今天我们要介绍的是Spectrum，它为企业客户的整个TCP端口和协议带来了Cloudflare的安全性和加速性。它对任何连接到internet的机箱、容器或虚拟机都提供了DDoS保护；无论是运行电子邮件、文件传输还是自定义协议，它现在都可以充分利用Cloudflare的优势。如果你想跳到前面看它的动作，你可以滚动到底部的视频演示。DDoS防护Spectrum的核心功能是能够阻止大型DDoS攻击。Cloudflare现有的DDoS缓解（本周阻止了900 Gbps的洪水）带来的频谱效益。Spectrum的DDoS防护已经经过了战斗测试。就在我们为beta开发了Spectrum之后，Spectrum收到了它的第一个SYN洪水。Spectrum最早的部署之一是在Hypixel的基础设施前。Hypixel运行着最大的minecraft服务器，而且由于游戏玩家可能——呃，充满激情——他们是每秒太比特的Mirai僵尸网络的最早目标之一。"Hypixel是Mirai僵尸网络DDoS攻击的首批对象之一，经常受到大型攻击。在使用频谱之前，我们必须依赖不稳定的服务和技术，这些服务和技术会增加延迟，恶化用户体验。现在，我们能够在不增加延迟的情况下得到持续的保护，这使得它成为任何对延迟和正常运行时间敏感的服务（如在线游戏）的最佳选择，"Hypixel的首席技术官bruceblair告诉我们。另一个早期的团队是Montecito Bank&Trust的安全团队。作为一家金融机构，他们拥有一支技术含量高、积极主动的安全团队；当Cloudflare的DNSSEC是全新产品时，他们也是首批使用该产品的客户之一。Montecito Bank&Trust的技术总监Paul Abramson告诉我们，"我们正在寻找一种安全解决方案来保护电子邮件和SSH等附加服务，这样，如果我们受到攻击，我们的业务可以继续可靠和安全地运行。"TLS支持安全和加密是齐头并进的。使用频谱，您可以在Cloudflare的边缘终止TLS。在边缘端部端接TLS的主要好处是加快了性能（TLS握手的三个往返行程的距离更短）。我们认为最有趣的结果是，只要在客户机中添加对TLS的支持，Cloudflare现在就可以向传统上不支持加密传输的传统协议和服务添加加密。防火墙Spectrum与Cloudflare的IP防火墙集成，因此您可以选择哪些连接应该转发到您的服务器，哪些连接应该在Cloudflare的边缘被阻止。这也可以通过API来管理，所以您可以编写允许和拒绝动态访问的脚本。卷曲-X柱"https://api.cloudflare.com/client/v4/user/firewall/access_rules/rules" \-H"X认证电子邮件：你好@example.com" \-H"X-Auth-Key:0000000000000000000"\-H"内容类型：application/json"\--数据'{"mode"："block"，"configuration"：{"target"："ip"，"value"："192.0.2.1"}}'演示许多TCP负载平衡器和代理的设置可能很麻烦，但频谱需要单击几下。我们团队的Tito Esterline录制了一个演示，您可以在下面观看。我的建议是用音频播放，这样你就可以逐个播放。联系如果你想开始，请与我们的团队联系。如今，频谱可用于企业计划中的应用程序。为什么只是企业？虽然HTTP可以使用主机头来标识服务，但是TCP依赖于每个服务都有一个唯一的IP地址来标识它。由于IPv4地址正处于危险之中，对于我们来说，为每个应用程序分配一个IP是相当昂贵的，我们需要限制使用。我们正在积极思考如何将频谱带给每个人。一种想法是向非企业客户提供仅限于IPv6的频谱。另一个想法是允许任何人使用频谱，但要为IPv4地址付费。我们还不确定，但如果你喜欢其中一个，请随时发表评论并让我们知道。如果你想了解频谱是如何工作的，Marek写了一篇关于Linux行为的博文，让我们来构建它。