Cloudflare WAF: różnice między planami Free, Pro, Business i Enterprise
Cloudflare WAF filtruje przychodzące żądania HTTP/HTTPS, blokując ruch pasujący do znanych wzorców ataków lub reguł zdefiniowanych przez administratora. Technologia jest dostępna na wszystkich planach - od bezpłatnego po Enterprise - ale zakres ochrony, jaki każdy z nich zapewnia, jest istotnie różny. Wybór planu Cloudflare to jednocześnie decyzja o tym, jak dużą kontrolę nad bezpieczeństwem aplikacji webowych organizacja będzie miała. Poniżej przedstawiamy, czym dokładnie różnią się poszczególne poziomy - na podstawie oficjalnej dokumentacji Cloudflare oraz naszego wieloletniego doświadczenia.
Managed Rulesets: co dostaje każdy plan na starcie
Na planie Free użytkownicy mają dostęp do Cloudflare Free Managed Ruleset - podzbioru pełnego zestawu reguł zarządzanych, ukierunkowanego na podatności o najwyższym wpływie i najszerzej eksploatowane luki. Zestaw ten aktywuje się domyślnie i nie wymaga konfiguracji. Daje elementarną ochronę, ale nie pozwala na dostosowanie zachowania poszczególnych reguł ani wdrożenie zestawu OWASP Core Ruleset, zapobiegających atakom takim jak XSS, SQL Injection, RCE itp.
Plany Pro, Business i Enterprise dają dostęp do pełnego Cloudflare Managed Ruleset - regularnie aktualizowanego zestawu reguł obejmującego znane ataki i podatności. Zmiany reguł są publikowane co tydzień w changelog WAF; Cloudflare może też dodawać reguły doraźnie podczas pilnych wydań, chroniąc przed podatnościami zero-day jak np. Log4j. Pełny zestaw pozwala skonfigurować zachowanie poszczególnych reguł i tagów, tworzyć wyjątki oraz ustawiać niestandardowe akcje. Na tych planach można wdrożyć Cloudflare OWASP Core Ruleset - który ocenia każde zapytanie i wywołuje zaplanowaną akcję po przekroczeniu ustalonego progu uruchomionych alarmów.
Custom rules: reguły z własną logiką
Reguły niestandardowe pozwalają administratorowi samodzielnie definiować warunki filtrowania i akcje - blokowanie (w tym z dostosowaniem typu odpowiedzi np. HTML, JSON, XML), wyzwanie interaktywne (captcha/Turnstile), pominięcie reguł zarządzanych czy logowanie dopasowań. Dostęp mają wszystkie plany ale limity, dostępne akcje i możliwości użycia parametrów różnią się znacząco.
Na planie Free można skonfigurować maksymalnie 5 reguł niestandardowych, bez obsługi wyrażeń regularnych i bez akcji Log. Pro podnosi limit do 20 reguł. Business daje 100 reguł i dodaje obsługę wyrażeń regularnych. Enterprise oferuje 1000 reguł oraz pełen zestaw akcji, w tym logowanie dopasowań bez blokowania - niezbędne przy analizie ruchu i dostrajaniu reguł przed wdrożeniem produkcyjnym, Enterprise z płatnym dodatkiem umożliwia też konfigurację reguł na poziomie całego konta, co obejmuje wiele domen jednocześnie. W planie Enterprise z odpowiednimi licencjami można korzystać też z reguł opartych o Bot Score oraz Attack Score dla precyzyjnego wykrywania i blokowania zaawansowanych prób ataków i botów.
Limit reguł to nie kosmetyczna różnica. Dla organizacji z rozbudowaną aplikacją webową obsługującą wiele ścieżek API i różnych grup użytkowników, 20 lub 100 reguł może stać się ograniczeniem architektonicznym. Podobnie sprawa wygląda z dostępnymi filtrami i akcjami, których można użyć w regułach. Bardziej zaawansowane aplikacje często wymagają bardziej zaawansowanej ochrony, którą Cloudflare Enterprise dostarcza.
Rate limiting: ochrona przed nadmiernym ruchem
Rate limiting pozwala zdefiniować limity liczby żądań pasujących do wyrażenia i akcję wykonywaną po ich przekroczeniu. Mechanizm jest dostępny na wszystkich planach, ale precyzja i zasięg kontroli różnią się radykalnie.
Plan Free pozwala na jedną regułę, z oknem zliczania wynoszącym 10 sekund i identyfikacją ruchu wyłącznie po adresie IP. Pro daje dwie reguły i wydłuża okno do minuty. Business podnosi limit do 5 reguł, dodaje obsługę NAT - co pozwala poprawnie identyfikować użytkowników za wspólnym IP - umożliwia stosowanie niestandardowych wyrażeń zliczania i wydłuża okno do 10 minut, a czas blokady do 24 godzin. Enterprise z pakietem Application Security daje 5 lub więcej reguł (zależnie od warunków kontraktu), z oknem sięgającym 1 dnia. W przypadku wykupienia modułu Bot Management, dostępna jest też obsługa charakterystyk takich jak JA3/JA4 fingerprint. Advanced Rate Limiting rozszerza możliwości o użycie wartości nagłówków, cookies czy pola JSON w treści żądania, a także model throttlingu - zamiast twardego blokowania ruch jest dławiony do dopuszczalnego progu.
WAF Attack Score i ochrona przed botami
WAF Attack Score to warstwa uczenia maszynowego, która analizuje żądania pod kątem wzorców SQLi, XSS i RCE niezależnie od sygnaturowych reguł zarządzanych. Pozwala wykrywać ataki obchodzące klasyczne reguły oparte na sygnaturach, szczególnie niebezpieczne w erze AI potrafiącego szukać szybko obejść zabezpieczeń na setki sposobów.
Na planie Business dostępne jest jedno pole - WAF Attack Score Class - przyjmujące wartości jakościowe, takie jak "Attack". Umożliwia to budowanie reguł blokujących ruch zaklasyfikowany jako atak, ale bez dostępu do surowego wyniku numerycznego. Enterprise otrzymuje pełen dostęp do pola WAF Attack Score z wartością liczbową, co pozwala ustalać własne progi i stosować bardziej zróżnicowane akcje.
W zakresie ochrony przed botami obraz jest podobny. Plan Free udostępnia Bot Fight Mode, który działa automatycznie, ale nie obsługuje wyjątków - jeśli spowoduje błędne blokowanie pożądanego ruchu automatycznego, jedyną opcją jest wyłączenie go w całości lub przejście na plan wyższy. Pro i Business zastępują go Super Bot Fight Mode, który obsługuje reguły skip - co jest konieczne, gdy monitoring, integracje płatności lub inne automatyczne systemy są błędnie klasyfikowane jako boty. Enterprise z modułem Bot Management daje dostęp do numerycznego bot score i możliwość budowania własnych reguł z precyzyjnymi progami per ścieżka, user agent lub inne właściwości requestów.
Zarządzanie WAF na poziomie konta
Na planach Free, Pro i Business konfiguracja WAF działa wyłącznie na poziomie poszczególnych domen. Każda domena jest zarządzana osobno, a reguły i rulesets nie są automatycznie współdzielone między domenami w koncie. Enterprise z odpowiednim dodatkiem otrzymuje możliwość wdrażania reguł zarządzanych na poziomie konta. Na tym poziomie każdy managed ruleset można wdrożyć wielokrotnie, z różnymi konfiguracjami dla różnych podzbiorów ruchu - co jest niemożliwe przy konfiguracji na poziomie strefy. Dotyczy to też reguł niestandardowych i reguł rate limiting. Ma to znaczenie dla organizacji zarządzających kilkoma domenami lub środowiskami i chcących zachować spójną politykę bezpieczeństwa bez ręcznego duplikowania konfiguracji.
Jak ICWT pomaga w doborze właściwego planu
In Cloud We Trust wspiera organizacje w ocenie wymagań bezpieczeństwa i doborze planu Cloudflare odpowiadającego rzeczywistej powierzchni ataku i potrzebom operacyjnym. Jeśli chcesz porównać dostępne opcje i zobaczyć, co konkretnie wniósłby wyższy plan dla Twojej infrastruktury, skontaktuj się z nami w celu bezpłatnej konsultacji.
Źródła
Najczęściej zadawane pytania
Czy plan Free w Cloudflare zapewnia ochronę WAF?
Tak. Plan Free aktywuje domyślnie podstawową Cloudflare Free Managed Ruleset - podzbiór pełnego zestawu reguł, ukierunkowany na podatności o najwyższym wpływie. Nie pozwala jednak na dostosowanie zachowania reguł, wdrożenie OWASP Core Ruleset ani na korzystanie z większości funkcjonalności w regułach niestandardowych.
Jaka jest kluczowa różnica między planem Pro a Business?
Business daje 100 reguł niestandardowych (zamiast 20 w Pro), dodaje obsługę wyrażeń regularnych, 5 reguł rate limiting z oknem do 10 minut i obsługą NAT oraz dostęp do pola WAF Attack Score Class. Pro pozostaje przy dwóch regułach rate limiting z oknem minutowym.
Co to jest WAF Attack Score i kiedy jest dostępny?
WAF Attack Score to warstwa uczenia maszynowego, która ocenia żądania pod kątem wzorców SQLi, XSS i RCE niezależnie od sygnaturowych reguł zarządzanych. Jest to nowatorskie podejście o znacznie wyższej skuteczności, pozwalające nawet na wykrywania ataków typu zeroday. Plan Business daje dostęp do wartości jakościowej (Attack Score Class), a Enterprise do pełnej wartości numerycznej z możliwością ustawiania własnych progów i akcji.
Czy potrzebuję planu Enterprise, jeśli zarządzam wieloma domenami?
Jeśli zależy Ci na zarządzaniu regułami WAF, rate limiting i custom rules na poziomie całego konta - tak. Plany Free, Pro i Business pozwalają konfigurować WAF wyłącznie per domena, co wymusza ręczne duplikowanie konfiguracji między strefami.
Jaki plan najlepiej chroni przed botami?
Enterprise z modułem Bot Management - daje numeryczny bot score i pozwala budować własne reguły z progami per ścieżka, user agent, fingerprint JA3/JA4 lub inne właściwości żądania. Pro i Business oferują Super Bot Fight Mode z regułami skip, a Free tylko podstawowy Bot Fight Mode bez wyjątków.