剛好分享一下我們日常的做法，給需要的人參考。 我們的主機全部都藏在 Cloudflare 後面，Origin 只開放 Cloudflare IP 進來。 GCP / Linode 的防火牆都設定成白名單模式，非 Cloudflare 的流量直接被拒。 Origin IP 只有內部開發會知道（而且通常也懶得記 XD）。 比較敏感的路徑會再加一層 WAF 或 Rate Limit 做保護，避免被掃描或暴衝。 整體目的很簡單： 不讓任何人繞過 CDN 直接敲主機。 這做法本身不複雜，但對避免常見的繞過攻擊還蠻實用的。 如果你也有在做 Origin Lockdown，有更好招式也歡迎分享。 ^^ ※ 引述《NTU87 (公館の椰子樹)》之銘言： : 欸欸聽說 cloudflare 掛了 : 阿他是 CDN : 既然他是 CDN : 代表他上面還是有個源頭伺服器 : 阿只要能猜到源頭伺服器 IP 是什麼 : 不就能繞過去了嗎？ : 原理就跟各位說到這裡 : 源頭伺服器的 IP 各位自己找 : 加油 : -- 節能減碳 Green Coding < /> 由我作起 http://stanwu.org -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.232.100.55 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1763480910.A.FA4.html