Phần 2: SSL/TLS và kết nối origin Part 2: SSL/TLS and origin connection · Bài 2/2 Lesson 2/2

Origin certificate và bypass Origin certificates and bypass

Chặn truy cập trực tiếp IP origin nếu có thể (firewall chỉ cho phép Cloudflare). Điều này ngăn attacker bỏ qua WAF. Block direct origin IP access when possible (firewall allow Cloudflare only). This prevents attackers from bypassing the WAF.

Các bước thực hiện Step-by-step

Tạo Origin Certificate (15 năm) nếu origin chưa có cert public. Create an Origin Certificate (15-year) if origin lacks a public cert.
Cài cert trên origin / load balancer. Install the cert on origin / load balancer.
Firewall origin: chỉ cho phép IP Cloudflare (hoặc Authenticated Origin Pulls). Origin firewall: allow Cloudflare IPs only (or use Authenticated Origin Pulls).
Test truy cập trực tiếp IP origin — phải bị chặn hoặc từ chối. Test direct origin IP access — should be blocked or refused.

Giải thích chi tiết Detailed explanation

Attacker có thể bỏ qua WAF nếu biết IP origin. Origin lockdown là lớp bảo vệ bắt buộc cho production. Attackers can bypass the WAF if they know your origin IP. Origin lockdown is essential for production.

Lưu ý (best practices) Note (best practices)

Nếu origin chưa có cert hợp lệ, cài Cloudflare Origin CA (miễn phí, tối đa 15 năm) rồi chuyển encryption mode sang Full (strict). If your origin lacks a valid certificate, install a free Cloudflare Origin CA certificate (valid up to 15 years), then set encryption mode to Full (strict).

Nguồn: Source: Enforce HTTPS and encrypt all traffic Enforce HTTPS and encrypt all traffic ↗

Ví dụ triển khai (Cloudflare Resources) Deployment examples (Cloudflare Resources)

Tutorial, solution guide và reference từ developers.cloudflare.com/resources ↗ — gợi ý theo chủ đề bài học. Tutorials, solution guides, and reference docs from developers.cloudflare.com/resources ↗ — matched to this lesson topic.