接入 Cloudflare 先判断五件事:配置属于谁,网站入口有没有真的进 Cloudflare,源站是否还能直连,谁能改账号和域名,自动化使用什么权限。
个人登录代表人,账号是资源容器,域名是访问入口。域名已生效并走代理,才会进入 Cloudflare 代理层。源站 IP 如果公开,WAF、DDoS、Cache 都可能被绕过。管理员要少,也要能交接;自动化访问凭证只给最小权限。
| 层级 | 管理范围 | 判断依据 |
|---|---|---|
| 个人登录 | 登录邮箱、2FA、个人访问凭证。 | 项目资产应能交接。 |
| 账号 | 成员、账单、Workers、Pages、D1、R2、KV。 | 开源或团队项目用可交接的长期账号。 |
| 域名 | DNS、HTTPS、WAF、缓存、规则。 | 凡是和域名访问有关,先到域名配置里看。 |
走代理与不代理
Section titled “走代理与不代理”网站、公开接口、文档站,以及需要 WAF、缓存、DDoS 和规则的入口,通常要走代理。邮件、域名验证、SSH、数据库、部分第三方 SaaS 验证,通常不代理。
源站保护按顺序做:网站记录走代理,邮件和验证记录不代理;清理暴露源站 IP 的未代理记录、旧文档、截图和监控配置;源站防火墙只允许 Cloudflare IP、可信运维入口或 Tunnel;后台和内网工具优先用 Tunnel + Access;源站承载登录、支付或后台时,再评估 Authenticated Origin Pulls。
如果源站 IP 已经泄露,最好换 IP 后再接入,并确认新 IP 不出现在公开记录和仓库配置里。
权限和排障入口
Section titled “权限和排障入口”账号连续性至少要有两个可信管理员,两步验证备用码和账单信息要能交接。团队协作按账号、域名、资源分权,不共享登录邮箱。部署自动化使用最小权限访问凭证;DNS 自动化只给目标域名权限。
配置被改时查审计日志。请求失败时记录 URL、UTC 时间、状态码和 Cloudflare 请求编号。