Cloudflare para segurança web: WAF, DNS, cache e proteção de borda
A borda do Cloudflare protege quando bem configurada. Veja como usar WAF, DNS e TLS sem deixar brechas.
O Cloudflare é uma camada de borda popular que combina DNS, CDN, WAF e proteção contra abuso. Bem configurado, ele filtra tráfego malicioso antes que chegue à origem, melhora desempenho e adiciona controles de segurança. Mal configurado, gera falsa sensação de proteção: a origem continua exposta diretamente, o TLS está em um modo permissivo ou as regras nunca foram ajustadas.
Este guia trata da configuração defensiva do Cloudflare para segurança web, com foco nos pontos que mais importam: proteger a origem contra bypass, ajustar o WAF, escolher o modo de TLS correto e usar rate limiting e proteção de bots com critério.
Proteger a origem e o modo TLS
O erro mais comum é deixar a origem acessível diretamente pelo IP, ignorando o Cloudflare. Se um atacante descobre o IP real, ele contorna toda a borda. Restrinja a origem para aceitar conexões apenas do Cloudflare, por exemplo permitindo somente as faixas da borda no firewall, e evite expor o IP de origem em registros DNS, e-mails ou cabeçalhos.
Escolha o modo de TLS com cuidado. Modos permissivos podem aceitar tráfego não criptografado entre a borda e a origem, anulando parte da proteção. Prefira um modo que exija criptografia válida ponta a ponta entre o Cloudflare e a sua origem.
WAF, regras e bots
Ative os conjuntos de regras gerenciadas e, como em qualquer WAF, introduza bloqueios de forma observada para medir o impacto antes de barrar tráfego legítimo. Crie regras específicas para o seu contexto, como proteger rotas administrativas e endpoints sensíveis, e use rate limiting nos pontos sujeitos a abuso. A proteção contra bots ajuda contra automação, mas deve ser dosada para não criar atrito.
- Restringir a origem para aceitar apenas tráfego do Cloudflare
- Não vazar o IP de origem em DNS, e-mail ou cabeçalhos
- Usar modo de TLS que exija criptografia válida até a origem
- Ativar regras gerenciadas e ajustar com observação
- Aplicar rate limiting em rotas sensíveis e de login
- Dosar proteção de bots para não barrar usuários reais
DNS, cache e cuidados de configuração
No DNS, mantenha os registros que devem passar pela borda com o proxy ativado; registros sem proxy expõem o IP de origem. Cuidado com cache de conteúdo sensível: regras de cache mal definidas podem servir a um usuário um conteúdo destinado a outro. Defina explicitamente o que pode e o que não pode ser cacheado.
Como toda borda, o Cloudflare complementa a segurança da aplicação, não a substitui. Uma falha na aplicação continua explorável por uma requisição que passe pelas regras. Trate a borda como uma camada a mais, ajustada continuamente.
Checklist prático
- Restringir a origem para aceitar apenas tráfego do Cloudflare
- Evitar vazar o IP de origem em DNS, e-mail e cabeçalhos
- Escolher modo de TLS com criptografia válida até a origem
- Ativar regras gerenciadas de WAF
- Introduzir bloqueios de forma observada antes de barrar
- Aplicar rate limiting em rotas sensíveis e de login
- Dosar a proteção de bots para não criar atrito
- Manter proxy ativo nos registros DNS que devem passar pela borda
- Definir explicitamente o que pode ser cacheado
- Revisar regras e ajustar de forma contínua
Boas práticas
- Proteja a origem contra acesso direto que ignore a borda
- Use TLS ponta a ponta entre Cloudflare e origem
- Ajuste o WAF com observação antes de bloquear
- Cuide do cache para não vazar conteúdo entre usuários
- Combine borda com correção da aplicação
- Trate a configuração como processo contínuo
Erros comuns
Origem acessível diretamente pelo IP
O atacante descobre o IP real e contorna toda a proteção de borda.
Modo de TLS permissivo até a origem
Tráfego pode seguir sem criptografia entre a borda e a origem.
IP de origem vazando em registros ou e-mails
Facilita o bypass do Cloudflare e ataque direto à origem.
Regras de cache mal definidas
Conteúdo sensível de um usuário pode ser servido a outro.
Confiar na borda e ignorar a aplicação
Falhas da aplicação continuam exploráveis quando a requisição passa.
Quando procurar apoio especializado
Configurar Cloudflare protegendo a origem e ajustando regras sem barrar usuários é parte do serviço de WAF e Proteção de Borda da GUARDIASEC, que avalia exposição, TLS, regras e cache e ajusta o tuning de forma observada.
Perguntas frequentes
Usar o Cloudflare já protege meu site?
Só se estiver bem configurado. Se a origem continua acessível pelo IP direto, o modo de TLS é permissivo ou as regras nunca foram ajustadas, a proteção é parcial e pode dar falsa sensação de segurança. O ganho real vem de proteger a origem, ajustar o WAF e cuidar de TLS e cache.
Como impeço que descubram o IP da minha origem?
Restrinja a origem para aceitar conexões apenas das faixas do Cloudflare no firewall e evite vazar o IP real em registros DNS sem proxy, em cabeçalhos de e-mail e em respostas da aplicação. Se o IP de origem vaza, um atacante pode atacar diretamente, contornando a borda inteira.
Qual modo de TLS devo usar no Cloudflare?
Evite modos permissivos que aceitam tráfego não criptografado entre a borda e a origem. Prefira um modo que exija criptografia válida ponta a ponta, com um certificado confiável na origem. Isso garante que o tráfego permaneça protegido em todo o caminho, e não apenas entre o usuário e a borda.
O Cloudflare substitui o pentest e a correção da aplicação?
Não. A borda filtra tráfego malicioso e reduz abuso, mas uma falha na aplicação continua explorável quando uma requisição passa pelas regras. O Cloudflare é uma camada complementar; pentest, correção de vulnerabilidades e boas práticas na aplicação continuam necessários.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.