剛好分享一下我們日常的做法，給需要的人參考。
我們的主機全部都藏在 Cloudflare 後面，Origin 只開放 Cloudflare IP 進來。
GCP / Linode 的防火牆都設定成白名單模式，非 Cloudflare 的流量直接被拒。
Origin IP 只有內部開發會知道（而且通常也懶得記 XD）。
比較敏感的路徑會再加一層 WAF 或 Rate Limit 做保護，避免被掃描或暴衝。
整體目的很簡單：
不讓任何人繞過 CDN 直接敲主機。
這做法本身不複雜，但對避免常見的繞過攻擊還蠻實用的。
如果你也有在做 Origin Lockdown，有更好招式也歡迎分享。 ^^
※ 引述《NTU87 (公館の椰子樹)》之銘言：
: 欸欸聽說 cloudflare 掛了
: 阿他是 CDN
: 既然他是 CDN
: 代表他上面還是有個源頭伺服器
: 阿只要能猜到源頭伺服器 IP 是什麼
: 不就能繞過去了嗎？
: 原理就跟各位說到這裡
: 源頭伺服器的 IP 各位自己找
: 加油
: