cloudflare-one

cloudflare-one

热门

指导 Cloudflare One 零信任和 SASE 在 Access、Gateway、WARP、Tunnel、Cloudflare WAN、DLP、CASB、设备状态和身份方面的使用。在设计、配置、故障排除或审查 Cloudflare One 部署时使用。优先检索:使用当前的 Cloudflare 文档/API 模式,而非嵌入的产品文档。

2155Star
204Fork
更新于 2026/7/13
SKILL.md
readonly只读
name
cloudflare-one
description

指导 Cloudflare One 零信任和 SASE 在 Access、Gateway、WARP、Tunnel、Cloudflare WAN、DLP、CASB、设备状态和身份方面的使用。在设计、配置、故障排除或审查 Cloudflare One 部署时使用。优先检索:使用当前的 Cloudflare 文档/API 模式,而非嵌入的产品文档。

Cloudflare One

在引用限制、设置、API 字段、类别 ID 或精确 UI 路径之前,请从 Cloudflare One 文档、Cloudflare 文档 MCP 服务器或 Cloudflare API 模式检索最新信息。

工作流程

  1. 对需求进行分类:架构、配置、故障排除、迁移或审查。
  2. 收集上下文:账户 ID、用户/站点/应用、身份提供商、SCIM/组同步、设备管理、流量路径、合规约束和部署影响范围。
  3. 仅检索所涉及产品所需的当前文档:Access、Gateway、WARP/设备客户端、Tunnel/Mesh、Cloudflare WAN、DLP、CASB、设备状态或身份。
  4. 如果可访问账户,在提出或进行更改前检查现有资源:Access 应用/策略/组/IdP、Gateway 规则/列表/类别、设备配置文件/状态检查、隧道/路由、DNS/解析器设置以及位置/站点。
  5. 提出变更集,包括前提条件、验证和回滚。对于有风险的更改,除非用户明确要求,否则先禁用或限定在试点组/站点范围内。

评估提示

使用这些提示避免直接跳到配置。仅询问与用户任务相关的提示。

架构和当前状态

  • 站点和用户:办公室、分支机构、数据中心、VPC、远程用户、承包商、用户数量以及当前连接模式。
  • 应用和目标:SaaS、公共应用、私有应用、API、基础设施目标、协议、端口、主机名和 IP 范围。
  • 连接:VPN、MPLS、SD-WAN、直接互联网出口、集中回程、站点到站点需求以及私有 DNS 架构。
  • 安全栈:当前 SWG、NGFW、VPN/ZTNA、DLP、CASB、邮件安全、日志记录和合规要求。
  • 身份:IdP、SCIM/组同步、组命名、多 IdP 需求、服务账户以及承包商/合作伙伴访问。
  • 部署:试点用户/站点、影响范围、回滚路径、支持负责人和成功标准。

访问和 SaaS 联合

  • 应用形态:Web 应用、API、SSH/RDP/VNC、数据库、SaaS 应用、公共主机名、私有 IP 或私有主机名。在选择前检索 Access 应用类型 文档。
  • 访问模型:无客户端浏览器访问、使用设备客户端的私有网络、点对点连接、使用服务令牌或双向 TLS 的服务连接,或 SaaS SSO 联合。
  • 策略需求:用户组、设备状态、会话时长、mTLS、服务令牌和应用启动器可见性。在配置选择器或评估顺序前检索 Access 策略 文档。
  • SaaS 详情:SAML 与 OIDC 支持、ACS/重定向 URL、实体 ID/客户端 ID、所需属性以及租户控制要求。

隧道和私有网络

  • 站点和网段:哪些数据中心、VPC、办公室或网络网段需要连接。
  • 高可用性:开发/测试使用单个连接器,生产环境使用多个连接器,或高级多隧道/站点冗余。
  • 运行时:cloudflared 或 WARP Connector/Mesh 将在何处运行:虚拟机、容器、Kubernetes、裸机或其他目标。
  • 出口:连接器是否能够通过所需的出站端口/协议到达 Cloudflare。在指定确切端点前检索 隧道连接预检查 文档。
  • 源可达性:连接器是否能够解析并到达每个私有源。
  • 路由:所需的 CIDR/主机名、重叠 IP 空间、虚拟网络拆分隧道 以及私有 DNS/解析器策略 需求。
  • 管理模式:对于新部署,优先使用远程管理/基于令牌的隧道,除非有明确理由使用本地配置。

Gateway、TLS 和 DLP

  • 流量控制:DNS 类别、HTTP URL/路径检查、L4 端口/协议、出口 IP 要求、自定义列表以及允许/阻止例外。在配置前检索 Gateway 流量策略 文档以了解当前选择器和执行顺序。
  • 身份:Gateway 策略是否需要用户或组选择器,以及用户是否将通过 WARP/IdP 上下文进行身份验证。当涉及组时,检查 Gateway 身份选择器SCIM 配置
  • TLS 检查:根 CA 部署路径、证书固定应用程序、合规例外和 FIPS 要求。在启用前检索 TLS 解密 文档。
  • DLP:敏感数据类型、要检查的通道、TLS 检查准备情况、DLP 配置文件、有效载荷日志记录要求以及误报容忍度。在创建执行规则前检索 DLP 文档。

CASB、设备状态和风险

  • CASB:SaaS 供应商、管理员访问级别、扫描策略、组织规模、修复负责人以及是否需要内联保护。在推荐修复措施前检索 CASB 发现 文档。
  • 设备状态:所需检查、第三方 EDR/MDM 集成、注册规则、设备配置文件以及拆分隧道对齐。
  • 风险评分:相关行为信号、误报来源(如 VPN 或服务账户),以及风险是用于调查还是执行。在策略中使用风险前检索 用户风险评分 文档。

Cloudflare WAN / 站点连接

  • 站点拓扑、接入类型、路由所有权、隧道冗余、静态与 BGP 管理路由、网络防火墙需求以及设备/配置文件所有权。在提出站点连接更改前检索 Cloudflare WANCloudflare Network Firewall 文档。

护栏

  • Access 控制应用授权;Gateway 控制流量检查/过滤。当需求跨越身份感知应用访问和网络/Web 安全时,同时使用两者。
  • 公共主机名 Access 应用可以无客户端访问。私有目标应用需要 WARP/设备客户端或其他网络接入方式以及路由和 DNS 解析。在配置私有目标前检索 自托管私有应用 文档。
  • Cloudflare Tunnel 是从私有网络到 Cloudflare 的出口。Cloudflare WAN 和 Mesh 是其他出口,也可以作为入口。
  • 基于组的策略依赖于 IdP 组声明或 SCIM。如果缺少组同步,不要虚构组选择器。
  • 私有主机名需要显式 DNS 路由/解析;仅创建 Access 应用是不够的。使用 解析器策略 并查看 连接私有主机名
  • 对加密 Web 流量的 HTTP 检查和 DLP 需要 TLS 检查以及计划中的“不检查”例外。
  • Gateway DNS、网络、HTTP 和出口策略具有不同的评估语义。在解释优先级前检索 执行顺序 文档。
  • 初始的广泛阻止/允许/DLP/TLS 策略应禁用并限定在具有特定目标用户或组的试点范围内,除非用户批准更广泛的部署。

身份和访问

  • Access 组是 Cloudflare 对象;IdP/SCIM 组是身份声明。Gateway 组选择器使用同步的 IdP 组,而不是 Access 组。
  • 组名称和 SAML/OIDC 属性区分大小写。在创建基于组的规则前验证确切的声明名称和值。
  • SCIM 更改和组成员身份可能因同步和重新认证未完成而过时。使用用户上次认证的身份进行故障排除,而不仅仅是 IdP 状态。
  • Access 策略默认为拒绝。具有路由但没有允许策略的私有应用仍会阻止访问。
  • Access 策略选择器可以使用 IP 列表,但不能使用 Gateway 域名或 URL 列表。
  • SaaS 联合处理对 SaaS 应用的认证。SaaS 授权和租户限制通常需要 SaaS 端角色和/或 Gateway 租户控制。
  • 用于 SSH/VNC/RDP 的浏览器渲染是 Access 功能。浏览器隔离远程渲染通用 Web 内容。不要混淆两者。

设备客户端部署

  • Cloudflare One 设备客户端 是用户设备的入口。两个组件控制它:注册规则(谁可以连接)和设备配置文件(注册后客户端的行为)。

  • 注册规则是类型为 warp 的 Access 应用,而不是设备设置。它接受可重用的 Access 策略。在 Access 中查找注册调试,而不是设备。

  • 对于无头或自主设备(服务、自助终端、Linux 主机),使用服务令牌注册。非人类设备以 non_identity@[team-domain].cloudflareaccess.com 身份认证,没有组成员身份——针对 IdP 组的设备配置文件不会匹配它们。显式地使用非身份电子邮件、关于设备的特定约定(操作系统信息等)来定位无头设备,或让它们使用默认配置文件。

  • 设备配置文件控制连接模式、拆分隧道 配置、用户权限(禁用、切换锁定)、自动重新连接和强制门户行为。配置文件按用户组或设备属性以优先级顺序匹配——第一个匹配获胜,默认配置文件捕获其余部分。

  • 拆分隧道模式是影响最大的客户端设置。根据部署目标选择模式:

    目标 模式 理由
    仅 VPN 替代(私有应用) 包含 仅通过客户端路由指定的私有 CIDR 和主机名。其他流量直接发送。影响范围最小。
    仅 SWG(互联网安全) 排除 所有流量通过客户端。仅排除会中断的内容(本地打印机、证书固定应用)。
    VPN 替代 + SWG 排除 所有流量通过客户端。最常见的企业配置。
    与另一个 VPN 共存 包含 避免与另一个 VPN 的隧道接口和 DNS 控制冲突。
    仅 DNS 过滤 仅 DNS 模式 仅 DNS 查询发送到 Gateway。不代理流量。
  • 包含与排除是按配置文件设置的,而不是按条目。不能在同一个配置文件中混合模式。在部署中切换模式需要重新评估每个条目。

  • 拆分隧道条目必须与隧道路由双向对齐。包含列表中的 CIDR 如果没有匹配的隧道路由会导致黑洞。隧道路由如果没有匹配的设备配置文件条目意味着流量永远不会进入隧道。

  • MDM 参数(mdm.xml / 托管偏好设置)会覆盖仪表板配置的配置文件设置(对于文件中指定的任何设置)。如果仪表板更改对托管设备似乎没有效果,请检查 MDM 配置。检索 MDM 部署 文档以获取特定平台的文件位置和参数。

  • 如果另一个 VPN 客户端或代理控制设备上的 DNS,设备客户端的 DNS 拦截将发生冲突。在共存场景中,使用“仅流量”模式以避免路由表和 DNS 冲突。

  • 强制门户检测会在检测到门户(酒店 WiFi、机场)时暂时断开客户端。这是导致最终用户摩擦的常见来源,应谨慎管理。

私有网络

  • 拆分隧道模式会改变每个路由决策的含义:排除模式在从排除列表中移除时发送流量到 Cloudflare;包含模式仅在添加到包含列表时发送流量。
  • 虚拟网络主要应在 IP 子网重叠且不使用基于主机名的路由时使用。它也可用于控制其他用户连接行为,但建议通过安全策略进行管理。
  • 健康的隧道仅证明 cloudflared 可以到达 Cloudflare。隧道必须具有适当的已发布应用路由、网络路由或主机名路由才能实现连接。
  • Cloudflare Tunnel 和 Cloudflare Mesh 都可用于促进与内部网络的连接。Cloudflare WAN 也可以,但受限于企业订阅。在考虑隧道类型时检索 选择接入方式
  • 为生产高可用性运行多个 cloudflared 连接器,最好在不同的主机上。基于令牌的远程管理隧道是新部署的默认选择。

Gateway、TLS 和 DLP

  • dns.domains 匹配域名和子域名;dns.fqdn 仅精确匹配。
  • DNS 预解析选择器和后解析选择器的行为不像严格的单一优先级列表。在更改规则顺序前检索当前评估文档。
  • HTTP“不检查”规则在 HTTP 允许/阻止/隔离行为之前运行。后面的阻止规则不会覆盖前面的检查绕过。
  • 证书固定应用需要在广泛 TLS 检查之前设置“不检查”例外。在启用检查之前,将 Cloudflare 根 CA 部署到托管设备。
  • DLP 配置文件仅是检测定义。在被 Gateway HTTP 策略或 CASB 扫描设置引用之前,它们不执行任何操作。具有正文检查的规则可能在单次传递中被多次评估。
  • 从适当位置的有效载荷日志记录开始 DLP,调整误报,然后阻止。
  • Gateway 网络策略是严格的 L4 控制。身份感知的 L4 匹配需要经过身份验证的设备上下文。

CASB、风险和运营

  • API CASB 是带外和周期性的。它不提供实时内联执行,尽管某些集成支持“修复”;对于支持的应用程序,使用 Gateway 细粒度应用控制来实现内联 CASB 功能。在为特定 SaaS 应用中的特定操作创建安全策略时检索 细粒度应用控制
  • CASB 发现与特定资产和实例相关联。在推荐修复措施之前,深入检查受影响的资产。
  • 使用当前的仪表板修复指南进行 CASB 修复。大多数修复发生在 SaaS 管理控制台中,而不是 Cloudflare。
  • 大型 SaaS 集成的初始扫描可能需要 24-48 小时。重新授权可能会重置扫描状态;在重新连接前检查凭据健康状况。
  • 用户风险评分基于行为且异步。CASB 发现并不自动意味着高风险用户。

基础设施访问

  • 零信任基础设施访问 (ZTIA) 是专为通过设备客户端进行 SSH 访问而设计的产品。它提供自托管应用无法提供的功能:击键记录、控制用户如何认证到目标机器、短期证书(用与 Access 身份绑定的临时证书替换静态 SSH 密钥)以及轻量级特权访问管理。当设备客户端已部署时,对 SSH 使用基础设施访问应用。
  • 浏览器渲染 提供通过浏览器的无客户端 SSH、RDP 和 VNC,无需设备客户端。无客户端 RDP 包括会话记录和文件传输控制。当无法安装设备客户端时(承包商、合作伙伴访问、非托管设备),使用无客户端访问——通常不作为已安装客户端的托管用户的默认方式。
  • 审计 SSH 是一种 Gateway 网络策略操作,记录 SSH 命令而不阻止。它要求会话通过 Cloudflare 代理。
  • 短期证书需要在目标主机上配置 CA,并将 sshd 配置为信任 Cloudflare CA 公钥。在配置前检索 短期证书设置 文档。
  • 对于私有网络后面的 kubectl 和数据库访问,使用带有私有目标路由的设备客户端。目前没有适用于任意 TCP 协议的基础设施访问或浏览器渲染等效方案。

日志、分析和 DEX

  • Gateway 活动日志 记录 DNS、HTTP 和网络策略决策。按规则名称、用户身份、目标、操作和时间范围过滤。这是“为什么被阻止/允许”的主要故障排除工具。
  • Access 审计日志 记录每个应用的认证决策——谁认证了,哪个策略匹配了,以及会话详情。用于验证策略行为和调查访问失败。
  • 影子 IT 发现 使用 Gateway HTTP 日志来发现未管理的 SaaS 应用。需要 TLS 检查以实现 HTTPS 可见性。
  • DEX(数字体验监控) 提供舰队级和每设备连接诊断。使用 DEX 测试(HTTP、traceroute)主动监控关键源和内部应用的可达性。舰队状态显示设备客户端健康、连接模式和整个注册群体的连接状态。
  • Logpush 将 Gateway、Access、Network 和 DEX 日志导出到外部 SIEM 或存储。如果客户需要集中日志保留或合规报告,请在上线前配置。
  • 故障排除时,从日志向配置方向工作:识别显示失败的日志条目(Gateway 阻止、Access 拒绝、隧道错误、DNS 解析失败),然后追溯到负责的规则、路由或策略。

Cloudflare WAN / 站点连接

  • Cloudflare WAN 是连接服务,而非安全服务。在需要时使用 Gateway 和 Network Firewall 应用检查和策略。
  • WAN 防火墙表达式与 Gateway wirefilter 表达式不同。在编辑前检索当前语法。
  • 生成的 IPsec PSK 和一些 OAuth/客户端密钥仅返回一次。立即存储它们。

输出默认值

  • 设计:当前假设、目标架构、产品职责、部署阶段、验证和未决决策。
  • 配置工作:前提条件、要检查/创建/更改的确切资源、测试用例和回滚。
  • 故障排除:流量路径、可能的故障点、要收集的证据和下一步测试。

验证提示

  • Access:在适用时测试授权、未授权、状态失败、服务令牌和多 IdP 流程;检查日志和策略优先级。
  • 私有网络访问:验证路由查找、隧道健康、源可达性、拆分隧道行为、DNS 解析以及从设备客户端测试设备的端到端访问。
  • Gateway:在广泛启用前验证规则类型、操作、流量表达式、优先级/评估阶段、引用的列表和 Gateway 设置。
  • TLS/DLP:在启用检查前测试“不检查”例外和根 CA 信任;使用已知样本测试 DLP 并在阻止前监控误报。
  • CASB/风险:在宣布修复完成前确认集成健康、凭据过期、资产发现、扫描时间、发现实例和风险评分信号延迟。
  • Cloudflare WAN:在适用时验证隧道健康、路由优先级/所有权、流量流、防火墙表达式语法和连接器/设备遥测。

API 安全

  • 当 MCP 工具可用时,使用完全限定的 MCP 工具名称。
  • 切勿猜测类别 ID、应用 ID、wirefilter 字段或 API 请求体。检索当前模式/文档和现有账户对象。
  • 未经明确批准,不要启用广泛的生成策略。