Cloudflare Tunnel

从部署应用程序的那一刻起，开发人员和 IT 人员就会花时间锁定它：配置 ACL、轮换 IP 地址以及使用像 GRE 隧道这样的笨重解决方案。

There’s a simpler and more secure way to protect your applications and web servers from direct attacks: Cloudflare Tunnel.

确保您的服务器安全，无论它在何处运行：公共云、私有云、Kubernetes 群集，甚至是电视下方的 Mac mini。

已经是客户？开始使用

“有了 Cloudflare，我能够减少防火墙的管理开销，减少攻击面，并通过隧道获得更高性能的额外好处。”

Johan Bergström

Netwrk 联合创始人兼首席技术官

保护原始基础设施的挑战

您的原始 IP 地址和开放端口暴露在外，容易受到高级攻击者的攻击，即使通过基于云的安全服务保护它们也如此。阻止这些直接 DDoS 攻击或数据泄露企图的常用方法包括：创建 ACL 并将传入的 IP 地址列入允许名单，或建立 GRE 隧道和启用 IP 安全功能。

设置和维护这些方法都很费力，缺乏完全集成的加密，而且速度更慢或成本更高。

Tunnel 守护进程在您的源 Web 服务器和 Cloudflare 最近的数据中心之间创建一条加密隧道——无需打开任何公共入站端口。

使用您的防火墙锁定所有源站端口和协议后，将丢弃 HTTP/S 端口上的任何请求，包括容量耗尽 DDoS 攻击。数据泄露尝试被完全阻止，例如窥探传输中的数据或暴力登录攻击。

通过 Tunnel，您可以快速保护和加密到任何类型基础设施的应用程序流量，从而使您能够专注于提供出色的应用程序。现在，您可以加密源流量并隐藏 Web 服务器的 IP 地址，从而避免遭到直接攻击。

了解有关 Tunnel 的更多信息。

部署 Argo Tunnel 守护程序并锁定防火墙后，只有通过 Cloudflare 网络的入站 Web 流量才能到达应用程序的源服务器。现在，您的 Web 服务器防火墙能够阻止容量耗尽 DDoS 攻击和客户数据泄露尝试。

Argo Tunnel 是完美的解决方案，只允许合适的人员访问您想要面向外部的内部应用程序（包括开发环境中的应用程序）。Argo Tunnel 与 Cloudflare Access 结合使用时，将通过主要身份提供商（如 Gsuite 和 Okta）对用户进行身份验证，而无需 VPN。

以往任何人都能通过源 IP 访问的应用程序，现在只能由经过身份验证的用户通过 Cloudflare 的网络访问。

要使用 Tunnel，您需要在 Cloudflare 仪表板中启用 Argo 订阅。Argo 可以访问 Smart Routing、Tunnel 和 Tiered Caching。Argo 包含 Smart Routing、Tunnel 和 Tiered Caching。

Argo Smart Routing 通过使用 Cloudflare 的专用网络将访问者路由到最不拥塞、最可靠的路径，从而提高应用程序的性能。Smart Routing 将平均原始流量延迟降低 30%，将连接错误降低 27%。

代理易于安装，对性能的影响小

命令行配置

跨原始池进行负载均衡（与 Cloudflare Load Balancer 一起使用时）

用于标识隧道的自定义标记

带 TLS 的加密隧道（原始端证书）

应用程序和协议级错误日志记录