<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Ddos on Tarragon</title><link>https://tarrragon.github.io/blog/tags/ddos/</link><description>Recent content in Ddos on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/ddos/index.xml" rel="self" type="application/rss+xml"/><item><title>Cloudflare WAF</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/cloudflare-waf/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/cloudflare-waf/</guid><description>&lt;p>Cloudflare WAF 是 &lt;em>edge-deployed&lt;/em> 的 Web Application Firewall、跑在 Cloudflare 全球 anycast 網路上、攔截 HTTP/HTTPS 攻擊在抵達 origin 之前。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &amp;#43; Managed Rule Group &amp;#43; Rate-based Rule、Shield Standard 內含">AWS WAF&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &amp;#43; ATO &amp;#43; Bot 一體">Fastly Next-Gen WAF&lt;/a> 的核心差異是 &lt;em>跟其他 Cloudflare 產品深度整合&lt;/em>：DDoS protection、Bot Management、Rate Limiting、Page Shield（JS supply chain）、API Shield（schema validation）、Zero Trust、Workers 邊緣計算共用同一個控制面。客戶選 Cloudflare WAF 通常不只是要 WAF、是要 &lt;em>整套 edge security suite&lt;/em>。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Cloudflare WAF 的核心定位是 &lt;em>把攻擊擋在 origin 之前的一站式 edge security&lt;/em>。流量打到 Cloudflare anycast IP、經過 WAF / DDoS / Bot / Rate Limit / Page Shield 多層處理、再 proxy 到 origin。這跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &amp;#43; Managed Rule Group &amp;#43; Rate-based Rule、Shield Standard 內含">AWS WAF&lt;/a> 跑在 AWS 內部 ALB / CloudFront / API Gateway 前是不同部署模型 — AWS WAF 流量 &lt;em>已經進到 AWS&lt;/em>、Cloudflare WAF 流量 &lt;em>還沒到 origin&lt;/em>。對 origin 是 &lt;em>任意雲 / on-prem&lt;/em> 的客戶、Cloudflare 是天然選項；對 AWS-only 客戶、AWS WAF 整合更深但 edge 範圍小。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &amp;#43; ATO &amp;#43; Bot 一體">Fastly Next-Gen WAF&lt;/a>（前 Signal Sciences）相比、Cloudflare 走 &lt;em>signature + managed rule + ML&lt;/em> 混合、Fastly NG-WAF 走 &lt;em>語意分析 + behavioral detection&lt;/em>（不靠 regex signature）。Cloudflare managed rule 覆蓋廣但 false positive 較常見、需要 &lt;em>sensitivity tuning&lt;/em>；Fastly NG-WAF 預設較低 FP 但需要 &lt;em>自己定義業務 anomaly&lt;/em>。&lt;/p></description><content:encoded><![CDATA[<p>Cloudflare WAF 是 <em>edge-deployed</em> 的 Web Application Firewall、跑在 Cloudflare 全球 anycast 網路上、攔截 HTTP/HTTPS 攻擊在抵達 origin 之前。它跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &#43; ATO &#43; Bot 一體">Fastly Next-Gen WAF</a> 的核心差異是 <em>跟其他 Cloudflare 產品深度整合</em>：DDoS protection、Bot Management、Rate Limiting、Page Shield（JS supply chain）、API Shield（schema validation）、Zero Trust、Workers 邊緣計算共用同一個控制面。客戶選 Cloudflare WAF 通常不只是要 WAF、是要 <em>整套 edge security suite</em>。</p>
<h2 id="服務定位">服務定位</h2>
<p>Cloudflare WAF 的核心定位是 <em>把攻擊擋在 origin 之前的一站式 edge security</em>。流量打到 Cloudflare anycast IP、經過 WAF / DDoS / Bot / Rate Limit / Page Shield 多層處理、再 proxy 到 origin。這跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a> 跑在 AWS 內部 ALB / CloudFront / API Gateway 前是不同部署模型 — AWS WAF 流量 <em>已經進到 AWS</em>、Cloudflare WAF 流量 <em>還沒到 origin</em>。對 origin 是 <em>任意雲 / on-prem</em> 的客戶、Cloudflare 是天然選項；對 AWS-only 客戶、AWS WAF 整合更深但 edge 範圍小。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &#43; ATO &#43; Bot 一體">Fastly Next-Gen WAF</a>（前 Signal Sciences）相比、Cloudflare 走 <em>signature + managed rule + ML</em> 混合、Fastly NG-WAF 走 <em>語意分析 + behavioral detection</em>（不靠 regex signature）。Cloudflare managed rule 覆蓋廣但 false positive 較常見、需要 <em>sensitivity tuning</em>；Fastly NG-WAF 預設較低 FP 但需要 <em>自己定義業務 anomaly</em>。</p>
<p>關鍵張力：客戶信任的不只是 <em>WAF rule 攔截能力</em>、還包括 <em>Cloudflare control plane 的安全性</em>。<a href="/blog/backend/07-security-data-protection/cases/cloudflare-control-plane-token-2023/" data-link-title="7.C2 Cloudflare：2023 Control-plane Token 事件" data-link-desc="控制面 token 事件如何回寫 secrets 與機器憑證治理。">Cloudflare 2023 control plane token</a> 跟 <a href="/blog/backend/07-security-data-protection/cases/cloudflare-route-leak-2026/" data-link-title="7.C1 Cloudflare：2026 Route Leak 事件" data-link-desc="BGP 路由政策自動化失誤如何回寫控制面治理。">Cloudflare 2026 route leak</a> 兩個事件展示：vendor 自己被打進去 / 自動化配置失誤時、客戶側 <em>直接修不了</em>、只能等公告 + 客戶側 token rotation + emergency bypass。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Cloudflare WAF 在 edge security stack 中承擔哪一段（DDoS / WAF / Bot / Page Shield / API Shield）、哪些要靠 origin 自己做</li>
<li>Managed Rule vs Custom Rule 的取捨、sensitivity tuning 跟 false positive curve</li>
<li>Cloudflare control plane 出事時的客戶側補強路徑（API token rotation、Origin Rules bypass、第二邊界 fallback）</li>
<li>何時用 Cloudflare、何時走 <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &#43; ATO &#43; Bot 一體">Fastly NG-WAF</a> 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Cloudflare WAF 配置是否健康、最少看四件事：</p>
<ul>
<li><strong>誰能改 WAF 規則</strong>：Cloudflare account 的 admin / member role 配置、API token scope（不要用 Global API Key、用 scoped API token + 限定 zone / 限定 permission）、Audit Log 是否同步到 SIEM</li>
<li><strong>規則覆蓋面</strong>：Managed Ruleset（OWASP Core Ruleset + Cloudflare Managed Ruleset + Exposed Credentials Check）是否開、Sensitivity（Low / Medium / High）對應的 FP rate 是否監控、Custom Rule 是否進版控（Terraform provider）</li>
<li><strong>入口暴露</strong>：origin IP 是否曝光（DNS 直查 / 歷史 SAN cert / 子域名）、Argo Tunnel / Authenticated Origin Pull 是否強制、繞過 Cloudflare 直連 origin 的路徑是否封住</li>
<li><strong>證據可回查</strong>：Security Events Log 是否同步到 SIEM（Logpush 推到 R2 / S3 / Splunk）、Page Shield 偵測異常 script 是否 alert、API token 異常操作（特別 zone settings 變更）是否 alert</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/knowledge-cards/audit-log/" data-link-title="Audit Log" data-link-desc="說明高風險操作如何留下可追溯、可稽核的紀錄">Audit Log</a> 與 <a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">Entry Point Protection</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Managed Ruleset 分層</strong>：Cloudflare 提供三類 managed rule — <em>OWASP Core Ruleset</em>（OWASP CRS、寬覆蓋、FP 較多）、<em>Cloudflare Managed Ruleset</em>（Cloudflare 維護、針對熱門 CMS / framework）、<em>Exposed Credentials Check</em>（檢測登入流量中的已洩漏 credential）。production 通常開全部三套 + 各設適當 sensitivity。Sensitivity 不是「敏感度越高越好」— High sensitivity 攔截更多 borderline traffic、business-critical endpoint 可能誤殺合法請求。建議從 <em>Log Mode</em> 開始、觀察 1-2 週的 FP pattern、再切到 <em>Block</em>。</p>
<p><strong>Custom Rule（Cloudflare Rules）</strong>：用 Rules language（類 SQL 表達式）定義條件 + 動作（Block / Challenge / Log / JS Challenge / Managed Challenge）。常見用法：geo block（特定國家）、known bad IP（threat intel feed）、URI path-based limit（admin endpoint 限定 IP）、header anomaly（缺 User-Agent / 異常 Referer）。所有 Custom Rule 走 Terraform provider 進版控、避免 console 直接改、變更走 PR review。</p>
<p><strong>Rate Limiting</strong>：跟 WAF rule 是 <em>獨立 product</em>、配置是 <em>threshold + window + action</em>（例：1000 req/min per IP → challenge）。Rate Limiting 比 WAF 適合處理 <em>legitimate-looking high volume</em>（credential stuffing、scraping、API abuse）。注意 <em>NAT pool IP</em> 的問題 — 一個公司 / ISP NAT 出口可能合法產生高 QPS、簡單 per-IP rate limit 會誤殺、需要組合 <em>cf.threat_score</em> 或 <em>cookie-based identification</em>。</p>
<p><strong>Bot Management（單獨 SKU）</strong>：免費版 WAF 不含 Bot Management、需要 Pro / Business / Enterprise 才有。Bot Management 用 ML + behavioral fingerprint 區分 <em>human / good bot（搜尋引擎）/ likely bot / verified bot</em>、給 bot score（1-99）。客戶在 Custom Rule 用 <code>cf.bot_management.score &lt; 30</code> 之類條件挑出 likely bot 處理。簡單 user-agent 過濾擋不住現代 headless browser、必須走 Bot Management。</p>
<p><strong>Page Shield（JS supply chain 防護）</strong>：Page Shield 監測客戶網頁載入的 JS / connect 來源、發現 <em>新出現的腳本</em> 或 <em>已洩漏的 script</em>（CT log + threat intel）就 alert。意義是 <em>防 third-party script 被供應鏈攻擊</em>（類 <a href="https://en.wikipedia.org/wiki/Magecart">Magecart</a>）— WAF 攔不住、因為攻擊發生在 <em>browser 端</em> 而非 <em>origin 流量</em>。需要在 Page 載入 Page Shield 的 monitoring script。</p>
<p><strong>API Shield</strong>：用 OpenAPI schema validation、auto-discovery API endpoint、mTLS 驗證、JWT validation。對於有 schema 的 API、可以擋掉 <em>schema 不符的請求</em>（多餘欄位、型別錯誤、缺必要欄位）— 比 generic WAF rule 精準。</p>
<p><strong>Origin 暴露面收緊</strong>：Cloudflare 唯一有效的前提是 <em>流量必須經過 Cloudflare</em>。如果攻擊者拿到 origin 真實 IP（DNS 歷史記錄、漏洞披露網站、SSL cert SAN）、可以繞過 Cloudflare 直打 origin。控制方法：origin firewall 只允許 Cloudflare IP range 入站、Argo Tunnel（origin 主動建 outbound 連線到 Cloudflare、不開任何入站 port）、Authenticated Origin Pull（origin 用 cert 驗證請求來自 Cloudflare）三選一或組合。</p>
<p><strong>API token 治理</strong>：避免 Global API Key（全帳號 root token）、改用 <em>scoped API token</em>（限 zone + 限 permission + 限 IP + 限 TTL）。token 進 <a href="/blog/backend/knowledge-cards/secret-management/" data-link-title="Secret Management" data-link-desc="說明 token、key、password 與憑證如何保存、輪替與撤銷">Secret Management</a> / <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a>、定期 rotate。對應 <a href="/blog/backend/07-security-data-protection/cases/cloudflare-control-plane-token-2023/" data-link-title="7.C2 Cloudflare：2023 Control-plane Token 事件" data-link-desc="控制面 token 事件如何回寫 secrets 與機器憑證治理。">Cloudflare control plane token 2023</a> 揭示的 lesson：Cloudflare 自己也踩過 token 治理不足、客戶側不能假設 vendor 完美。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Cloudflare WAF</th>
          <th>AWS WAF</th>
          <th>Fastly Next-Gen WAF</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>部署位置</td>
          <td>Cloudflare global edge（300+ POP）</td>
          <td>AWS region 內 ALB / CloudFront / API Gateway 前</td>
          <td>Fastly edge + Agent + Module（自管 Nginx / Apache / Envoy / IIS）+ Cloud WAF proxy、三模型可混</td>
      </tr>
      <tr>
          <td>Origin 中立性</td>
          <td>強 — origin 可以是任何雲 / on-prem</td>
          <td>弱 — 跟 AWS 緊耦合（限 AWS service 前）</td>
          <td>強 — Fastly CDN / 任何 origin</td>
      </tr>
      <tr>
          <td>偵測模型</td>
          <td>Signature + Managed Rule + ML</td>
          <td>Signature + Managed Rule + Lambda 自訂</td>
          <td>Signal / behavioral（語意分析、低 FP）</td>
      </tr>
      <tr>
          <td>DDoS 內建</td>
          <td>是 — 跟 WAF 同套餐</td>
          <td>AWS Shield Standard 內建、Advanced 加價</td>
          <td>內建 + Fastly DDoS</td>
      </tr>
      <tr>
          <td>Bot Management</td>
          <td>加價 add-on（Pro / Business / Enterprise）</td>
          <td>AWS WAF Bot Control</td>
          <td>加價 add-on</td>
      </tr>
      <tr>
          <td>JS supply chain</td>
          <td>Page Shield（Business+）</td>
          <td>無原生、靠後端 CSP / 第三方</td>
          <td>Inline JS monitoring（Next-Gen WAF 部分）</td>
      </tr>
      <tr>
          <td>API schema</td>
          <td>API Shield（Enterprise）</td>
          <td>AWS WAF + API Gateway request validator</td>
          <td>NG-WAF inline + sigsci-agent</td>
      </tr>
      <tr>
          <td>學習曲線</td>
          <td>中 — UI / Rules language 易上手、Terraform 完整</td>
          <td>較陡 — JSON policy + 跟 AWS service 整合多軌</td>
          <td>中 — agent 安裝 + Signal 語意設定</td>
      </tr>
      <tr>
          <td>第三方信任成本</td>
          <td>高 — Cloudflare 控制面（2023、2026 自家事件）</td>
          <td>中 — AWS 控制面、跟 IAM 同套</td>
          <td>中 — Fastly 控制面（規模小、事件少但社群影響也小）</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Multi-cloud / on-prem origin、要整套 edge security</td>
          <td>AWS-heavy、ALB / CloudFront 是主要入口</td>
          <td>高 FP 容忍度低、業務有 schema、想避 regex signature</td>
      </tr>
  </tbody>
</table>
<p>選 Cloudflare WAF 的核心訴求：<em>多雲 / on-prem origin</em> + 需要 <em>整套 edge security suite</em>（DDoS + WAF + Bot + Page Shield + API Shield） + 接受 Cloudflare 控制面風險、且有預算做 Enterprise tier 才能拿到完整功能。純 AWS-internal app + ALB origin 用 AWS WAF 整合更直接。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Workers + Workers AI 作為 custom logic</strong>：當 managed rule + custom rule 表達力不夠（例：根據 user account tier 決定 challenge 強度、整合內部 risk score API）、可以用 Cloudflare Workers 寫 JavaScript / TypeScript / Rust 在 edge 執行。Workers AI 提供 edge ML inference、可以做 inline content moderation 或 anomaly detection。代價是 <em>Workers code 進 Cloudflare 控制面</em>、變更要走部署流程、debug 跟 origin 是兩條 trace。</p>
<p><strong>Logpush 跟 SIEM 整合</strong>：Cloudflare Security Events 量大、free / Pro 在 dashboard 看、Business / Enterprise 走 Logpush 到 R2 / S3 / Splunk / Datadog / Sumo Logic。production 必須走 Logpush、不能只在 dashboard — 事件 30 天保留期是 Cloudflare 端、SIEM 留更久。Logpush 也是 SIEM 上做 <em>跨來源 correlation</em> 的前提（WAF event + origin app log + IdP log）。</p>
<p><strong>Multi-account / Tenant</strong>：大企業有多個 Cloudflare account（不同 BU / 不同產品線）、要走 <em>Cloudflare for SaaS</em> 或 <em>Account-level access</em>、API token scope 要限定 account。Single account 多 zone 是常見小組織配置、但跨組織 / 跨產品線必須拆 account 隔離 admin compromise blast radius。</p>
<p><strong>Magic Transit / Zero Trust integration</strong>：Magic Transit 是 L3 DDoS（不只 HTTP、TCP / UDP 也 anycast）、Zero Trust 是 employee access（取代 VPN）。跟 WAF 是不同產品、但常一起部署 — Magic Transit 防 L3/L4 attack、WAF 防 L7、Zero Trust 防內部 east-west。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Managed Rule 誤殺合法請求</strong>：High sensitivity 開後 business endpoint 變慢 / 報錯 — 看 Security Events 找 rule_id、用 Custom Rule skip 該 rule 在特定 path / 特定 user-agent、不要全 zone 關 rule</li>
<li><strong>Bot Management 太嚴 / 太鬆</strong>：bot score threshold 設不對、合法 API client 被當 bot、或攻擊者拿到 verified bot 假冒 — 用 <em>Bot Analytics</em> 看分數分布、調整 threshold 同時加白名單（API key + IP CIDR）</li>
<li><strong>Rate Limit 誤殺 NAT 用戶</strong>：per-IP rate limit 在 NAT 出口 IP 上炸 — 改 per-session（cookie-based）或 cf.threat_score 條件</li>
<li><strong>Origin IP 外洩</strong>：DNS 歷史 + 漏洞披露 + cert SAN 揭露真實 origin、攻擊繞 Cloudflare 直打 — 換 IP + 開 origin firewall（只允許 Cloudflare CIDR）+ Argo Tunnel</li>
<li><strong>API token over-scoped</strong>：CI / 第三方 SaaS 拿到 Global API Key、整 account 都被改 — 改 scoped token、限 zone + permission + IP、進 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a></li>
<li><strong>Security Events 沒進 SIEM</strong>：事件只在 dashboard、跨來源 correlation 沒法做 — 配 Logpush + alert 規則</li>
<li><strong>Page Shield 沒裝</strong>：客戶端 JS 被植入、伺服器端日誌看不到攻擊、第三方 script CDN 被打 — 啟用 Page Shield + CSP report-uri 雙軌</li>
<li><strong>第二邊界沒設</strong>：完全依賴 Cloudflare、Cloudflare 出事流量全停（<a href="/blog/backend/07-security-data-protection/cases/cloudflare-route-leak-2026/" data-link-title="7.C1 Cloudflare：2026 Route Leak 事件" data-link-desc="BGP 路由政策自動化失誤如何回寫控制面治理。">2023 / 2026 自家事件</a>）— 高 SLA 服務應該設 fallback origin / secondary DNS（如 Route53 health check failover 到 Fastly 或直連 origin）</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>AWS-only + ALB / CloudFront origin</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a></td>
      </tr>
      <tr>
          <td>低 FP 容忍 / 業務有 schema</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &#43; ATO &#43; Bot 一體">Fastly Next-Gen WAF</a></td>
      </tr>
      <tr>
          <td>純內部 mTLS / east-west</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/spire/" data-link-title="SPIRE" data-link-desc="SPIFFE Runtime Environment、attested workload identity、short-lived SVID &#43; Trust Bundle、跨組織 federation">SPIRE</a> + service mesh</td>
      </tr>
      <tr>
          <td>Cert lifecycle</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/cert-manager/" data-link-title="cert-manager" data-link-desc="K8s 原生 certificate lifecycle automation、支援 Let&#39;s Encrypt / Vault PKI / Venafi 等多 issuer、auto-renewal &#43; Challenge solver">cert-manager</a> / <a href="/blog/backend/07-security-data-protection/vendors/letsencrypt/" data-link-title="Let&#39;s Encrypt" data-link-desc="免費 &#43; 自動化的公共 ACME CA、90 天 TTL 強制自動化、跨雲跨平台 public TLS cert 的事實基礎">Let&rsquo;s Encrypt</a></td>
      </tr>
      <tr>
          <td>客戶端 JS supply chain</td>
          <td>Page Shield + <a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">supply chain integrity</a></td>
      </tr>
      <tr>
          <td>DDoS L3/L4</td>
          <td>Cloudflare Magic Transit / AWS Shield Advanced</td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Cloudflare 完整 product line（Workers / Pages / R2 / D1 / Magic Transit / Zero Trust 各自細節）</li>
<li>WAF Rules language 完整語法 reference</li>
<li>Page Shield / API Shield Enterprise tier 完整功能對照</li>
<li>各 PCI DSS / SOC 2 / FedRAMP 合規矩陣</li>
<li>Cloudflare 在中國的部署模式（JD Cloud Union 合作）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Cloudflare WAF 在 07 案例庫有 <em>兩個直接 vendor-level 事件</em> + 多個 edge-exposure 對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Cloudflare WAF 的關係</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/cases/cloudflare-control-plane-token-2023/" data-link-title="7.C2 Cloudflare：2023 Control-plane Token 事件" data-link-desc="控制面 token 事件如何回寫 secrets 與機器憑證治理。">Cloudflare Control Plane Token 2023</a></td>
          <td>直接 — Cloudflare 自家 API token 治理不足、客戶側必須假設 vendor 也會被打、API token rotation 跟 IP allowlist 必做</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/cases/cloudflare-route-leak-2026/" data-link-title="7.C1 Cloudflare：2026 Route Leak 事件" data-link-desc="BGP 路由政策自動化失誤如何回寫控制面治理。">Cloudflare Route Leak 2026</a></td>
          <td>直接 — 自動化路由配置錯誤導致流量擁塞、客戶側應有 secondary DNS / failover origin 預案</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/citrix-bleed-2023-session-hijack/" data-link-title="7.R7.3.3 Citrix Bleed 2023：會話被劫持與重放風險" data-link-desc="邊界設備會話資料外洩後，如何演變成帳號與服務風險">Citrix Bleed 2023 Session Hijack</a></td>
          <td>對照啟示 — WAF 攔不住 edge appliance zero-day、需要「修補 + session 失效 + 異常清查」三同步</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/fortinet-cve-2023-27997-sslvpn-overflow/" data-link-title="7.R7.3.21 Fortinet 2023：CVE-2023-27997 SSL-VPN 溢位" data-link-desc="SSL-VPN 漏洞在邊界設備上會放大大規模掃描與利用速度">Fortinet SSL-VPN CVE 2023-27997</a></td>
          <td>對照啟示 — vendor patch 前的臨時 WAF rule + 收斂可達來源是修補窗口期的標準動作</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>對照啟示 — WAF rule 是 emergency mitigation、但 exploitation 過 WAF 後在後端執行、不能單靠 WAF 防後端 supply chain</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/okta-cloudflare-2023-support-supply-chain/" data-link-title="7.R7.1.2 Okta &#43; Cloudflare 2023：支援流程與身分供應鏈" data-link-desc="支援工單與第三方身份供應商路徑如何變成入侵鏈的一部分">Okta-Cloudflare 2023 Support Supply Chain</a></td>
          <td>對照啟示 — 上游 IdP 出事傳導到 Cloudflare admin 帳號、API token / admin session 要立即 rotate、不等供應商公告</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.3 入口治理與伺服器防護</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a>、<a href="/blog/backend/07-security-data-protection/vendors/fastly-ngwaf/" data-link-title="Fastly Next-Gen WAF" data-link-desc="Behavioral / 語意分析 WAF（前 Signal Sciences）、低 false positive、Edge / Agent / Cloud 三種部署模型、API &#43; ATO &#43; Bot 一體">Fastly Next-Gen WAF</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理</a>（WAF block 不夠時、資料層也要遮罩）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（Cloudflare API token 存放）、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（Cloudflare admin 走 SSO）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（WAF block 事件 / Cloudflare 自家事件如何 routing 進 IR）</li>
<li>官方：<a href="https://developers.cloudflare.com/waf/">Cloudflare WAF Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>