今天带大家操作,仅凭一个Cloudflare免费账户,轻松构建属于自己的 零信任访问系统,高效又安全。从内网服务远程访问,到设备接入控制,一站式搞定。
什么是 Zero Trust?
传统的理念是“只要进了内网就信你”,但这很容易导致内部账号泄露、被盗等问题。但Zero Trust模型强调:不默认信任任何设备、账号或网络,所有访问都必须验证。
Cloudflare Zero Trust 提供了全面的解决方案:
- 替代内网的远程访问(Access + Tunnel)
- 控制用户上网行为(Gateway + WARP)
- 设置设备访问策略(设备态势感知)
- 快速发布内网服务,限制外部访问
一、准备工作
注册账号并开启Zero Trust管理
- 访问官网:https://dash.cloudflare.com/,注册并登录
- 添加你的域名并按提示修改DNS到Cloudflare提供的NS
- 打开:https://dash.teams.cloudflare.com/
- 设置 Team 名称(如
小方) - 获得类似
mysecureteam.cloudflareaccess.com的访问入口
三、通过Tunnel暴露本地服务
安装cloudflared
Mac:
1 | brew install cloudflared |
Windows:
1 | choco install cloudflared |
Linux:
1 | wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 |
登录Cloudflare
1 | cloudflared login |
创建并配置Tunnel
1 | cloudflared tunnel create mytunnel(自定义名字) |
启用DNS路由并启动
1 | cloudflared tunnel route dns mytunnel blog.example.com |
此时,你本地的服务将通过 https://blog.example.com 安全访问!
也可通过官网的Zero Trust创建
四、启用 Access 身份认证
- 打开 Zero Trust → Access → Applications
- 新建一个 Self-hosted App
- 设置:应用名称:如 “n8n 后台”,应用地址:https://blog.example.com
- 添加访问策略:视情况添加账号,也可仅允许你自己的账号登录,支持集成身份源(Google、GitHub、Okta、Azure AD等)
保存后,未登录者无法访问,会被重定向至登录页。
五、效果验证
- 本地服务 → 公网发布 ✅成功
- 身份登录控制 ✅启用 Google 登录
- 未授权用户访问 ❌被拒绝
- 多设备接入 ✅成功
六、拓展功能
| 功能 | 用途 |
|---|---|
| Access 多因素认证 | 增强账户安全 |
| 网页隔离 RBI | 不可信站点沙箱访问 |
| Gateway DLP | 防止上传敏感数据 |
| Tunnel 多实例 | 可发布多个服务 |
| Zero Trust CLI + API | 自动化创建规则和策略 |
总结
Cloudflare Zero Trust是一个极具潜力的安全体系:
- ✅ 免费支持前 50 用户
- ✅ 替代传统 VPN,权限精细控制
- ✅ 几分钟就能发布本地系统到公网
- ✅ 无公网 IP、无需端口映射也能使用
- ✅ 支持全平台(Win/Mac/iOS/安卓)
有了 Cloudflare Zero Trust,从此再也不用担心“公网暴露+无控制”的风险,1 分钟就能为服务加一层安全大门!
可发展方向与后续预告
- 本地 n8n 自动化后台 -> Tunnel + Access
- 远程访问内网系统 -> WARP + Access
- SaaS权限统一入口 -> Access + Google登录
- 安全发布博客 -> Pages + Access
- 禁止员工访问不良网站 -> Gateway DNS + WARP
如果对你有帮助,请点赞收藏哦!或者你有什么需要的话,可以留言或者关注我私信我哦!