Настройка Cloudflare WAF для 1С-Битрикс

Наша компания занимается разработкой, поддержкой и обслуживанием решений на Битрикс и Битрикс24 любой сложности. От простых одностраничных сайтов до сложных интернет магазинов, CRM систем с интеграцией 1С и телефонии. Опыт разработчиков подтвержден сертификатами от вендора.

8+Лет на рынкеподробнее 900+Реализованных проектовподробнее 100+Разработчиков в штатеподробнее 19+Партнеровподробнее

Предлагаемые услуги

Показано 1 из 1 услугВсе 1626 услуг

Простая

~1 рабочий день

Часто задаваемые вопросы

Наши компетенции:

Бесплатная консультация

Закажите бесплатную консультацию если у вас есть вопросы. Профильный специалист вас проконсультирует.

Расчет стоимости

Если вы знаете, что именно вам нужно разработать, или у вас уже есть готовое техническое задание.

Этапы разработки

Последние работы

Разработка сайта компании B2B ADVANCE
1177
Разработка веб-сайта для компании ФИКСПЕР
811
Разработка на базе Битрикс, Битрикс24, 1С для компании Development of an Online Appointment Booking Widget for a Medical Center
564
Разработка на базе 1С Предприятие для компании МИРСАНБЕЛ
747
Разработка сайта на CRM Битрикс24 для компании DOLBIMBY
655
Разработка на базе Битрикс24 для компании ТЕХНОТОРГКОМПЛЕКС
976

Показать больше работ

Настройка Cloudflare WAF для 1С-Битрикс

Интернет-магазин на Битрикс получает несколько тысяч запросов к /bitrix/admin/ в сутки от ботов, которые перебирают пароли. Одновременно — DDoS на страницу поиска, генерирующий нагрузку на базу данных. Встроенный WAF Битрикс (модуль security) справляется с частью угроз, но работает уже после того как запрос дошёл до PHP. Cloudflare WAF фильтрует трафик до вашего сервера.

Перевод домена под Cloudflare

DNS домена делегируется на NS-серверы Cloudflare. После этого весь трафик проходит через Cloudflare перед попаданием на сервер. В DNS-записях для A/AAAA/CNAME должен стоять режим «Proxied» (оранжевое облако) — иначе WAF не работает.

Реальный IP сервера Cloudflare передаёт в заголовке CF-Connecting-IP. Битрикс должен логировать реальный IP, а не IP Cloudflare. В /bitrix/.settings.php или nginx.conf:

# Устанавливаем реальный IP из заголовка CF-Connecting-IP
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/13;
# ... остальные диапазоны Cloudflare
real_ip_header CF-Connecting-IP;

Актуальный список IP-диапазонов Cloudflare: https://www.cloudflare.com/ips-v4/.

Managed Rules (готовые наборы правил)

В панели Cloudflare → Security → WAF → Managed Rules включаем:

Cloudflare Managed Ruleset — базовый набор правил против SQLi, XSS, Path Traversal
Cloudflare OWASP Core Ruleset — OWASP ModSecurity Core Rule Set

Для 1С-Битрикс необходимо настроить исключения — Битрикс генерирует запросы, которые могут ложно срабатывать на правила XSS и SQLi:

Правило исключения для admin-панели:

Expression: http.request.uri.path contains "/bitrix/admin/"
Action: Skip → Cloudflare Managed Ruleset

Правило исключения для API обмена с 1С:

Expression: http.request.uri.path contains "/bitrix/1c_exchange.php"
Action: Skip или снизить sensitivity

Правило исключения для загрузки файлов:

Expression: http.request.uri.path contains "/bitrix/tools/upload.php"
Action: Skip

Custom Rules для специфики Битрикс

Блокировка брутфорса на admin:

(http.request.uri.path eq "/bitrix/admin/index.php"
 and http.request.method eq "POST"
 and not ip.src in {151.101.0.0/16 104.16.0.0/13})

Action: Rate Limiting — не более 5 POST в минуту с одного IP. При превышении — Challenge (JS challenge или CAPTCHA).

Блокировка сканеров уязвимостей:

(http.request.uri.path contains "/bitrix/admin/"
 and not cf.client.bot_score gt 30
 and http.user_agent contains "sqlmap")
or
(http.request.uri.path contains "wp-admin")
or
(http.request.uri.path contains ".env")

Action: Block с кодом 403.

Защита страницы входа от ботов:

(http.request.uri.path eq "/login/"
 and http.request.method eq "POST"
 and cf.threat_score gt 10)

Action: Managed Challenge.

Bot Management

В Cloudflare → Security → Bots:

Bot Fight Mode — базовая защита, бесплатно
Super Bot Fight Mode (Pro план) — блокирует известные вредоносные боты, разрешает поисковые боты

Для Битрикс-магазина важно: разрешить Яндекс.Бот и GoogleBot. Cloudflare по умолчанию их не блокирует, но стоит проверить в Bot Analytics, не попали ли они под ложные срабатывания.

Page Rules и Cache Rules для admin

Admin-панель Битрикс не должна кешироваться на Cloudflare:

URL: example.com/bitrix/admin/*
Cache Level: Bypass

Аналогично для личного кабинета, корзины, оформления заказа — любые страницы с персональными данными.

Rate Limiting для страниц поиска и фильтра

Страницы поиска (/search/) и фасетного фильтра (/catalog/?PAGEN_1=...) — частые цели DDoS на уровне приложения. Rate Limiting:

Expression: http.request.uri.path eq "/search/" and http.request.method eq "GET"
Rate: 30 requests per minute per IP
Action: Block for 1 hour

Для фильтра каталога: ограничение по количеству параметров ? в URL.

Мониторинг и настройка

После включения правил — 24–48 часов мониторинга в режиме «Log» (без блокировки). Cloudflare показывает, какие правила срабатывают и на какие легитимные запросы. Только после анализа — переводим в «Block» или «Challenge».

Состав работ

Делегирование DNS на Cloudflare, настройка реального IP на сервере
Включение Managed Rules с исключениями для Битрикс
Custom Rules: брутфорс admin, сканеры, страница входа
Rate Limiting для поиска и фильтра каталога
Bot Management, исключения для поисковых ботов
Мониторинг ложных срабатываний, финальная настройка

Сроки: 3–5 дней базовая настройка. 1–2 недели с периодом мониторинга и финальной калибровкой правил.

1С Битрикс презентация 1С Битрикс24 презентация 1С Предприятие презентация