Argo Tunnel

保护您的 Web 服务器免受直接攻击

从部署应用程序的那一刻起,开发人员和 IT 人员就会要花时间锁定它:配置 ACL,轮换 IP 地址以及使用 GRE 隧道等笨重的解决方案。

现在有一种更简单、更安全的方法可以保护您的应用程序和 Web 服务器免受直接攻击:Cloudflare 的 Argo Tunnel。

确保您的服务器安全,无论在何处运行:公共云、私有云、Kubernetes 集群,甚至是电视下的 Mac mini。

已经是客户? 开始使用

"通过 Argo,我已经能够减少防火墙的管理开销,减少攻击面,并通过隧道获得更高性能的额外好处。"
Johan Bergström,
Netwrk 的联合创始人兼首席技术官

保护原始基础设施的挑战

您的原始 IP 地址和开放端口是暴露的,并且容易受到高级攻击者的攻击,即使它们受到基于云的安全服务保护。阻止这些直接 DDoS 或数据泄露尝试的一些常用方法包括:创建 ACL 并将传入的 IP 地址列入白名单,或者建立 GRE 隧道并启用 IP 安全性。

这些方法设置和维护都很困难,缺乏完全集成的加密,并且可能更慢或更昂贵。


将来源直接安全地连接到 Cloudflare

Cloudflare 的轻量级 Argo Tunnel 守护程序在您的原始 Web 服务器和 Cloudflare 最近的数据中心之间创建了一个加密隧道,而且无需打开任何公共入站端口。

使用防火墙锁定所有原始服务器端口和协议后,HTTP/S 端口上的任何请求都将被丢弃,包括容量耗尽 DDoS 攻击数据泄露尝试 ,例如窥探传输中的数据或暴力登录攻击,完全被阻止。

通过 Argo Tunnel,您可以快速保护和加密到任何类型基础架构的应用程序流量,从而使您可以专注于提供出色的应用程序。现在,您可以加密原始流量并隐藏您的 Web 服务器 IP 地址,从而不会发生直接攻击。

了解有关 Argo Tunnel 的更多信息

保护 Web 服务器免受直接攻击

在您部署 Argo Tunnel 守护进程并锁定防火墙后,只有通过 Cloudflare 网络的入站网络流量,才能到达您的应用程序的原始服务器。

现在,您的 Web 服务器防火墙阻止了容量耗尽 DDoS 攻击和客户数据泄露尝试。

Protect Web Servers from Direct Attacks
load balancing diagram

安全访问内部应用程序

Argo Tunnel 是一个完美的解决方案,只允许合适的人员访问您希望向外呈现的内部应用程序(包括开发环境中的应用程序)。

Argo Tunnel 与 Cloudflare Access 结合使用时,通过主要身份提供商(如 Gsuite 和 Okta)对用户进行身份验证,无需 VPN。

原来任何人都可以通过原始 IP 访问的应用程序,现在只能由经过身份验证的用户通过 Cloudflare 的网络访问。

通过 Smart Routing 加速原始流量

要使用 Argo Tunnel,您需要在 Cloudflare 仪表板中启用 Argo 订阅。Argo 订阅可访问的服务包括:Smart Routing、Tunnel 和 Tiered Caching。

Argo Smart Routing 使用 Cloudflare的专用网络,通过最不拥挤和最可靠的路径路由访问者,从而提高应用程序性能。Smart Routing 将平均原始流量延迟降低 35%,连接错误降低 27%。

了解更多信息

Argo Tunnel 使用程序详解

通过设置 Argo Tunnel 来保护原始服务器和端口非常简单

  • 安装 Tunnel 守护程序
  • 登录 Cloudflare
  • 启动隧道
  • 确认锁定
  $ brew install cloudflare/cloudflare/cloudflared
==> Installing cloudflared from
cloudflare/cloudflare
==> Downloading https://warp.cloudflare.com/
dl/warp-2018.3.0-darwin-amd64.tgz
安装 Tunnel 守护程序
使用 Homebrew,运行此命令在Mac OSX 上安装 Argo Tunnel。要了解更多安装选项,以及下载适用于 Windows、Mac 或 Linux 的守护程序,请访问 Argo Tunnel 文档
  $ cloudflared login
登录 Cloudflare
安装 Argo Tunnel 守护程序后,请登录并选择想添加 Argo Tunnel 的区域,从而将客户端与您的 Cloudflare 主机进行关联。
  $ cloudflared --hostname tunnel.example.com
  --url http://localhost:8000

INFO Registered at https://tunnel.example.com
启动隧道
定义要与其建立 Argo Tunnel 连接的主机名。Argo Tunnel 软件会自动创建一个 DNS 记录,并出现在您的 Cloudflare 仪表板中,使得设置非常容易。
  $ netcat -v -z [Origin IP Address] 80
[Origin IP Address] 80 (http):
Connection refused
$ netcat -v -z [Origin IP Address] 443
[Origin IP Address] 443 (https):
Connection refused
确认端口 80 和 443 的锁定
使用端口 80 和 443 直接向原始服务器发送请求,而不是通过 Cloudflare 发送请求,从而我们可以确认连接被拒绝并且 Argo Tunnel 已成功激活。

每个人都可以随时开始使用 Argo

要开始使用 Argo Tunnel,您需要一个 Cloudflare 计划和 Argo 订阅。通过在 Cloudflare 仪表板中启用 Argo,您可以访问 Smart Routing、 Tiered Caching 和 Tunnel。

已经是客户? 开始使用

Cloudflare 的 Argo Free 计划

+ $5/月

前 1 GB 传送为免费,之后每 GB 为 0.10 美元。


包括 Smart Routing、Tunnel 和 Tiered Caching

Cloudflare 的 Argo Pro 计划

+ $5/月

前 1 GB 传送为免费,之后每 GB 为 0.10 美元。


包括 Smart Routing、Tunnel 和 Tiered Caching

Cloudflare 的 Argo Business 计划

+ $5/月

前 1 GB 传送为免费,之后每 GB 为 0.10 美元。


包括 Smart Routing、Tunnel 和 Tiered Caching

Cloudflare 的 Argo Enterprise 计划

+ $5/月

前 1 GB 传送为免费,之后每 GB 为 0.10 美元。


包括 Smart Routing、Tunnel 和 Tiered Caching

*默认情况下,所有 Enterprise 计划都包含 Tiered Caching