引導 Cloudflare One Zero Trust 與 SASE 在 Access、Gateway、WARP、Tunnel、Cloudflare WAN、DLP、CASB、裝置健康狀態及身分驗證等領域的運作。適用於設計、設定、故障排除或審查 Cloudflare One 部署。以查閱為優先:使用最新的 Cloudflare 文件/API 架構,而非內嵌產品文件。
Cloudflare One
在引用限制、設定、API 欄位、類別 ID 或確切 UI 路徑之前,請先從 Cloudflare One 文件、Cloudflare docs MCP 伺服器或 Cloudflare API 架構取得最新資訊。
工作流程
- 分類需求:架構、設定、故障排除、遷移或審查。
- 收集背景資訊:帳戶 ID、使用者/站點/應用程式、身分提供者、SCIM/群組同步、裝置管理、流量路徑、合規限制及部署影響範圍。
- 僅查閱涉及產品所需的最新文件:Access、Gateway、WARP/裝置用戶端、Tunnel/Mesh、Cloudflare WAN、DLP、CASB、裝置健康狀態或身分驗證。
- 若可存取帳戶,請在提出或進行變更前檢查現有資源:Access 應用程式/政策/群組/IdP、Gateway 規則/清單/類別、裝置設定檔/健康狀態檢查、通道/路由、DNS/解析器設定及位置/站點。
- 提出變更集,包含先決條件、驗證及復原方式。對於有風險的變更,請先以停用狀態或僅限於試辦群組/站點進行,除非使用者明確要求其他方式。
評估提示
使用以下提示避免直接跳到設定。僅詢問與使用者任務相關的提示。
架構與現狀
- 站點與使用者:辦公室、分公司、資料中心、VPC、遠端使用者、承包商、使用者數量及當前連線模型。
- 應用程式與目的地:SaaS、公開應用程式、私有應用程式、API、基礎設施目標、協定、連接埠、主機名稱及 IP 範圍。
- 連線方式:VPN、MPLS、SD-WAN、直接網際網路出口、集中式回程、站點對站點需求及私有 DNS 架構。
- 安全堆疊:目前的 SWG、NGFW、VPN/ZTNA、DLP、CASB、電子郵件安全、日誌記錄及合規需求。
- 身分驗證:IdP、SCIM/群組同步、群組命名、多 IdP 需求、服務帳戶及承包商/合作夥伴存取。
- 部署:試辦使用者/站點、影響範圍、復原路徑、支援負責人及成功標準。
Access 與 SaaS 聯合
- 應用程式型態:網頁應用程式、API、SSH/RDP/VNC、資料庫、SaaS 應用程式、公開主機名稱、私有 IP 或私有主機名稱。在選擇前請查閱 Access 應用程式類型 文件。
- 存取模型:無用戶端瀏覽器存取、使用裝置用戶端的私有網路、點對點連線、使用服務令牌或相互 TLS 的服務連線,或 SaaS SSO 聯合。
- 政策需求:使用者群組、裝置健康狀態、工作階段持續時間、mTLS、服務令牌及應用程式啟動器可見性。在設定選擇器或評估順序前,請查閱 Access 政策 文件。
- SaaS 詳細資訊:SAML 與 OIDC 支援、ACS/重新導向 URL、Entity ID/用戶端 ID、必要屬性及租戶控制需求。
Tunnel 與私有網路
- 站點與區段:哪些資料中心、VPC、辦公室或網路區段需要連線。
- 高可用性:開發/測試使用單一連接器、生產環境使用多個連接器,或進階多通道/站點備援。
- 執行環境:cloudflared 或 WARP Connector/Mesh 將在何處執行:VM、容器、Kubernetes、裸機或其他目標。
- 出口:連接器是否能透過所需的出口連接埠/協定連線到 Cloudflare。在指定確切端點前,請查閱 通道連線預檢。
- 來源可達性:連接器是否能解析並連線到每個私有來源。
- 路由:所需的 CIDR/主機名稱、重疊的 IP 空間、虛擬網路、分割隧道 及私有 DNS/解析器政策 需求。
- 管理模式:新部署建議使用遠端管理/令牌式通道,除非有明確理由使用本地設定。
Gateway、TLS 與 DLP
- 流量控制:DNS 類別、HTTP URL/路徑檢查、L4 連接埠/協定、出口 IP 需求、自訂清單及允許/封鎖例外。在設定前請查閱 Gateway 流量政策 文件,了解目前的選擇器及執行順序。
- 身分驗證:Gateway 政策是否需要使用者或群組選擇器,以及使用者是否將透過 WARP/IdP 上下文進行驗證。當涉及群組時,請檢查 Gateway 身分選擇器 及 SCIM 佈建。
- TLS 檢查:根 CA 部署路徑、憑證釘選應用程式、合規例外及 FIPS 需求。在啟用前請查閱 TLS 解密 文件。
- DLP:敏感資料類型、要檢查的管道、TLS 檢查準備就緒、DLP 設定檔、負載記錄需求及誤報容忍度。在建立強制執行前請查閱 DLP 文件。
CASB、裝置健康狀態與風險
- CASB:SaaS 供應商、管理員存取層級、掃描政策、組織規模、修復負責人及是否需要內聯保護。在建議修復前請查閱 CASB 發現 文件。
- 裝置健康狀態:必要檢查、第三方 EDR/MDM 整合、註冊規則、裝置設定檔及分割隧道對齊。
- 風險評分:相關行為訊號、誤報來源(如 VPN 或服務帳戶),以及風險是用於調查還是強制執行。在政策中使用風險前請查閱 使用者風險評分 文件。
Cloudflare WAN / 站點連線
- 站點拓撲、上線類型、路由擁有權、通道備援、靜態與 BGP 管理路由、網路防火牆需求及設備/設定檔擁有權。在提出站點連線變更前,請查閱 Cloudflare WAN 及 Cloudflare Network Firewall 文件。
護欄
- Access 控制應用程式授權;Gateway 控制流量檢查/過濾。當需求涵蓋身分感知應用程式存取及網路/網頁安全時,兩者皆使用。
- 公開主機名稱 Access 應用程式可無用戶端使用。私有目的地應用程式需要 WARP/裝置用戶端或其他網路上線方式,加上路由及 DNS 解析。在設定私有目的地前請查閱 自託管私有應用程式 文件。
- Cloudflare Tunnel 是從私有網路到 Cloudflare 的離線通道。Cloudflare WAN 和 Mesh 是其他離線通道,也可作為上線通道。
- 基於群組的政策依賴 IdP 群組聲明或 SCIM。如果缺少群組同步,請勿自行發明群組選擇器。
- 私有主機名稱需要明確的 DNS 路由/解析;僅建立 Access 應用程式是不夠的。請使用 解析器政策 並查閱 連線私有主機名稱。
- 對加密網頁流量進行 HTTP 檢查和 DLP 需要 TLS 檢查及規劃好的「不檢查」例外。
- Gateway DNS、Network、HTTP 及 Egress 政策具有不同的評估語義。在解釋優先順序前請查閱 執行順序 文件。
- 初始的廣泛封鎖/允許/DLP/TLS 政策應以停用狀態開始,僅限於特定目標使用者或群組的試辦,除非使用者批准更廣泛的部署。
身分驗證與存取
- Access Groups 是 Cloudflare 物件;IdP/SCIM 群組是身分聲明。Gateway 群組選擇器使用同步的 IdP 群組,而非 Access Groups。
- 群組名稱及 SAML/OIDC 屬性區分大小寫。在建立基於群組的規則前,請驗證確切的聲明名稱和值。
- SCIM 變更和群組成員資格可能因同步及重新驗證未完成而過時。故障排除時應以使用者最後驗證的身分為準,而非僅看 IdP 狀態。
- Access 政策預設為拒絕。一個有路由但沒有允許政策的私有應用程式仍會封鎖存取。
- Access 政策選擇器可使用 IP 清單,但不能使用 Gateway 網域或 URL 清單。
- SaaS 聯合處理 SaaS 應用程式的驗證。SaaS 授權和租戶限制通常需要 SaaS 端角色及/或 Gateway 租戶控制。
- 用於 SSH/VNC/RDP 的瀏覽器渲染是 Access 功能。瀏覽器隔離則是在遠端渲染一般網頁內容。請勿混淆兩者。
裝置用戶端部署
-
Cloudflare One 裝置用戶端 是使用者裝置的上線通道。兩個元件控制它:註冊規則(誰可以連線)和裝置設定檔(用戶端在註冊後的行為)。
-
註冊規則是類型為
warp的 Access 應用程式,而非裝置設定。它接受可重複使用的 Access 政策。請在 Access 中尋找註冊除錯,而非 Devices。 -
對於無頭或自主裝置(服務、資訊站、Linux 主機),請使用服務令牌註冊。非人類裝置會以
non_identity@[team-domain].cloudflareaccess.com身分驗證,且沒有群組成員資格——針對 IdP 群組的裝置設定檔將無法匹配它們。請明確地以非身分電子郵件、裝置的特定慣例(如 OS 資訊等)來定位無頭裝置,或讓它們使用預設設定檔。 -
裝置設定檔控制連線模式、分割隧道 設定、使用者權限(停用、切換鎖定)、自動重新連線及強制入口網站行為。設定檔按使用者群組或裝置屬性的優先順序匹配——第一個匹配者勝出,預設設定檔涵蓋其餘。
-
分割隧道模式是影響最大的用戶端設定。根據部署目標選擇模式:
目標 模式 理由 僅 VPN 替代(私有應用程式) Include 僅將指定的私有 CIDR 和主機名稱透過用戶端路由。其他流量直接連線。影響範圍最小。 僅 SWG(網際網路安全) Exclude 所有流量透過用戶端。僅排除會造成問題的項目(如本地印表機、憑證釘選應用程式)。 VPN 替代 + SWG Exclude 所有流量透過用戶端。最常見的企業設定。 與其他 VPN 共存 Include 避免與其他 VPN 的通道介面和 DNS 控制衝突。 僅 DNS 過濾 DNS-only 模式 僅 DNS 查詢傳送至 Gateway。不代理流量。 -
Include 與 Exclude 是每個設定檔的設定,而非每個條目。您不能在相同設定檔中混合模式。在部署中切換模式需要重新評估每個條目。
-
分割隧道條目必須與通道路由雙向對齊。Include 清單中的 CIDR 若無對應的通道路由會造成黑洞。通道路由若無對應的裝置設定檔條目,則流量永遠不會進入通道。
-
MDM 參數(
mdm.xml/ 受管理偏好設定)會覆蓋儀表板設定的設定檔設定(針對檔案中指定的任何設定)。如果儀表板變更對受管理裝置似乎無效,請檢查 MDM 設定。請查閱 MDM 部署 文件以了解各平台的檔案位置和參數。 -
如果其他 VPN 用戶端或代理程式控制裝置的 DNS,裝置用戶端的 DNS 攔截會產生衝突。在共存情境中,請使用「僅流量」模式以避免路由表和 DNS 衝突。
-
強制入口網站偵測會在偵測到入口網站(如飯店 WiFi、機場)時暫時中斷用戶端連線。這是常見的使用者摩擦來源,應謹慎管理。
私有網路
- 分割隧道模式會改變每個路由決策的意義:Exclude 模式會將從排除清單中移除的流量傳送至 Cloudflare;Include 模式僅將加入包含清單的流量傳送至 Cloudflare。
- 虛擬網路主要應在 IP 子網路重疊且未使用基於主機名稱的路由時使用。它也可用於控制其他使用者連線行為,但建議透過安全政策管理。
- 健康的通道僅證明 cloudflared 可連線到 Cloudflare。通道必須有適當的已發布應用程式路由、網路路由或主機名稱路由,連線才能正常運作。
- Cloudflare Tunnel 和 Cloudflare Mesh 皆可用於促進內部網路的連線。Cloudflare WAN 也可,但需要 Enterprise 訂閱。在考慮通道類型時,請查閱 選擇上線方式。
- 為生產環境的高可用性執行多個 cloudflared 連接器,最好放在不同的主機上。基於令牌的遠端管理通道是新部署的預設選項。
Gateway、TLS 與 DLP
dns.domains匹配網域及其子網域;dns.fqdn僅精確匹配。- DNS 預解析選擇器和後解析選擇器的行為並非單一的嚴格優先順序清單。在變更規則順序前,請查閱目前的評估文件。
- HTTP 不檢查規則在 HTTP 允許/封鎖/隔離行為之前執行。後續的封鎖規則不會覆蓋先前的檢查繞過。
- 憑證釘選應用程式需要在廣泛的 TLS 檢查之前設定不檢查例外。在啟用檢查前,請將 Cloudflare 根 CA 部署到受管理裝置。
- DLP 設定檔僅是偵測定義。在被 Gateway HTTP 政策或 CASB 掃描設定引用之前,它們不會執行任何動作。包含主體檢查的規則可能在單次傳遞中被評估多次。
- 從適當的負載記錄開始 DLP,調整誤報,然後再進行封鎖。
- Gateway Network 政策是嚴格的 L4 控制。身分感知的 L4 匹配需要已驗證的裝置上下文。
CASB、風險與營運
- API CASB 是帶外且週期性的。它不提供即時內聯強制執行,儘管某些整合支援「修復」;對於支援的應用程式,請使用 Gateway 精細應用程式控制來實現內聯 CASB 功能。在為特定 SaaS 應用程式中的特定動作建立安全政策時,請查閱 精細應用程式控制。
- CASB 發現結果與特定資產和實例相關。在建議修復前,請深入檢視受影響的資產。
- 使用目前的儀表板修復指南進行 CASB 修正。大多數修復發生在 SaaS 管理控制台中,而非 Cloudflare。
- 大型 SaaS 整合的初始掃描可能需要 24-48 小時。重新授權可能會重置掃描狀態;在重新連線前請檢查憑證健康狀態。
- 使用者風險評分是基於行為且非同步的。CASB 發現結果不自動意味著高使用者風險。
基礎設施存取
- Zero Trust Infrastructure Access (ZTIA) 是專為透過裝置用戶端進行 SSH 存取而設計的產品。它提供自託管應用程式無法提供的功能:按鍵記錄、控制使用者如何驗證目標機器、短期憑證(以臨時憑證取代靜態 SSH 金鑰並綁定 Access 身分),以及輕量級特權存取管理。當裝置用戶端已部署時,請使用 Infrastructure Access 應用程式進行 SSH。
- 瀏覽器渲染 提供無用戶端的 SSH、RDP 和 VNC,透過瀏覽器進行,無需裝置用戶端。無用戶端 RDP 包含工作階段錄製和檔案傳輸控制。當無法安裝裝置用戶端時(承包商、合作夥伴存取、非受管裝置),請使用無用戶端存取——通常不應作為已安裝用戶端的受管使用者的預設選項。
- 稽核 SSH 是一種 Gateway Network 政策動作,可記錄 SSH 指令而不進行封鎖。它需要工作階段透過 Cloudflare 代理。
- 短期憑證需要在目標主機上設定 CA,並將
sshd設定為信任 Cloudflare CA 公開金鑰。在設定前請查閱 短期憑證設定 文件。 - 對於私有網路後方的 kubectl 和資料庫存取,請使用具有私有目的地路由的裝置用戶端。目前沒有 Infrastructure Access 或瀏覽器渲染的等效方案可用於任意 TCP 協定。
日誌、分析與 DEX
- Gateway 活動日誌 記錄 DNS、HTTP 和 Network 政策決策。可按規則名稱、使用者身分、目的地、動作和時間範圍進行篩選。這些是「為何被封鎖/允許」的主要故障排除工具。
- Access 稽核日誌 記錄每個應用程式的驗證決策——誰驗證了、哪個政策匹配以及工作階段詳細資訊。用於驗證政策行為和調查存取失敗。
- Shadow IT 發現 使用 Gateway HTTP 日誌來揭露未受管理的 SaaS 應用程式。需要 TLS 檢查才能獲得 HTTPS 可見性。
- DEX(數位體驗監控) 提供整個裝置群及每台裝置的連線診斷。使用 DEX 測試(HTTP、traceroute)主動監控關鍵來源和內部應用程式的可達性。裝置群狀態顯示已註冊裝置群中裝置用戶端的健康狀態、連線模式和連線狀態。
- Logpush 將 Gateway、Access、Network 和 DEX 日誌匯出至外部 SIEM 或儲存空間。如果客戶需要集中式日誌保留或合規報告,請在上線前設定。
- 故障排除時,從日誌往設定方向進行:找出顯示失敗的日誌條目(Gateway 封鎖、Access 拒絕、通道錯誤、DNS 解析失敗),然後追溯至負責的規則、路由或政策。
Cloudflare WAN / 站點連線
- Cloudflare WAN 是連線服務,而非安全服務。請在需要時使用 Gateway 和 Network Firewall 進行檢查和政策套用。
- WAN 防火牆表達式與 Gateway wirefilter 表達式不同。在編輯前請查閱目前的語法。
- 產生的 IPsec PSK 和某些 OAuth/用戶端密碼僅回傳一次。請立即儲存。
輸出預設
- 設計:當前假設、目標架構、產品責任、部署階段、驗證及未決決策。
- 設定工作:先決條件、要檢查/建立/變更的確切資源、測試案例及復原方式。
- 故障排除:流量路徑、可能的故障點、要收集的證據及下一步測試。
驗證提示
- Access:測試授權、未授權、健康狀態失敗、服務令牌及多 IdP 流程(如適用);檢查日誌和政策優先順序。
- 私有網路存取:驗證路由查詢、通道健康狀態、來源可達性、分割隧道行為、DNS 解析及從裝置用戶端測試裝置的端到端存取。
- Gateway:在廣泛啟用前,驗證規則類型、動作、流量表達式、優先順序/評估階段、引用的清單及 Gateway 設定。
- TLS/DLP:在啟用檢查前測試不檢查例外和根 CA 信任;使用已知樣本測試 DLP 並在封鎖前監控誤報。
- CASB/風險:在宣布修復完成前,確認整合健康狀態、憑證到期日、資產發現、掃描時間、發現實例及風險評分訊號延遲。
- Cloudflare WAN:驗證通道健康狀態、路由優先順序/擁有權、流量流向、防火牆表達式語法及連接器/設備遙測(如適用)。
API 安全
- 當 MCP 工具可用時,請使用完整限定的 MCP 工具名稱。
- 切勿猜測類別 ID、應用程式 ID、wirefilter 欄位或 API 請求主體。請查閱目前的架構/文件和現有帳戶物件。
- 未經明確批准,請勿啟用廣泛的生產政策。






