Российские аналоги Cloudflare: DNS-прокси, блокировка по ASN

Cloudfort и DDoS‑Guard — наиболее подходящие российские аналоги Cloudflare для небольшого сайта: оба дают DNS/прокси с блокировкой по стране, ASN и правилами по User‑Agent, а также умеют делать URL‑редиректы; Cloudfort выгоден для очень маленького трафика по модели pay‑as‑you‑go, DDoS‑Guard — более мощный L3–L7 вариант с бесплатным DNS и WAF. Для статики и снижения затрат можно рассмотреть Cdnnow!, Server Space или глобальные бюджетные CDN (Bunny/G‑Core) — у них дешевый CDN, но WAF/редиректы часто идут отдельно и могут требовать доплаты; ниже — подробные профили, ограничения и практическая инструкция по миграции и тестированию задержки.

Содержание

• Российские аналоги Cloudflare для небольшого сайта
• DNS прокси и защита от ботов — почему выросла задержка 30–60 с?
• Профили сервисов: цены, возможности и ограничения
• Практическая миграция с Cloudflare (DNS-only → прокси) — по шагам
• Ограничения и подводные камни
• Рекомендации по настройке, чтобы уменьшить время первого подключения
• Источники
• Заключение

Российские аналоги Cloudflare для небольшого сайта

Коротко: если вам нужно блокировать по стране/ASN/User‑Agent, делать шаблонные редиректы и при этом не платить корпоративные суммы, начните с двух опций — Cloudfort и DDoS‑Guard. Они уже в базовом наборе предлагают DNS + проксирование + WAF/ACL с фильтрацией по IP, ASN, стране и возможностью настройки правил по User‑Agent, плюс редиректы/Custom Pages.

Почему именно эти два?

• Cloudfort позиционируется как «локальный Cloudflare» с PoP в РФ, простыми pay‑as‑you‑go тарифами и заявленной экономичностью для очень малого трафика (для сайтов с ≈10 MB/мес. расходы могут быть менее 200 ₽/мес.) — это отличный тестовый вариант для одного‑двух доменов. Подробнее: cloudfort.ru.
• DDoS‑Guard даёт более «полноформатный» набор защиты L3–L7 (WAF с поддержкой regex для User‑Agent, блок по ASN/стране, кастомные страницы и редиректы), при этом предлагает бесплатный DNS и CDN/проксирование; есть опция скидки при миграции с Cloudflare. Детали: ddos-guard.ru/migration.

Дополнительные варианты (на заметку):

• Cdnnow! — недорогой CDN с геоблокировкой и дешевыми пакетами (в обзорах фигурирует тариф от ~500 ₽/мес за 1 TB) — хорош для статики и объёмного трафика при ограниченном бюджете. Источник обзора: Timeweb Community.
• G‑Core Labs — крупная сеть с PoP в РФ, есть бесплатный тестовый объём (1000 GB), но WAF/фаервол часто идет отдельно (платно).
• Selectel / Server Space — предлагают CDN и DDoS‑защиту; у Selectel есть пакет «CDN + DDoS» в доступном сегменте (примеры цен в обзорах). Список и цены: directline.pro.

Если вы не настаиваете строго на «русскости» провайдера, недорогие глобальные CDN (Bunny, G‑Core) иногда оказываются дешевле и быстрее для статики — но учтите юридические/регуляторные нюансы и локализацию PoP. Сравнения: guru99 — BunnyCDN, vc.ru обзор.

DNS прокси и защита от ботов — почему выросла задержка 30–60 с?

Вы правильно заметили: проксирование добавляет шаги. Что именно может вызывать 30–60 секунд:

• DNS‑резолвинг → выбор прокси/PoP (anycast/geo) → TCP/TLS‑handshake → проксирование к origin при отсутствии кэша. Если PoP у прокси далеко или маршрут проходит через переполненные/медленные узлы — задержка растёт.
• Если провайдер использует «внешние» PoP (не локальные в РФ) или ваш трафик идёт через сложный маршрут, это добавляет десятки секунд.
• Неправильная настройка TLS (нет session resumption, OCSP блокировка) удлиняет handshake.
• Наконец, некоторые провайдеры при проксировании запускают дополнительные проверки (WAF, капча, антибот) что задерживает первое подключение.

Как быстро проверить где «узкое место»?

• Проверка DNS: dig +trace example.com или dig @8.8.8.8 example.com +stats.
• Измерение времени соединения:

curl -s -o /dev/null -w "dns:%{time_namelookup}s connect:%{time_connect}s start:%{time_starttransfer}s total:%{time_total}s\n" https://example.com

• Трассировка маршрута к TCP/443: traceroute -T -p 443 example.com (или tcptraceroute).
• Сравните время для DNS‑only записи и для proxied‑записи (создайте test‑поддомен, включите проксирование только на нём).

Чтоб понять проблему: протестируйте локальные PoP провайдера. Если у Cloudfort/DDoS‑Guard PoP в РФ — задержка должна упасть по сравнению с глобальным Cloudflare, который в вашей сети мог выбирать удалённый узел.

Профили сервисов: цены, возможности и ограничения

Ниже — краткая «карточка» для быстрого сравнения (цены ориентировочные, на основе обзоров в анализе).

• Cloudfort — что умеет: DNS, CDN/кеш, WAF с правилами по IP/ASN/стране/User‑Agent, URL‑редиректы. Цена: pay‑as‑you‑go; для очень малого трафика (до ~10 MB/мес.) — менее 200 ₽/мес. Плюс: локальные PoP в РФ. Ограничения: мелкие тарифы и ручная донастройка некоторых правил. Источник: cloudfort.ru.

• DDoS‑Guard — что умеет: бесплатный DNS, прокси/CDN, DDoS L3–L7, WAF с regex для User‑Agent, блок по ASN/странам, кастомные страницы/редиректы. Цена: публично не всегда указана; есть тестовый период и спецусловия (скидки при миграции). Ограничения: сложнее ручная настройка, есть жалобы на кейсы удаления домена (см. обсуждение). Подробнее: ddos-guard.ru/migration, обсуждение: Habr Q&A.

• Cdnnow! — что умеет: бюджетный CDN, геоблокировка, путь к редиректам; цена в обзорах — от ~500 ₽/мес за 1 TB (недорогая опция для статики). Ограничения: WAF/ACL могут быть ограничены или платными. Источник: Timeweb Community.

• G‑Core Labs — что умеет: сильная сеть с PoP в РФ, бесплатный тест до 1000 GB, фаервол/фаервол‑фичи обычно платные. Цена: далее тарифы начинаются выше дешёвых CDN. Ограничения: WAF/политики могут быть отдельной платной услугой.

• NGENIX / StormWall — что умеет: серьёзная защита, гибкие правила, хорошие PoP в РФ. Цена: в обзорах NGENIX ~6 900 ₽/мес, StormWall ~3–7 тыс.₽/мес (зависит от пакета). Для малого сайта это уже «дорого». Источник: vc.ru, tproger.ru.

• Selectel / Server Space — что умеет: CDN + DDoS, примеры цен в обзорах: Selectel CDN от 500 ₽ + DDoS опция ~2 550 ₽; Server Space указывался как 0.8 ₽/GB (очень бюджетно для трафика). Источник: directline.pro, selectel.ru.

Практическое правило выбора: если вам нужна дешёвая защита и правила по UA/ASN/стране — пробуйте в первую очередь Cloudfort или DDoS‑Guard. Если нужно только быстро и дешёво отдать статику — Cdnnow!/Server Space/Bunny/G‑Core.

Практическая миграция с Cloudflare (DNS-only → прокси) — по шагам

1. Создайте тест‑поддомен (test.example.com). Оставьте основной домен как DNS‑only, чтобы не рисковать.
2. На выбранном провайдере (Cloudfort / DDoS‑Guard) настройте проксирование для test.example.com, включите простые правила блокировки по стране/ASN и базовую фильтрацию User‑Agent.
3. Измерьте время: до и после включения прокси — используйте curl/dig/traceroute (см. выше). Сравните TTFB и время на DNS‑lookup.
4. Если задержка выросла сильно — проверьте PoP провайдера: спросите в поддержке, какие PoP обрабатывают ваш трафик, и попробуйте сменить регион/узел.
5. Переносите трафик по частям: сначала статику (cdn.example.com), затем динамику. Делайте редиректы на S3 через правила CDN/прокси (если провайдер поддерживает); если нет — отдавайте 301 с origin.
6. Включайте WAF‑правила постепенно (начните с блокировки по ASN/стране, потом добавьте UA‑regex). Логируйте блокировки, чтоб не резать легитимный трафик.
7. Мониторьте: DNS‑lookup time, TLS handshake, TTFB. Если тест показывает стабильное улучшение — переводите основной домен.

Хочется «быстро и безопасно»? Начните с Cloudfort (малый риск, низкая цена) и параллельно протестируйте DDoS‑Guard для более агрессивной защиты.

Ограничения и подводные камни

• User‑Agent легко подделать — фильтры по UA эффективны против простых парсеров, но не против продвинутых прокси/бот‑сетей.
• Блокировка по ASN/стране даёт эффект, но бот‑сети используют пул прокси — обход возможен.
• Некоторые провайдеры продают WAF как отдельную услугу — учтите это в бюджете (G‑Core, NGENIX).
• Отдельные пользователи в обзорах жаловались на административные кейсы (например, проблемы у DDoS‑Guard в отдельных ситуациях) — делайте тестовый период и бэкапы настроек. Источник обсуждений: Habr Q&A.
• Юридические/регуляторные требования: российские провайдеры подчиняются местному законодательству — это плюс для доступности, но может иметь последствия для контента и логов.

Рекомендации по настройке, чтобы уменьшить время первого подключения

1. Выберите провайдера с реальными PoP в РФ (Cloudfort, DDoS‑Guard, G‑Core) — это обычно сразу сокращает RTT.
2. Тестируйте прокси не на корневом домене, а на поддомене — так проще откатиться.
3. Включите HTTP/2 или HTTP/3 (QUIC) и TLS1.3 на стороне CDN — это уменьшает handshake.
4. Настройте TLS session resumption и OCSP stapling на origin/edge.
5. Используйте CDN‑кеширование для статических URL (S3) и делегируйте редиректы на уровне edge, если провайдер поддерживает (иначе — 301 с origin).
6. Для отслеживания — автоматизируйте тесты curl/dig из нескольких гео‑точек и логируйте TTFB.
7. Если проксирование всё равно даёт большой штраф по latency, держите критичные endpoint’ы (API, healthcheck) DNS‑only и проксируйте только то, что реально нужно защищать.

Нужна помощь с тестированием? Сделайте два A/CNAME‑записи и сравните: один путь через провайдера, другой напрямую — и посмотрите разницу.

Источники

1. https://www.cloudfort.ru/
2. https://ddos-guard.ru/migration
3. https://timeweb.com/ru/community/articles/top-11-analogov-cloudflare-v-rossii-luchshaya-alternativa-servisu
4. https://vc.ru/eksperts/1640101-alternativa-cloudflare-v-rossii-top-11-analogov-etogo-servisa
5. https://www.directline.pro/connect/p/analogi-cloudflare-v-rossii/
6. https://tproger.ru/articles/rossijskie-cloudflare–chto-vybrat-dlya-uskoreniya-i-zashhity-sajtov-
7. https://www.guru99.com/ru/best-free-cdn.html
8. https://qna.habr.com/q/756455
9. https://selectel.ru/services/additional/cdn/
10. https://curator.pro/

Заключение

Для небольшого сайта, где нужны блокировка по стране/ASN/User‑Agent и шаблонные редиректы, разумный старт — протестировать Cloudfort и DDoS‑Guard: первый — дешёвая pay‑as‑you‑go опция с локальными PoP, второй — более мощный L3–L7 WAF/прокси. Для экономии на статике берите бюджетные CDN (Cdnnow!, Server Space или Bunny/G‑Core), но учтите, что продвинутые WAF‑правила и редиректы часто продаются отдельно; чтоб вернуть нормальное время первого подключения — тестируйте PoP/поддомены, включайте HTTP/3 и TLS1.3 и проксируйте только те части сайта, которые действительно под атакой.