씩 탐색하면서 필요한 기능을 켭니다.
기능 설명
Page Shield
웹 브라우저에 로드된 타사 스크립트, 연결 및 쿠키를 모니터링하여 방문자의 안전과 개인 정보 보호를 보장합니다.
워드프레스 서드파티 플러그인 등 불량 스크립트 동작을 모니터링 합니다.
봇 차단 모드
공격을 수행할 수 있는 것으로 알려진 봇에 챌린지합니다. 알려진 트래픽 시그니처로 단순한 봇에 챌린지하여 콘텐츠 스크래핑, 클릭 사기, 자격 증명 스터핑과 같은 위협을 방어합니다.
SSL/TLS 암호화
자동 또는 전체를 선택합니다.
- 전체(엄격): 서버에 설치된 인증서를 검사하여 타사 인증서가 설치된 경우 경고가 발생합니다.
- 전체: 서버에 타사 인증서를 사용할 경우 선택합니다.
- 가변: 방문자와 Cloudflare 간에만 암호화를 활성화합니다. Cloudflare와 서버는 HTTP로 연결됩니다.
항상 HTTPS 사용
“http” 구성표가 있는 모든 요청을 “https”로 리디렉션합니다. 이는 영역에 대한 모든 http 요청에 적용됩니다.
활성화합니다.
HSTS
스니프 없음 헤더: 스크립트를 이미지로 속여서 업로드하는 등, 확장자 형식을 바꾸더라도 코드가 스크립트라면 브라우저는 이를 실행하게 되므로 이런 MIME 스니핑을 차단하려면 활성화합니다.
전부 활성화합니다.
자동 HTTPS 다시 쓰기
자동 HTTPS 다시 쓰기는 HTTPS로 제공될 수 있는 웹 사이트의 모든 리소스 또는 링크에 대해 “http”를 “https”로 변경하여 혼합 콘텐츠 수정을 지원합니다.
활성화합니다.
원본 서버
원본 인증서를 만들고 NAS에 설치하는 작업입니다. 유효기간은 15년입니다. 와일드카드(*)가 적용되므로 하위 도메인을 만들어도 자동으로 인증서가 적용됩니다.
인증서 생성 버튼을 누릅니다.
*.wiki.mydomain.kr 처럼 3차 와일드카드 도메인 인증서도 가능합니다.
사용할 도메인을 입력 후 생성을 누르면 개인 키와 인증 키가 생성됩니다. 페이지를 벗어나면 개인 키를 다시 볼 수 없으므로 각 키를 텍스트 파일로 저장합니다.
NAS에 인증서 등록
제어판➡️보안➡️인증서 탭으로 이동 후 추가➡️새 인증서 추가를 선택합니다.
➡️인증서 가져오기에서 위에서 저장한 개인 키와 인증서 파일을 등록합니다. 중간 인증서는 필요 없습니다.
CloudFlare Origin Certificate 인증서가 NAS에 등록이 되며, 만료일은 15년 후로 표시됩니다. 1년은 365일로 계산합니다.
설정 버튼을 눌러서 각 서비스 도메인에 클라우드플레어 인증서를 연결하면 됩니다.
SSL/TLS 암호화를 전체(엄격)으로 설정합니다.
방화벽 설정하기
방화벽 규칙은 다음 순서로 설정합니다.
- Cloudflare IP 허용 : NAS에 최종 연결되는 IP
- 172.0. 허용
- 192.168. 허용
- 대한민국, 대만, 미국 허용
- 모두 거부
Cloudflare의 최신 IP 대역은 IP Ranges | Cloudflare에서 확인할 수 있습니다.
CIDR 형식으로 입력이 안 되므로 서브넷을 선택하여 입력합니다.
| 순번 | IP 주소 | 서브넷 마스크 | 비고 (CIDR) |
| 1 | 103.21.244.0 | 255.255.252.0 | /22 |
| 2 | 103.22.200.0 | 255.255.252.0 | /22 |
| 3 | 103.31.4.0 | 255.255.252.0 | /22 |
| 4 | 104.16.0.0 | 255.248.0.0 | /13 |
| 5 | 104.24.0.0 | 255.252.0.0 | /14 |
| 6 | 108.162.192.0 | 255.255.192.0 | /18 |
| 7 | 131.0.72.0 | 255.255.252.0 | /22 |
| 8 | 141.101.64.0 | 255.255.192.0 | /18 |
| 9 | 162.158.0.0 | 255.254.0.0 | /15 |
| 10 | 172.64.0.0 | 255.248.0.0 | /13 |
| 11 | 173.245.48.0 | 255.255.240.0 | /20 |
| 12 | 188.114.96.0 | 255.255.240.0 | /20 |
| 13 | 190.93.240.0 | 255.255.240.0 | /20 |
| 14 | 197.234.240.0 | 255.255.252.0 | /22 |
| 15 | 198.41.128.0 | 255.255.128.0 | /17 |
신뢰할 수 있는 프록시 설정하기
NAS에 접속하는 IP는 Cloudflare이기 때문에 로그에는 Cloudflare IP가 기록됩니다.
Cloudflare 이전의 접속자 IP를 알려면 Cloudflare IP를 신뢰할 수 있는 프록시로 설정해야 합니다.
제어판 보안 신뢰할 수 있는 프록시 버튼을 눌러서 등록합니다.
위와 같이 Cloudflare IP 대역을 모두 입력합니다.
그리고 공유기에서 사용하는 IP대역을 입력합니다.
예) 192.168.123.0/24