以下操作不需要您会写规则，不需要您分析流量，小白式的操作，随便点点鼠标就行了。非常简单！哪怕超过千万/亿次攻击，1H1G也防得住，网站不会挂，收录不会掉，API也不会影响！

确定您的网站被CF保护，也就是说DNS→是打开了代理，A/AAAA解析是橙色。（如果您之前IP漏了，那么就需要换IP）
保护之前请关闭所有您之前设置的WAF→防火墙规则/速率限制规则/托管规则/工具，以及包含安全性的页面规则！因为在这之前您可能按照网上的教程进行设置过，可能会影响到下面的规则优先级（如果您之前没有可以忽略这条）

首先进入受CF保护的网站，找到安全性：


第一步：

CF→安全性→设置→安全级别设置为：高（可以打开I'm Under Attack!我受到攻击，任何人访问都会等待5秒钟进行检查，也就是常说的CF五秒盾！这里慎重打开I'm Under Attack!，因为会影响到网站收录、API、正常用户访问！）
质询通过期设置成：15分钟或者30分钟，严重可以设置5分钟（这里慎重设置，不要太低，不要太高！）
浏览器完整性检查：打开

第二步：

CF→安全性→DDOS→HTTP DDoS 攻击防护，点右边的配置进入

规则集操作（必填）设置为：托管质询或者直接阻止
规则集敏感度（必填）设置为：高



第三步：

CF→安全性→自动程序：打开自动程序攻击模式

第四步：

CF→安全性→WAF→速率限制规则，创建一条速率限制规则，规则如下：

规则名称 （必需）：自己填个

如果传入请求匹配…
字段               URL路径
运算符               选择“包含”
值                     自己输入英文的：/

速率限制匹配运算符包含输入英文 / 是关键，也代表网站所有目录都匹配

则...
选择操作：阻止  
响应类型为 ：默认 Cloudflare 速率限制响应（响应类型为 ：默认 Cloudflare 速率限制响应，这会告诉访问被阻止，跳转到CF速度限制阻止页面。如果您想告诉您的网站访客发生了什么可以自定义HTML，利用UTF-8编码自己写个中文页面。）

对于…
持续时间 （必需） 10秒
当速率超过…
请求 （必需）35
期间 （必需）10秒钟

请求：35 可以设置为25，但会影响正常用户，最好不要低于20。如果太低了，用户正常访问都会被阻止。

第五步：

在CF网络→路由→洋葱路由关掉

最后等cf规则生效，大概30秒，一定要重启一下服务器，让服务器断开所有的程序连接

不要依赖在服务器上设置防火墙，因为流量已经到你服务器了，只要攻击够大，64/128核都可以干废。同样CF也会自动机器学习，哪怕设置好以后，服务器短暂满载，过一会，CF就会通过AI学习，不停的更新规则，这个规则更新不需要你人工干预。CF为什么免费？就是因为免费用户被攻击拿来做机器学习。别担心CF免费扛不住，或者被清退。理论上您被一次性攻击几十亿，CF还会拿你做文章。

转自hostloc：https://hostloc.com/thread-1094822-1-1.html