#modal-topnav { display:none; }

Cloudflare Tunnel

从部署应用程序的那一刻起，开发人员和 IT 人员就要花费时间来将其封锁起来：配置 ACL，轮换 IP 地址，使用像 GRE 隧道这样的笨拙解决方案。

有一种更简单、更安全的方法可以保护您的应用程序和 web 服务器免受直接攻击：Cloudflare Tunnel。

确保您的服务器安全，无论它在何处运行：公共云、私有云、Kubernetes 群集，甚至是电视下方的 Mac mini。

已经是客户？开始使用

保护原始基础设施的挑战

您的源 IP 地址和开放端口暴露在外，容易受到高级攻击者的攻击，即使通过基于云的安全服务来保护它们时也如此。阻止这些直接 DDoS 攻击或数据泄露的常用方法包括：通过访问控制列表（Access Control List, ACL）监控入站 IP 地址；通过 GRE 隧道启用 IP 安全。

与其他网络安全解决方案（如安全隧道软件）相比，这些方法通常缓慢而昂贵，设置和维护耗时，并且缺乏完全集成的加密。

Cloudflare Tunnel 是一款隧道软件，可以快速安全地加密应用程序到任何类型基础设施的流量，让您能够隐藏你的 web 服务器 IP 地址，阻止直接攻击，从而专注于提供出色的应用程序。

工作方式如下：

Tunnel 后台程序在您的源 web 服务器和 Cloudflare 最近的数据中心之间创建一条加密隧道——无需打开任何公共入站端口。

使用防火墙锁定所有源服务器端口和协议后，HTTP/S 端口上的任何请求都会被丢弃，包括容量耗尽 DDoS 攻击。数据泄露尝试被完全阻止，例如传输中数据窥探或暴力登录攻击。

进一步了解我们如何构建 Tunnel，以及我们如何不断改善它。

Tunnel 与 Cloudflare DDoS 保护和 Web 应用程序防火墙（WAF）协同工作，为您的 web 资产防御攻击。

在部署 Tunnel 后台程序并启用防火墙后，所有入站 web 流量都会通过 Cloudflare 的网络过滤。

现在，您的 web 服务器防火墙可以阻止容量耗尽型 DDoS 攻击和数据泄露尝试到达您的应用程序源服务器。

Tunnel 允许您在一个零信任的环境中快速部署基础设施，使所有对您资源的请求都首先通过 Cloudflare 强大的安全过滤器。

Argo Tunnel 与 Cloudflare Access （我们的综合性零信任访问解决方案）结合使用时，用户将由主流身份提供商验证（如 Gsuite 和 Okta），而无需使用 VPN。

以往任何人都能通过源 IP 访问的应用程序，现在只能由经过身份验证的用户通过 Cloudflare 的网络访问。

对于您希望面向外部的内部应用程序（包括开发环境中的应用程序），您也可以限制对其的访问。

进一步了解 Cloudflare 如何实现零信任安全。

任何组织都可以免费创建 Cloudflare Tunnels！尝试用单个指令将一个源连接到 Cloudflare。

组织还可以通过添加 Argo Smart Routing 来增强其隧道，以利用 Cloudflare 的专用网络，路由访问者通过拥堵最少、最可靠的路径，从而提高应用的性能。Smart Routing 将平均源流量延迟降低 30%，将连接错误减少 27%。

“有了 Cloudflare，我能够减少防火墙的管理开销，减少攻击面，并通过隧道获得更高性能的额外好处。”

Johan Bergström

Netwrk 联合创始人兼首席技术官

代理易于安装，对性能的影响小

命令行配置

内置 DDoS 保护

使用 Cloudflare Load Balancer 在源服务器池之间进行负载平衡

用于标识隧道的自定义标记

带 TLS 的加密隧道（原始端证书）

应用程序和协议级错误日志记录

了解这款轻量级软件——许多 Cloudflare 客户使用它与我们的全球网络建立安全连接。本文档介绍我们的应用程序连接器和设备客户端——我们 Zero Trust 平台的两个关键组成部分，能助您轻松增强组织的安全性。