站长用 Cloudflare 最容易踩的坑：DNS、SSL、缓存与安全配置全梳理

发布人：慈云数据-客服中心发布时间：1 天前阅读量：4

Cloudflare 常见问题汇总｜适合站长

Cloudflare 是目前站长圈非常常见的 CDN、DNS、网站安全与性能优化服务提供商。无论是个人博客、企业官网、跨境电商网站，还是 API 服务、SaaS 平台，都可能会用到 Cloudflare。它的优势在于：免费套餐可用性高、DNS 解析速度快、CDN 节点覆盖广、安全防护能力较强、配置入口集中。

不过，对于很多刚接触 Cloudflare 的站长来说，它也并不是“接入就万事大吉”。实际使用过程中，经常会遇到诸如 DNS 不生效、网站打不开、SSL 证书异常、源站 IP 暴露、缓存不更新、访问速度不理想、规则配置错误等问题。

本文整理了一份面向站长的 Cloudflare 常见问题汇总，尽量用通俗方式说明问题原因、排查思路和解决方案，适合新手站长、独立开发者、运维人员参考。

一、Cloudflare 是什么？站长为什么要用它？

Cloudflare 可以简单理解为一个位于用户和源站服务器之间的“中间层”。当用户访问你的网站时，请求会先到达 Cloudflare 节点，再由 Cloudflare 根据配置决定是否从缓存中返回内容，或转发请求到你的源站服务器。

对于站长来说，使用 Cloudflare 通常有以下几个目的：

托管 DNS Cloudflare 的 DNS 服务稳定且解析速度较快，适合作为域名解析管理平台。
隐藏源站 IP 开启代理后，用户访问到的是 Cloudflare 的节点 IP，而不是你的真实服务器 IP。
提升访问速度 静态资源可以被缓存到 Cloudflare 边缘节点，减少源站压力并提高访问速度。
增强安全防护 可以启用 WAF、防火墙规则、Bot 管理、DDoS 防护、访问速率限制等功能。
统一管理 HTTPS Cloudflare 提供边缘证书，也支持源站证书，方便网站启用 HTTPS。
减少服务器带宽消耗 对图片、CSS、JS、HTML 等内容进行缓存后，源站被访问次数会下降。

但需要注意的是，Cloudflare 不是万能的。它不能替代服务器安全加固，不能解决所有线路问题，也不能保证在所有地区都最快。正确理解它的作用，才能更好地使用它。

二、接入 Cloudflare 后 DNS 不生效怎么办？

这是新手站长最常遇到的问题之一。通常表现为：

域名仍然解析到旧 IP；
Cloudflare 后台显示域名未激活；
修改 DNS 记录后访问结果没有变化；
本地 ping 域名还是旧地址。

常见原因如下。

1. 域名 NS 服务器未修改成功

接入 Cloudflare 时，Cloudflare 会要求你到域名注册商后台修改 NS 服务器。例如原来是：

ns1.example-dns.com
ns2.example-dns.com

需要改成 Cloudflare 分配的：

alice.ns.cloudflare.com
bob.ns.cloudflare.com

如果你没有在域名注册商后台修改 NS，Cloudflare 就无法正式接管 DNS。

2. DNS 全球传播需要时间

修改 NS 或 DNS 记录后，不一定马上全球生效。通常需要几分钟到数小时，极少数情况下可能需要 24～48 小时。

你可以通过以下方式检查：

nslookup example.com
dig example.com
dig NS example.com

也可以使用在线 DNS 检测工具查看不同地区的解析结果。

3. 本地 DNS 缓存未刷新

有时候 Cloudflare 已经生效，但你本地电脑或运营商 DNS 仍缓存旧记录。可以尝试：

清理浏览器缓存；
切换网络；
更换 DNS 为 1.1.1.1、8.8.8.8；
在系统中刷新 DNS 缓存。

Windows 可执行：

ipconfig /flushdns

macOS 可尝试：

sudo dscacheutil -flushcache
sudo killall -HUP mDNSResponder

三、Cloudflare DNS 中“小云朵”是什么意思？

Cloudflare DNS 记录旁边通常有一个云朵图标，分为橙色和灰色。

1. 橙色云朵：开启代理

橙色云朵表示流量会经过 Cloudflare。此时用户访问网站时，看到的是 Cloudflare 节点 IP，而不是你的源站 IP。

开启橙色云朵后，Cloudflare 可以提供：

CDN 缓存；
HTTPS 边缘证书；
WAF 防护；
DDoS 防护；
防火墙规则；
页面规则或缓存规则；
访问统计分析。

通常网站的 A、AAAA、CNAME 记录可以开启代理。

2. 灰色云朵：仅 DNS 解析

灰色云朵表示 Cloudflare 只提供 DNS 解析，不代理流量。用户会直接访问你的源站 IP。

适合以下场景：

邮件服务器记录；
某些不支持 Cloudflare 代理的端口；
FTP、SSH 等非 Web 服务；
需要真实源站 IP 直连的服务；
临时排查问题。

3. 哪些记录不建议开启代理？

通常不建议给以下记录开启代理：

mail.example.com
smtp.example.com
imap.example.com
pop.example.com
ftp.example.com
ssh.example.com

尤其是邮件相关记录，错误开启代理可能导致邮件收发异常。

四、接入 Cloudflare 后网站打不开怎么办？

接入后网站打不开，原因可能很多。常见错误码包括 521、522、523、525、526、520 等。

1. 521 Web Server Is Down

521 通常表示 Cloudflare 无法连接到你的源站服务器。常见原因：

源站服务器宕机；
Web 服务未启动；
防火墙屏蔽了 Cloudflare IP；
源站只允许特定 IP 访问；
服务器端口未开放。

解决方法：

检查源站服务器是否正常运行；
确认 Nginx、Apache、OpenResty 等服务正常；
检查 80 和 443 端口是否开放；
将 Cloudflare 官方 IP 段加入服务器防火墙白名单；
查看服务器日志，确认请求是否到达源站。

2. 522 Connection Timed Out

522 表示 Cloudflare 连接源站超时。常见原因：

源站响应太慢；
服务器负载过高；
防火墙或安全组阻断；
网络线路不稳定；
源站程序执行时间过长。

解决思路：

检查服务器 CPU、内存、带宽；
优化数据库查询；
减少后端接口耗时；
检查安全组规则；
查看 Nginx 或应用日志；
尝试从不同地区访问源站 IP。

3. 525 SSL Handshake Failed

525 表示 Cloudflare 与源站进行 SSL 握手失败。常见原因：

源站没有配置 HTTPS；
源站证书过期；
源站证书链不完整；
Cloudflare SSL 模式配置不匹配；
服务器 SNI 配置错误。

如果你在 Cloudflare 中选择了 Full 或 Full(strict)，源站必须支持 HTTPS。

4. 526 Invalid SSL Certificate

526 一般出现在 SSL 模式为 Full(strict) 时。Cloudflare 会严格校验证书，如果源站证书无效，就会报错。

可能原因包括：

证书过期；
证书域名不匹配；
使用了自签名证书；
证书链不完整；
源站证书未被信任。

解决方法是为源站配置有效证书，或者使用 Cloudflare Origin Certificate。

五、Cloudflare SSL 模式应该怎么选？

Cloudflare 的 SSL/TLS 模式对站点能否正常访问非常关键。常见模式有：

1. Off

关闭 HTTPS。一般不建议使用。

2. Flexible

用户到 Cloudflare 是 HTTPS，但 Cloudflare 到源站是 HTTP。

这种模式配置简单，但容易导致：

后台检测不到 HTTPS；
WordPress 出现重定向循环；
登录状态异常；
混合内容问题；
安全性不完整。

如果源站完全不支持 HTTPS，可以临时使用 Flexible，但不建议长期使用。

3. Full

用户到 Cloudflare 是 HTTPS，Cloudflare 到源站也是 HTTPS，但不严格验证源站证书。

适合源站有 HTTPS，但证书可能是自签名或不完整的场景。

4. Full(strict)

用户到 Cloudflare 是 HTTPS，Cloudflare 到源站也是 HTTPS，并严格验证源站证书。

这是更推荐的模式。要求源站证书有效且域名匹配。

六、为什么网站开启 Cloudflare 后出现重定向循环？

重定向循环通常表现为浏览器提示：

ERR_TOO_MANY_REDIRECTS

常见于 WordPress、Typecho、Laravel、宝塔面板站点等。

主要原因是 Cloudflare 与源站对 HTTPS 状态判断不一致。例如：

Cloudflare 使用 Flexible；
源站程序强制跳转 HTTPS；
Nginx 也配置了 HTTPS 跳转；
WordPress 站点地址配置为 HTTPS；
应用未正确识别 X-Forwarded-Proto 头。

解决方法：

将 Cloudflare SSL 模式改为 Full 或 Full(strict)；
确保源站 443 端口可用；
源站配置有效证书；
检查网站程序中的站点 URL；
避免多处重复配置跳转规则；
在 Nginx 或应用层正确处理代理头。

WordPress 用户还可以检查 wp-config.php 是否需要添加：

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
    $_SERVER['HTTPS'] = 'on';
}

七、Cloudflare 缓存不更新怎么办？

很多站长更新网站内容后，发现前台仍显示旧内容，这通常与 Cloudflare 缓存有关。

常见原因

静态资源被缓存；
HTML 页面被缓存规则缓存；
浏览器本地缓存未清理；
源站本身有缓存插件；
CDN、服务器、程序多层缓存叠加。

解决方法

在 Cloudflare 后台可以执行：

清除单个 URL 缓存；
清除指定主机名缓存；
清除所有缓存。

如果只是更新了某个 CSS 或 JS 文件，建议清除单个 URL，而不是全站清除。全站清除会导致源站短时间压力上升。

更推荐的方式是给静态资源添加版本号，例如：

这样浏览器和 CDN 会将它视为新资源。

八、Cloudflare 如何隐藏源站 IP？

隐藏源站 IP 是很多站长使用 Cloudflare 的重要原因。但需要注意：只开启代理并不代表源站 IP 永远不会暴露。

正确做法

主要 Web 域名开启橙色云朵；
源站防火墙只允许 Cloudflare IP 段访问 80/443；
不要将源站 IP 暴露在 DNS 历史记录中；
邮件服务尽量不要与 Web 源站共用同一 IP；
不要在网页源码、接口、证书、Git 仓库中泄露 IP；
避免使用 origin.example.com 这类明显指向源站的记录；
对服务器管理端口进行限制，如 SSH 只允许固定 IP 登录。

服务器防火墙建议

如果你的源站只服务 Web 请求，可以配置只允许 Cloudflare IP 访问 80 和 443 端口，拒绝其他来源。

同时，SSH、数据库、面板端口不要暴露到公网，至少应限制 IP 白名单或使用 VPN、堡垒机等方式访问。

九、Cloudflare 会影响 SEO 吗？

正常使用 Cloudflare 一般不会对 SEO 造成负面影响，甚至可能有正面帮助。原因包括：

页面加载速度提升；
HTTPS 更容易配置；
网站可用性提高；
恶意流量和攻击减少；
源站压力降低。

但错误配置可能影响 SEO，例如：

缓存了错误页面；
错误拦截搜索引擎蜘蛛；
开启过于严格的 WAF；
页面长期返回 403、503；
SSL 配置错误导致无法抓取；
国家或地区访问规则误伤搜索引擎 IP。

建议站长定期查看：

Google Search Console；
Bing Webmaster Tools；
百度搜索资源平台；
Cloudflare 防火墙事件；
源站访问日志。

如果发现搜索引擎蜘蛛被拦截，应针对合法蜘蛛放行，或调整安全等级。

十、Cloudflare 的免费套餐够用吗？

对于大多数个人站长、小型博客、普通官网来说，Cloudflare 免费套餐已经足够使用。免费套餐通常能满足：

DNS 管理；
基础 CDN；
基础 DDoS 防护；
通用 SSL 证书；
简单防火墙规则；
基础缓存配置；
基础访问分析。

但如果你有更高需求，可能需要付费套餐，例如：

更强 WAF 规则；
更细粒度缓存控制；
图片优化；
Bot 管理；
更高级速率限制；
Argo 智能路由；
企业级 SLA；
更多安全规则和日志能力。

对于站长来说，不建议一开始就购买高等级套餐。可以先用免费版跑一段时间，观察访问量、攻击情况、性能瓶颈，再决定是否升级。

十一、Cloudflare 适合国内网站吗？

这个问题需要分情况看。

Cloudflare 在全球范围内节点很多，但对于主要面向中国大陆用户的网站，免费版 Cloudflare 的访问体验可能不稳定。不同地区、不同运营商、不同时间段的速度差异会比较明显。

如果你的网站主要服务中国大陆用户，建议考虑：

国内备案后使用国内 CDN；
使用面向中国大陆优化的 CDN 服务；
国内用户走国内 CDN，海外用户走 Cloudflare；
做智能 DNS 分流；
对静态资源使用国内对象存储或 CDN。

如果你的网站主要面向海外用户，Cloudflare 通常是一个不错的选择，尤其适合欧美、东南亚等访问场景。

十二、Cloudflare 如何设置缓存更合理？

缓存策略不是越激进越好。不同类型网站应采用不同策略。

1. 普通博客

可以缓存：

图片；
CSS；
JS；
字体；
静态 HTML 页面。

不建议缓存：

后台管理页面；
登录页面；
评论提交接口；
搜索页面；
用户个性化页面。

2. WordPress 网站

建议绕过缓存：

/wp-admin/*
/wp-login.php
/wp-json/*
/cart/*
/checkout/*
/my-account/*

如果使用 WooCommerce，还要特别注意购物车、结算页、会员页不要被缓存。

3. API 服务

API 是否缓存要谨慎。如果接口返回用户相关数据，绝对不能被公共缓存。可以只缓存公开且不频繁变化的接口，例如文章列表、公开配置等。

4. 静态资源

静态资源可以设置较长缓存时间，例如 30 天、90 天甚至 1 年，但前提是文件名或 URL 带版本号。

十三、Cloudflare 防火墙规则怎么设置？

Cloudflare 的安全能力很强，但过度配置容易误伤正常用户。建议从基础规则开始。

常用规则示例

拦截后台恶意访问

如果你的网站是 WordPress，可以针对后台路径增加挑战或限制：

URI Path contains /wp-admin

但要注意不要误拦登录后的正常资源请求。

限制特定国家或地区访问

如果你的网站只服务某些地区，可以对其他地区进行挑战或阻止。但如果网站有 SEO 需求，不建议一刀切。

拦截异常 User-Agent

某些恶意爬虫会使用明显异常的 UA，可以针对性阻止。但不要简单拦截所有空 UA，因为有些正常服务也可能使用特殊 UA。

保护登录接口

对登录接口启用速率限制，防止暴力破解。例如：

/wp-login.php
/admin/login
/user/login

建议将“阻止”改为“托管挑战”或“JS 挑战”，这样误伤更少。

十四、Cloudflare 代理后如何获取真实访客 IP？

开启 Cloudflare 代理后，源站看到的访问 IP 通常是 Cloudflare 节点 IP，而不是真实用户 IP。为了在服务器日志、程序后台、评论系统中获取真实 IP，需要配置还原真实 IP。

Cloudflare 会通过请求头传递真实 IP，例如：

CF-Connecting-IP
X-Forwarded-For

Nginx 可以使用 real_ip 模块配置：

set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
real_ip_header CF-Connecting-IP;

实际配置时，应以 Cloudflare 官方最新 IP 段为准。配置完成后，日志中才会显示真实访客 IP。

十五、Cloudflare 页面规则、缓存规则、重定向规则有什么区别？

Cloudflare 早期常用 Page Rules，现在逐渐引入更多独立规则模块，例如 Cache Rules、Redirect Rules、Origin Rules、Configuration Rules 等。

简单理解：

Page Rules：旧式综合规则，可以设置缓存、转发、SSL 等；
Cache Rules：专门控制缓存行为；
Redirect Rules：专门处理 URL 重定向；
Origin Rules：控制回源主机、端口等；
WAF Rules：处理安全拦截和挑战；
Configuration Rules：对特定路径应用不同配置。

建议新站优先使用 Cloudflare 新版规则系统，逻辑更清晰，也更便于维护。

十六、Cloudflare 邮箱相关记录怎么配置？

如果你的域名需要收发邮件，DNS 配置要特别注意。

常见邮件记录包括：

MX
TXT SPF
TXT DKIM
TXT DMARC
A mail.example.com
CNAME

注意事项：

MX 记录不能开启代理；
邮件服务器对应的 A 记录通常应为灰色云朵；
SPF、DKIM、DMARC 都是 TXT 记录；
不要让邮件流量经过 Cloudflare 普通 Web 代理；
如果使用第三方邮箱，如 Google Workspace、Microsoft 365、腾讯企业邮，应按照服务商文档配置。

错误配置邮件 DNS 可能导致邮件无法发送、无法接收、进入垃圾箱或验证失败。

十七、Cloudflare 能防 DDoS 吗？

Cloudflare 具备 DDoS 防护能力，尤其对 Web 层攻击和常见流量攻击有一定效果。免费套餐也包含基础 DDoS 防护。

但站长需要理解：

如果源站 IP 已暴露，攻击者可能绕过 Cloudflare 直接攻击源站；
Cloudflare 主要保护经过它代理的流量；
非 Web 端口不一定受保护；
应配合源站防火墙限制访问；
大规模复杂攻击可能需要更高套餐或专业防护。

遇到攻击时，可以临时启用：

Under Attack Mode

也就是“我正在遭受攻击”模式。它会对访问者进行额外验证，降低恶意请求压力。但该模式可能影响用户体验，不建议长期打开。

十八、Cloudflare 导致网站变慢怎么办？

虽然 Cloudflare 常用于加速，但在某些地区或场景下也可能变慢。

排查方向包括：

用户所在地区到 Cloudflare 节点线路不好；
源站回源速度慢；
缓存命中率低；
页面主要内容为动态请求；
图片太大，没有压缩；
网站前端资源过多；
第三方脚本拖慢加载；
SSL 握手或重定向过多。

可以通过以下方式优化：

提高静态资源缓存命中率；
压缩图片；
开启 Brotli；
减少不必要 JS；
使用 HTTP/2 或 HTTP/3；
避免重复重定向；
优化源站响应时间；
对国内用户考虑分流方案。

十九、Cloudflare 常见配置建议清单

对于普通站长，可以参考以下基础配置：

DNS：主要网站记录开启代理，邮件相关记录关闭代理
SSL/TLS：Full(strict)
Always Use HTTPS：开启
Automatic HTTPS Rewrites：按需开启
Brotli：开启
HTTP/2：开启
HTTP/3：按需开启
缓存：静态资源长缓存，动态页面谨慎缓存
WAF：基础规则开启，避免过度拦截
源站防火墙：只允许 Cloudflare IP 访问 Web 端口
真实 IP：服务器配置 CF-Connecting-IP
后台路径：增加访问保护或速率限制

如果你使用 WordPress，还应注意：

后台不要缓存；
登录接口增加防护；
WooCommerce 页面不要缓存；
缓存插件与 Cloudflare 配置不要冲突；
评论、搜索、会员页面谨慎处理。

二十、使用 Cloudflare 的常见误区

1. 以为开启 Cloudflare 就绝对隐藏 IP

如果源站 IP 曾经暴露、邮件服务共用 IP、DNS 历史记录存在，攻击者仍可能找到源站。

2. 以为 CDN 一定加速

CDN 是否加速取决于用户地区、节点线路、缓存命中率、源站位置等因素。

3. 以为缓存越多越好

缓存用户页面、购物车、后台、接口数据，可能导致严重隐私和业务问题。

4. 以为安全等级越高越好

安全等级过高会误伤用户、搜索引擎、支付回调、API 客户端。

5. 忽略源站安全

Cloudflare 只是前置防护，源站仍然需要更新系统、修复漏洞、限制端口、做好备份。

总结

Cloudflare 对站长来说是一款非常实用的工具，既能托管 DNS，又能提供 CDN、HTTPS、安全防护和流量分析。对于个人博客、中小型网站、海外业务站点，它往往能以较低成本带来明显收益。

但 Cloudflare 的配置并不是越复杂越好。站长更应该关注几个核心点：

DNS 是否正确接管；
SSL 模式是否匹配；
源站是否允许 Cloudflare 回源；
缓存是否影响动态内容；
防火墙规则是否误伤正常用户；
源站 IP 是否真正被保护；
搜索引擎是否能正常抓取。

如果你是新手站长，建议先从基础配置开始：使用 Cloudflare 托管 DNS，网站记录开启代理，SSL 选择 Full(strict)，静态资源设置合理缓存，源站防火墙限制 Cloudflare IP，后台路径增加基础保护。等网站运行稳定后，再逐步优化 WAF、缓存规则、重定向规则和性能设置。

合理使用 Cloudflare，它可以成为网站稳定性、安全性和访问体验的重要保障。

文章标签： Cloudflare DNS SSL 缓存

上一篇：企业用 Cloudflare 前，这些问题最好先弄清楚

下一篇：跨境电商用 Cloudflare，这些加速、安全和支付坑要先搞清楚

更多栏目

新闻动态

文档中心

下载中心

目录结构

全文

产品与服务

新闻帮助

生态合作

了解我们