保护后台、预览环境、数据库面板,用 Access + Tunnel,让后台不直接暴露公网,源站也不开放公网入口。临时发布本地服务可以用 Tunnel public hostname,但没有 Access 策略时就是公开访问。
替代 VPN 访问内网时,用 Tunnel 私网 + 客户端,这通常是有团队、设备和私网资源后再做。小团队拦恶意域名可以从 DNS 出站过滤起步,部署成本低。管控设备、文件、URL 属于组织级动作,需要客户端和内部流程。办公室、数据中心、云网络互联这类企业网络能力,有网络团队和合同预算后再评估。
免费阶段操作
Section titled “免费阶段操作”免费阶段先给后台、预览环境、内部工具加 Access,直接降低入口风险。再用 Tunnel 发布后台,关闭源站入站端口,减少暴露面,不先改应用架构。机器访问使用服务凭证,便于撤销和审计。
小团队从 DNS 出站过滤起步,初期不需要配置全量客户端和 HTTPS 解密。需要私网访问时再部署 Client;Client 是组织级动作,单站点通常用不到。超出人数、日志或审计能力后再升级计划,付费跟团队规模绑定。
- Tunnel 只管连接,不等于自动安全;访问控制还要靠 Access、Gateway 或应用自身认证。
- Tunnel public hostname 没有 Access policy 时,任何人都能访问。
- Access 解决入口身份,不替代应用角色、数据权限和审计。
- 出站安全策略没有匹配时,通常不会自动变安全,要明确规则。
- HTTP inspection 不只是一个开关,它涉及客户端、证书、TLS 解密和组织告知。
- 企业网络能力适用于办公室、数据中心、自有 IP 段或网络团队场景。
| 能力 | 管理范围 | 启用条件 |
|---|---|---|
| Access | 用户、设备、服务凭证是否能进应用。 | 后台、预览、内部工具需要保护时。 |
| Tunnel | 源站如何用出站连接接入 Cloudflare。 | 不想暴露源站公网入口时。 |
| 出站策略 | 团队设备能访问哪些域名、网络和服务。 | 要管理设备或网络出站访问时。 |
| 设备客户端 | 把设备和身份带进策略。 | 替代 VPN、设备姿态或出站过滤时。 |
| 企业网络能力 | 办公室、数据中心、云网络、安全日志。 | 有明确网络资产、团队和合同预算时。 |
- 公开站点优先完成 DNS、SSL/TLS、WAF、Turnstile。
- 后台先建 Access 应用,再用 Tunnel 发布。
- 源站限制直连,避免绕过 Cloudflare。
- 私网资源再上 Tunnel 私网和设备客户端。
- 团队出站安全从 DNS 过滤开始。
- 企业网络产品只在有网络负责人时评估。