Cloudflare Gateway

一个云原生、低延迟的安全 Web 网关（SWG）

凭借对大约 20% Web 的可见性，Cloudflare 无与伦比的网络规模保护员工的互联网浏览，阻止导致泄露的威胁。

Cloudflare Gateway 的优势

加速用户互联网访问

不再回传流量。我们的一次通过检查比 SWG 替代解决方案快 50%

拦截已知/未知威胁

Cloudflare 的 DNS 和 HTTP 遥测以及威胁检测模型能够捕捉到更多风险。

监控网络中的流量

叠加内联 Zero Trust 服务，以提供覆盖跨用户、设备和地点的全面互联网流量可见性。

易于实施和管理

通过预定义分类来简化策略构建和审计。

工作原理

从我们的全球网络检查浏览器流量

我们的安全 Web 网关在 Cloudflare 全球网络的每个地方运行，无论员工在何处工作，都能执行流量检查。

它还与我们的数据丢失防护远程浏览器隔离协同工作，提供无干扰的安全浏览。

安全 Web 网关工作原理图

了解 Gateway 如何在 Cloudflare 的 SASE 平台上工作

查看参考架构

分析师认可

顶级分析师评价

Cloudflare 在 2025 年 Gartner® SASE 平台魔力象限™中荣获“远见者”称号
阅读报告
在 2025 年第三季度 Forrester Wave™：Zero Trust 平台报告的“战略”类别中，得分位居第二
阅读报告
Cloudflare 在“2025 年第二季度 Forrester Wave™：电子邮件、消息传递与协作安全解决方案”报告中被评为“表现卓越者”
阅读报告

客户评价

Algolia Logo

“Algolia 正在快速增长。我们需要一种方式来获得对企业网络的全面可见性，同时不影响员工的工作效率。Gateway 为我们提供了做到这一点的简单方式。”

基础设施与安全总监

日本航空白色标识
Indeed 标识白色
Ziff Davis 标识白色
Delivery Hero 白色标识
Werner 标识白色
Canva 标识白色
Knauf 标识白色
捷蓝航空标识白色
Gateway 主要使用场景

远程办公安全

保护“随时随地工作”的用户免受恶意软件、勒索软件及其他在线网络威胁。

保护访客 WiFi

在访客 WiFi 网络上防御网络威胁、执行可接受使用策略，并优化访客使用体验。

保护您的敏感数据

针对 Web、SaaS 和私有应用中的敏感数据和源代码，重新获得全面正向代理可见性和控制。

帮助世界各地组织迈向 Zero Trust

案例研究

定价

覆盖整个 Zero Trust 平台的威胁防护功能

Free 计划

$0

永久

最适合不超过 50 人的团队，或企业概念认证测试。

开始使用

随用随付

$7

每用户/月（按年付费）

最适合 50 人以上团队，用于解决小范围 SSE 使用场景 ，且无需企业支持服务。

开始使用

合约计划

定制价格

每用户/月（按年付费）

最适合构建功能齐全的 SSE 或 SASE 部署，且需要最大程度支持的组织。

咨询专家

威胁防护

全面的安全类别
全面的安全类别

阻止勒索软件、网络钓鱼、DGA 域、DNS 隧道、“C2”和“僵尸网络”等。
递归式 DNS 过滤
递归式 DNS 过滤

按安全或内容类别进行过滤。通过我们的设备客户端或通过针对地点的路由器部署。
HTTP(S) 过滤
HTTP(S) 过滤

基于源、目的国家/地区、域、主机、HTTP 方法、URL 等控制流量。无限 TLS 1.3 检查。
L4 防火墙过滤
L4 防火墙过滤

基于端口、IP、TCP/UDP 协议允许/阻止流量。
防病毒检查
防病毒检查

扫描各种类型的上传/下载文件（PDF、ZIP、RAR 等）
集成威胁情报
集成威胁情报

通过我们自己的机器学习算法和第三方威胁信息源进行检测。
仅 IPv6 和双栈支持
仅 IPv6 和双栈支持

所有功能可用于 IPv4 和 IPv6 连接。
SSH 代理和命令日志记录
SSH 代理和命令日志记录

创建网络策略以管理和监测对应用的 SSH 访问。
适用于物理位置的网络层策略
适用于物理位置的网络层策略

通过 DNS 过滤保护来自办公室的直接连接。
远程浏览器隔离（原生集成）
远程浏览器隔离（原生集成）

在边缘而非本地渲染所有浏览器代码，以缓解威胁。使用/不使用设备客户端部署。选择性地控制要隔离什么活动以及何时这样做。
电子邮件安全
电子邮件安全

阻止钓鱼和企业电子邮件破坏。
代理端点以支持 PAC 文件
代理端点以支持 PAC 文件

通过配置 PAC 文件在浏览器级别应用 HTTP 策略。无需在用户设备上部署客户端软件即可应用过滤器。
专用出口 IP
专用出口 IP

地理定位到一个或多个 Cloudflare 网络位置的专用 IP 范围（IPv4 或 IPv6）。

核心能力

使用
正常运行时间
正常运行时间

可靠的付费计划服务级别协议 (SLA)，提供 100% 正常运行时间和值得信赖的可靠服务。

了解更多
支持与服务
支持与服务

支持选项因计划类型而异。各种专业咨询和实际操作实施服务可作为合约计划的补充。
标准日志保留
标准日志保留

Zero Trust 日志的存储时间会有所不同，具体取决于使用的计划类型和服务。合约用户可以通过 Logpush 导出日志。

查看技术文档
应用连接器软件
应用连接器软件

无需公共可路由 IP 即可将资源安全地连接到 Cloudflare。无需虚拟机 (VM) 基础设施，也没有吞吐量限制。

查看技术文档
设备客户端（代理）软件
设备客户端（代理）软件

安全且私密地将流量从最终用户设备发送到 Cloudflare 全球网络。支持在任何地方构建设备态势规则或强制执行过滤策略等能力。通过自行注册或通过 MDM 部署。

查看技术文档
Zero Trust 网络访问（ZTNA）
Zero Trust 网络访问（ZTNA）

ZTNA 提供基于身份和基于上下文的精细化访问策略，以访问所有内部自托管、SaaS 以及非 Web（例如 SSH）资源。

查看技术文档
安全 Web 网关 (SWG)
安全 Web 网关 (SWG)

SWG 使用 L4-7 网络、DNS 和 HTTP 过滤策略来防范勒索软件、网络钓鱼和其他威胁，获得更快速、更安全的互联网浏览体验。

查看技术文档
Digital Experience Monitoring(DEX)
Digital Experience Monitoring(DEX)

提供以用户为中心的、针对整个 Zero Trust 组织的设备、网络和应用性能监测。

查看技术文档
网络流量监测
网络流量监测

提供网络流量监测和实时警报，获得对网络活动的统一见解。供任何人免费使用。

查看技术文档
云访问安全代理（CASB）
云访问安全代理（CASB）

CASB 持续监测静态 SaaS 应用，以检测因配置错误而导致的潜在数据泄露或薄弱态势发现。

查看技术文档
数据丢失防护 (DLP)
数据丢失防护 (DLP)

DLP 通过控制措施或补救指南检测 Web、SaaS 和私有应用里的传输中与静态的敏感数据，以阻止数据泄漏或暴露。

查看技术文档
Log Explorer
Log Explorer

Log Explorer 提供 HTTP 和安全事件日志的原生日志存储、保留和分析功能

价格

  • 随用随付：首 10 GB 免费，之后每月每 GB 1 美元。
  • 合约：定制价格
远程浏览器隔离 (RBI)
远程浏览器隔离 (RBI)

RBI 通过在 Cloudflare 全球网络上运行所有浏览器代码，对浏览活动附加一层额外的威胁防护和数据保护控制。

查看技术文档
电子邮件安全
电子邮件安全

电子邮件安全有助于阻止和隔离多渠道网络钓鱼威胁，包括恶意软件和商业电子邮件入侵。

查看技术文档
SASE 的网络服务
SASE 的网络服务

Cloudflare One 是我们的单一供应商 SASE 平台，将上述计划中的 Zero Trust 安全服务与网络服务融合在一起，包括 Magic WAN 和防火墙。

查看技术文档

访问控制

可自定义的访问策略
可自定义的访问策略

定制应用和专用网络策略，外加策略测试器。支持临时身份验证、目的验证和任何 IdP 提供的身份验证方法。
保护对您所有应用和专用网络的访问
保护对您所有应用和专用网络的访问

保护自托管、SaaS 和非 Web (SSH、VNC、RDP)应用、内部 IP 和主机名，或任何任意 L4-7 TCP 或 UDP 流量。
通过身份提供商（IdP）进行身份验证
通过身份提供商（IdP）进行身份验证

通过企业和社交 IdP 验证身份，包括同时使用多个 IdP。也可使用通用 SAML 和 OIDC 连接器。
基于身份的上下文
基于身份的上下文

根据 IdP 组、地理位置、设备态势、会话持续时间、外部 API 等配置上下文访问。
设备态势集成
设备态势集成

使用第三方端点保护提供商集成来验证设备态势。
无客户端访问选项
无客户端访问选项

无客户端的 Web 应用访问和基于浏览器的 SSH 或 VNC。
基于浏览器的 SSH 和 VNC
基于浏览器的 SSH 和 VNC

通过浏览器内终端的 SSH 和 VNC 特权访问。
隧道拆分
隧道拆分

适用于本地或 VPN 连接的隧道拆分。
应用启动器
应用启动器

适用于所有应用的可定制应用启动器，包括针对 Access 之外应用的书签。
令牌身份验证
令牌身份验证

适用于自动化服务的服务令牌支持。
内部 DNS 支持
内部 DNS 支持

配置本地域回退。定义内部 DNS 解析器来解析专用网络请求。
基础设施及代码自动化（通过 Terraform）
基础设施及代码自动化（通过 Terraform）

自动部署 Cloudflare 资源和连接。
mTLS 身份验证
mTLS 身份验证

基于证书的授权，适用于 IoT 和其他 mTLS 使用场景。

数据保护

Zero Trust 访问减少数据泄漏（通过 ZTNA）
Zero Trust 访问减少数据泄漏（通过 ZTNA）

为每个应用设置最小权限策略，以确保用户只访问他们所需的数据。
基于 Mime 类型控制文件上传/下载（通过 SWG）
基于 Mime 类型控制文件上传/下载（通过 SWG）

基于 Mime 类型允许或阻止文件上传/下载。
应用和应用类型控制（通过 SWG）
应用和应用类型控制（通过 SWG）

允许或阻止到特定应用或应用类型的流量。
CASB 检测 SaaS 应用的数据泄露风险
CASB 检测 SaaS 应用的数据泄露风险

添加 Cloudflare CASB 以检测 SaaS 应用中的错误配置是否泄漏敏感数据。查看受支持集成的完整列表
数据丢失防护 (DLP)
数据丢失防护 (DLP)

检查 HTTP(S) 流量和文件中是否存在敏感数据。免费级别计划包括财务信息的预定义配置文件，功能齐全的合约计划还包括定制配置文件、定制数据集、OCR、DLP 日志
控制浏览器内的数据交互（通过 RBI）
控制浏览器内的数据交互（通过 RBI）

在隔离的网页和应用内限制下载、上传、复制/粘贴、键盘输入和打印操作。防止数据泄露到本地设备，控制用户在可疑网站的输入。使用/不使用设备客户端部署。

SaaS 应用保护

为每个 SaaS 应用的访问和流量提供内联控制
为每个 SaaS 应用的访问和流量提供内联控制

对全部 SaaS 应用一致地应用所有访问控制、数据控制和威胁防护能力（如前所述）。
SaaS 应用租户控制
SaaS 应用租户控制

只允许到 SaaS 应用企业租户的流量。预防敏感数据泄露到个人或消费者租户。
影子 IT 发现
影子 IT 发现

审查最终用户访问的应用。为这些应用设定审批状态。
深度 SaaS 应用集成
深度 SaaS 应用集成

与您最常用的 SaaS 应用集成（例如 Google Workspace、Microsoft 365），以扫描、检测和监控安全问题。查看受支持集成的完整列表
持续监测数据安全风险和用户活动
持续监测数据安全风险和用户活动

API 集成持续监测 SaaS 应用的可疑活动、数据泄露、未经授权访问等。
文件共享检测
文件共享检测

识别最常用 SaaS 应用中的不当文件共享行为。
SaaS 应用态势管理和补救
SaaS 应用态势管理和补救

发现 SaaS 应用中的错误配置和不正确的用户权限。按照分步补救指南对发现的安全问题立即采取行动。
数据丢失防护 (DLP)
数据丢失防护 (DLP)

检查 HTTP(S) 流量和文件中是否存在敏感数据。免费级别计划包括财务信息的预定义配置文件，功能齐全的合约计划还包括定制配置文件、自定义数据集、OCR、DLP 日志等。
适用于云电子邮件应用的网络钓鱼检测
适用于云电子邮件应用的网络钓鱼检测

通过 Cloudflare 电子邮件安全，阻止网络钓鱼和商业电子邮件入侵。

可见性

标准活动日志保留
标准活动日志保留

签约计划方面，DNS 日志存储 6 个月，HTTP 和网络日志存储 30 天。
访问和身份验证日志
访问和身份验证日志

有关所有请求、用户和设备的全面详细信息，包括阻止原因。阻止策略决定存储一周，身份验证日志存储 6 个月。
应用连接器（隧道）日志
应用连接器（隧道）日志

审计有关隧道连接状态和应用注册新 DNS 记录时的日志。
影子 IT 可见性，提供已分类的应用组别
影子 IT 可见性，提供已分类的应用组别

跟踪使用情况，审查最终用户访问的应用的批准状态。
SSH 命令日志记录
SSH 命令日志记录

完整回放 SSH 会话期间运行的所有命令。提供网络层的 SSH 可见性。
专用网络发现
专用网络发现

被动监控专用网络流量，对发现的应用和访问它们的用户进行分类。
排除个人可识别信息（PII）
排除个人可识别信息（PII）

默认情况下，日志不会存储任何员工 PII（源 IP、用户电子邮件、用户 ID 等），且所有角色均无法访问这些日志。
Digital Experience Monitoring(DEX)
Digital Experience Monitoring(DEX)

提供预测性、历史和实时的情报信息,以监测应用故障、网络问题和性能下降,从而确保员工始终保持高效工作。查看功能
网络流量监测
CASB 发现
CASB 发现

发现指在 SaaS 应用中检测到的涉及用户、静态数据以及其他配置设置的安全问题。免费级别计划包括基本发现，合约计划则包括关于每个实例的更深层次详细信息。
删除 PII
删除 PII

除特别指定角色外，从所有权限角色的日志删除 PII。
将日志推送到 SIEM
将日志推送到 SIEM

与分析和 SIEM 工具集成，如 Sumo Logic、Splunk 和 Datadog。
Log Explorer
Log Explorer

Log Explorer 提供 HTTP 和安全事件日志的原生日志存储、保留和分析功能

价格

  • 随用随付：首 10 GB 免费，之后每月每 GB 1 美元。
  • 合约：定制价格
将日志推送到云存储
将日志推送到云存储

内置支持一个或多个平行存储目的地，包括 AWS、Azure、Google Cloud 和任何 S3 兼容 API。

网络性能与连接入口

快如闪电的网络速度
快如闪电的网络速度

与全球 95% 的互联网用户之间延迟为 50 毫秒。
全球 Anycast 网络
全球 Anycast 网络

Anycast 网络覆盖 125 个国家/地区的 330 个城市，具备 388 Tbps 的网络边缘容量。
全球互连
全球互连

13000 个互连，包括主流 ISP、云服务和企业。
针对所有边缘服务的单一控制平面
针对所有边缘服务的单一控制平面

网络架构设计方式让边缘运行的每项服务都可以在每个数据中心运行，并对每个客户可用。
针对 L3-7 流量的一次通过检查
针对 L3-7 流量的一次通过检查

所有流量都在离源最近的数据中心进行一次通过处理。无需回传。
虚拟骨干网上的智能路由
虚拟骨干网上的智能路由

优化路由以避免堵塞问题。
设备客户端（代理）软件
设备客户端（代理）软件

可用于全部主流操作系统（Win、Mac、iOS、Android、Linux、 ChromeOS）。
设备客户端（代理）的多种模式
设备客户端（代理）的多种模式

默认模式通过 WireGuard 发送流量，以启用全面的安全功能。

使用 DoH 模式以仅执行 DNS 过滤策略，或使用代理模式以仅过滤特定应用的流量。
托管部署和自助注册选项
托管部署和自助注册选项

通过 MDM 工具部署到组织的所有设备上。用户也可自行下载设备客户端并注册。
应用连接器（隧道）
应用连接器（隧道）

无需公共可路由 IP 即可将资源连接到 Cloudflare。通过用户界面（UI）、API 或命令行界面（CLI） 部署。

资源

保护分布式办公场所

使用实际可行的初始步骤(例如基于地点的 DNS 过滤)来实现办公室安全现代化。

阅读解决方案简介
多渠道钓鱼威胁防御

了解 Cloudflare 如何保护用户、应用和网络免受多渠道网络钓鱼攻击。

观看演示
Cloudflare Zero Trust 平台的交互式导览

在模拟仪表板查看关键功能，通过 25+ 演示短视频探索工作流程。

参观我们的 Zero Trust 平台

Cloudflare Gateway 常见问题解答

为您的企业获取 Cloudflare Gateway

联系专家
