Cloudflare + 일본 서버 — DDoS·CDN·WAF 통합 운영 가이드

일본 단독서버 또는 VPS를 운영할 때 Cloudflare를 앞단에 두면 DDoS 방어 + CDN 가속 + WAF + SSL + 봇 차단을 한 번에 얻을 수 있습니다. 이 글은 Cloudflare + 일본 서버 조합의 작동 원리, 설정 단계, 실전 팁을 정리합니다.

왜 Cloudflare를 함께 쓰는가

일본 IDC 자체에서도 기본 DDoS 방어를 제공하지만, Cloudflare를 앞단에 두면 방어가 다층화됩니다.

  • Cloudflare 레이어: 글로벌 분산 엣지에서 1차 흡수 (Tbps급)
  • JPServer IDC 레이어: 도쿄 IDC 입구에서 2차 차단 (Gbps급)
  • 서버 자체: 마지막 방어선 (방화벽·fail2ban)

각 레이어가 다른 종류의 공격을 잡아내므로 공격자가 모든 레이어를 동시에 우회하기 매우 어렵습니다.

다층 보안 아키텍처 시각화

다층 방어 아키텍처 사용자 (전 세계) 정상 + 공격 트래픽 혼재 Cloudflare L3/L4/L7 DDoS 흡수 WAF · 봇 차단 캐시 · CDN JPServer IDC L3/L4 자동 차단 IP Snooping 방어 Tier-1 회선 오리진 서버 방화벽 · SSH 키 fail2ban 레이어별 차단 비율 (전형적인 트래픽) • Cloudflare: 봇 트래픽 70~80% + 캐시히트 50~70% + L7 공격 99% • JPServer IDC: 남은 트래픽 중 L3/L4 공격 100% (Cloudflare가 못 잡은 잔여 공격) • 오리진 서버: 전 트래픽의 5~15%만 도달 → 서버 부하·트래픽 비용 80%+ 절감 결과: 다층 방어 + 글로벌 응답 속도 + 서버 자원 효율 동시 확보

Cloudflare 무료 플랜으로도 얻는 것

Cloudflare는 무료 플랜만으로도 다음을 모두 제공합니다.

  • 무제한 대역폭의 DDoS 방어 (Tbps급 흡수)
  • 글로벌 CDN (전 세계 300+ 거점 캐시)
  • 무료 SSL (Let’s Encrypt 자동 발급)
  • 기본 WAF (OWASP 핵심 룰)
  • 봇 트래픽 자동 식별 + 챌린지
  • 캐시 / 압축 / 이미지 최적화

유료 플랜(Pro/Business/Enterprise)은 더 정교한 룰·로그 보존·SLA를 추가로 제공.

적용 단계 (30분 안에 완료)

1단계 — Cloudflare에 도메인 등록

Cloudflare 가입 → “Add a Site” → 도메인 입력 → Free 플랜 선택.

2단계 — 네임서버 변경

Cloudflare가 자동으로 기존 DNS 레코드를 가져온 뒤, 도메인 등록사(가비아·후이즈·Namecheap 등)에서 네임서버를 Cloudflare가 안내한 두 개로 변경.

ns1.cloudflare.com → Cloudflare가 알려준 ns 1
ns2.cloudflare.com → Cloudflare가 알려준 ns 2

DNS 전파에 보통 5분~24시간 소요.

3단계 — 오리진 서버 IP를 Cloudflare 뒤로 숨김

  • 도메인의 A 레코드를 일본 서버 IP로 설정
  • Cloudflare 대시보드에서 해당 레코드 옆 주황색 구름 아이콘 클릭 (Proxied)

이 순간부터 사용자는 Cloudflare 엣지 IP만 보고, 진짜 서버 IP는 외부에 노출되지 않음. 공격자가 IP를 직접 때리는 것이 차단됨.

4단계 — SSL 모드를 “Full (strict)”로

Cloudflare → SSL/TLS → “Full (strict)” 선택. 오리진 서버에도 Let’s Encrypt 또는 Cloudflare Origin Certificate 설치 필요.

오리진에 SSL이 없으면 “Full” (검증 없음)로 설정. 단, 운영 환경은 항상 strict 권장.

5단계 — 오리진 방화벽을 Cloudflare IP만 허용

공격자가 우연히 오리진 IP를 알아내도 차단되도록, 서버 방화벽에서 Cloudflare IP 대역만 80/443 허용.

# Linux 예시 (firewalld)
for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
  firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='$ip' port port=443 protocol=tcp accept"
done
firewall-cmd --reload

이제 비-Cloudflare 트래픽은 80/443 진입조차 못 함.

캐시 전략 — 비용·속도·신선도 균형

일본 단독서버와 캐시 레이어

정적 자산 (이미지·CSS·JS·폰트)

Cloudflare에서 1년 immutable 캐시. 파일명에 해시(/main.a1b2c3.css)를 넣어 변경 시 자동 무효화.

HTML 페이지

기본은 캐시하지 않음. 단, 변경이 거의 없는 페이지(랜딩·블로그)는 Page Rules로 1~24시간 캐시.

API · 동적 콘텐츠

캐시하지 않음. Cloudflare Workers 또는 Cache API로 세밀한 제어 가능.

자주 빠지는 함정 5가지

1. 오리진 IP가 외부에 새는 경우

  • 메일 서버를 같은 IP에서 운영 → 메일 헤더에 IP 노출
  • 과거 DNS 히스토리 (SecurityTrails 등) → 변경 전 IP 추적 가능
  • 서브도메인 일부만 Proxied → 다른 서브도메인 IP가 같으면 노출

해결: 메일은 별도 IP·서비스로 분리 + Cloudflare 적용 시점에 오리진 IP 자체를 변경 (호스팅사에 IP 변경 요청).

2. SSL 무한 리다이렉트 (ERR_TOO_MANY_REDIRECTS)

오리진이 HTTPS만 허용 + Cloudflare가 “Flexible SSL”이면 무한 루프. 반드시 Full 또는 Full (strict) 사용.

3. 한국 사용자 응답 속도 저하

Cloudflare는 한국 엣지 거점이 있지만 일부 ISP 라우팅이 일본·미국으로 우회되는 경우 있음. Argo Smart Routing(유료) 또는 캐시 적극 활용으로 보완.

4. WebSocket / gRPC가 끊김

기본 Free 플랜은 WebSocket 일부 제약. Pro 이상에서 안정. 일부 게임 서버는 Cloudflare를 거치지 않고 직접 노출하는 게 더 안정적.

5. 봇 차단이 정상 사용자도 막음

WAF 룰을 너무 강하게 켜면 정상 한국·일본 사용자 차단. “Under Attack Mode”는 진짜 공격 중일 때만, 평소엔 “Medium” 정도.

Cloudflare를 쓰지 말아야 할 경우

다음 시나리오는 Cloudflare가 적합하지 않거나 직접 노출이 더 좋습니다.

  • MMO·FPS 게임 서버: UDP 기반 + 낮은 지연 우선 → Cloudflare Spectrum 등 별도 상품 필요
  • VoIP·SIP: 프록시가 SIP를 깨뜨릴 수 있음
  • 온체인 노드 (Bitcoin·Ethereum): P2P 프로토콜 직접 노출 필요
  • MetaTrader/FX VPS: 거래소와 직접 통신 → Cloudflare 우회 권장 (별도 MetaTrader 가이드 참조)

정리

Cloudflare + 일본 단독서버/VPS 조합은 다층 방어·글로벌 가속·비용 절감을 동시에 얻을 수 있는 사실상의 표준입니다. 무료 플랜만으로도 대부분의 비즈니스가 충분히 보호됩니다. 도메인 적용 또는 오리진 서버 방화벽 설정이 어려우시면 무료 상담에서 단계별로 안내해 드립니다.