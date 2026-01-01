Cloudflare Access 的優點
消除橫向移動
透過對每項資源實施基於環境的最低權限存取原則，縮小攻擊面。
輕鬆擴展 Zero Trust
首先保護關鍵應用程式和高風險使用者群組，然後擴展雲端原生 ZTNA 以保護您的基礎架構和 MCP 伺服器。
運作方式
管理跨內部環境的存取權
Cloudflare Access 針對員工和第三方對所有自託管、SaaS 和非 Web 應用程式的存取（包括 AI 工具）提供驗證和保護，幫助降低風險並確保順暢的使用者體驗。
它會檢查每個要求的精細環境（如身分識別和裝置狀態），從而在您的整個企業中提供快速、可靠的存取。
客戶評價
「Cloudflare 為 Bitso 帶來了翻天覆地的變化，讓 Zero Trust 變得無比簡單。我們現在能夠更有效率地管理内部資源存取，確保適當的人員不論身在何方、使用何種裝置或網路，都能對適當的資源擁有正確的存取權限。」
——Bitso 網路安全主管
ACCESS 主要使用案例
透過 Cloudflare Access，使用者無需 VPN 即可簡單、安全地存取內部資源
擴充/取代您的 VPN
卸載關鍵應用程式，以提供更好的安全性並提升使用者體驗。
管理第三方存取
藉助無用戶端選項、社交身分識別提供者等來驗證第三方使用者（如承包商）。
定價
Cloudflare Access 控制功能可在完整的 Zero Trust 平台上使用
免費方案
$0
永遠
最適合 50 個以下使用者的團隊或企業概念驗證測試。
隨用隨付
$7
每使用者/月（按年付費）
最適合超過 50 個使用者、解決小範圍 SSE 使用案例的團隊，這些團隊不需要企業支援服務。
合約方案
自訂價格
每使用者/月（按年付費）
最適合構建功能齊全的 SSE 或 SASE 部署的組織，這些組織也需要最大程度的支援。
免費方案
隨用隨付
合約方案
免費方案
隨用隨付
合約方案
存取控制（已納入 Zero Trust 平台）
可自訂的存取原則
自訂應用程式和私人網路原則，以及原則測試器。支援臨時驗證、目的證明及任何 IdP 提供的驗證方式。
保護您所有應用程式和私人網路的存取
保護自行代管、SaaS 及非網頁（SSH、VNC、RDP）應用程式、內部 IP 和主機名稱，或是所有任意的 L4-7 TCP 或 UDP 流量。
透過身分識別提供者 (IdP) 進行驗證
透過企業和社交 IdP 驗證，包括同時有多個 IdP。還可以使用通用的 SAML 和 OIDC 連接器。
以身分為基礎的內容
根據 IdP 群組、地理位置、裝置狀態、工作階段持續時間、外部 API 等，設定內容相關存取。
裝置狀態整合
使用第三方端點保護提供者整合，驗證裝置狀態。
無用戶端存取選項
網頁應用程式和瀏覽器型 SSH 或 VNC 的無用戶端存取。
瀏覽器型 SSH 和 VNC
透過瀏覽器內終端進行特殊權限 SSH 和 VNC 存取。
分割通道
適用於本機或 VPN 連線能力的分割通道。
應用程式啟動器
所有應用程式的可自訂應用程式啟動器，包括 Access 外部應用程式的書籤。
權杖驗證
對自動化服務提供服務權杖支援。
Internal DNS 支援
設定本機網域回退。定義內部 DNS 解析器以解析私人網路要求。
基礎架構即程式碼自動化（透過 Terraform）
自動化 Cloudflare 資源和連線的部署作業。
MtLS 驗證
適用於 IoT 和其他 mTLS 使用案例且基於憑證的授權。
核心功能
裝置用戶端（代理程式）軟體
將流量安全且私密地從終端使用者裝置傳送至 Cloudflare 的全球網路。支援構建裝置狀態規則或在任何地方強制執行篩選原則等功能。自行註冊或透過 MDM 部署。
查看技術文件 >
Log Explorer
免費和依用量付費方案：前 10 GB 免費，之後每月每 GB 1 美元
Enterprise 方案：自訂價格
SASE 的網路服務
Cloudflare One 是我們的單一廠商 SASE 平台，它將上面方案中的 Zero Trust 安全服務與網路服務（包括 Magic WAN 和防火牆）融合在一起。
查看技術文件 >
存取控制
可自訂的存取原則
自訂應用程式和私人網路原則，以及原則測試器。支援臨時驗證、目的證明及任何 IdP 提供的驗證方式。
保護您所有應用程式和私人網路的存取
保護自行代管、SaaS 及非網頁（SSH、VNC、RDP）應用程式、內部 IP 和主機名稱，或是所有任意的 L4-7 TCP 或 UDP 流量。
透過身分識別提供者 (IdP) 進行驗證
透過企業和社交 IdP 驗證，包括同時有多個 IdP。還可以使用通用的 SAML 和 OIDC 連接器。
以身分為基礎的內容
根據 IdP 群組、地理位置、裝置狀態、工作階段持續時間、外部 API 等，設定內容相關存取。
裝置狀態整合
使用第三方端點保護提供者整合，驗證裝置狀態。
無用戶端存取選項
網頁應用程式和瀏覽器型 SSH 或 VNC 的無用戶端存取
瀏覽器型 SSH 和 VNC
透過瀏覽器內終端進行特殊權限 SSH 和 VNC 存取
分割通道
適用於本機或 VPN 連線能力的分割通道
應用程式啟動器
所有應用程式的可自訂應用程式啟動器，包括 Access 外部應用程式的書籤
權杖驗證
對自動化服務提供服務權杖支援
Internal DNS 支援
設定本機網域回退。定義內部 DNS 解析器以解析私人網路要求。
基礎架構即程式碼自動化（透過 Terraform）
自動化 Cloudflare 資源和連線的部署作業。
MtLS 驗證
適用於 IoT 和其他 mTLS 使用案例且基於憑證的授權
威脅保護
全面的安全類別
遭到勒索軟體、網路釣魚、DGA 網域、DNS 通道、C2 及機器人網路等項目封鎖。
遞迴 DNS 篩選
依安全或內容類別篩選。透過我們的裝置用戶端或位置路由器部署。
HTTP(S) 篩選
根據來源、目的地國家/地區、網域、主機、HTTP 方法、URL 等更多項目控制流量。 無限制的 TLS 1.3 檢查。
L4 防火牆篩選
根據連接埠、IP 及 TCP/UDP 通訊協定允許或封鎖流量。
防病毒檢查
掃描所有類型（PDFs、ZIP、RAR 等）的已上傳/已下載檔案
整合型威脅情報
透過我們自有機器學習演算法和第三方威脅來源進行偵測。
僅限 IPv6 和雙堆疊的支援
適用於 IPv4 和 IPv6 連線的所有功能。
SSH 代理和指令記錄
建立網路原則以管理並監控應用程式的 SSH 存取
實體位置的網路層級原則
來自辦公室的 DNS 篩選安全連線。
遠端瀏覽器隔離（原生整合）
在邊緣（而非本地）轉譯所有瀏覽器程式碼，以緩解威脅。使用或不使用裝置用戶端進行部署。選擇性地控制要隔離的活動和時間。
電子郵件安全
阻止網路釣魚和商業電子郵件入侵。
PAC 檔案支援的代理端點
設定 PAC 檔案並以瀏覽器層級套用 HTTP 原則。套用篩選，且不需要在使用者裝置上部署用戶端軟體。
專用的輸出 IP
地理位置在一或多個 Cloudflare 網路位置的專用 IP 範圍（IPv4 或 IPv6）。
資料保護
Zero Trust 存取用於緩解資料洩漏（透過 ZTNA）
設定每個應用程式的最低權限原則，確保使用者僅存取他們需要的資料。
根據 MIME 類型的檔案上傳/下載控制（透過 SWG）
根據 MIME 類型允許或封鎖檔案上傳/下載。
應用程式和應用程式類型控制（透過 SWG）
允許或封鎖特定應用程式或應用程式類型的流量。
資料丟失預防 (DLP)
檢查 HTTP(S) 流量和檔案中是否存在敏感性資料。免費方案包括預先定義的設定檔（如財務資訊），而功能齊全的合約方案還包括自訂設定檔、自訂資料集、OCR、DLP 記錄，等等。
控制瀏覽器中的資料互動（透過 RBI）
在隔離的網頁和應用程式中，限制下載、上傳、複製/貼上、鍵盤輸入及列印的操作。預防本機裝置的資料洩漏，並控制可疑網站的使用者輸入。無論是否部署裝置用戶端。
SaaS 應用程式保護
每個 SaaS 應用程式的內嵌存取和流量控制
所有存取控制、資料控制及威脅保護功能（如先前章節所述）已應用於 SaaS 應用程式之間。
SaaS 應用程式資戶控制
允許流量只能配合 SaaS 應用程式的租用戶。防止個人或消費者租用戶的敏感性資料洩漏。
影子 IT 探查
審核終端使用者造訪的應用程式。為那些應用程式設定核准狀態。
SaaS 應用程式深度整合
與您必須使用的 SaaS 應用程式整合（例如Google Workspace、Microsoft 365），以便掃描、偵測及監控是否存在安全問題。查看受支援整合的完整清單。
資料安全風險和使用者活動的連續監控
API 整合會連續監控 SaaS 應用程式，並瞭解是否存在可疑活動、資料滲漏、未經授權存取等更多項目。
檔案共用偵測
在您最常用的 SaaS 應用程式中，識別不適當的檔案共用。
SaaS 狀態管理和補救
探索 SaaS 應用程式中的錯誤設定，以及不正確的使用者權限。透過逐步補救指南，立即採取公開安全調查結果的行動。
雲端型電子郵件應用程式的網路釣魚偵測
透過 Cloudflare 的電子郵件安全性，阻止網路釣魚和商業電子郵件入侵。
可見度
標準活動記錄保留
在合約計畫上，DNS 記錄會留存 6 個月，而 HTTP 和網路記錄為 30 天。
存取和驗證記錄
所有要求、使用者及裝置的全面詳細資料，包括封鎖原因。封鎖原則決策會留存一週，而驗證記錄則為 6 個月。
應用程式連接器（通道）記錄
通道連線狀態，以及全新 DNS 記錄註冊應用程式時的稽核記錄。
已分類應用程式群組的影子 IT 可見度
針對終端使用者造訪的應用程式，追蹤用量並審核核准狀態。
SSH 指令紀錄
完整重播 SSH 工作階段期間的所有命令。以網路層級提供 SSH 可見度。
Private Network Discovery
被動監控私人網路流量，以便為發現的應用程式及存取內容的使用者建立目錄。
排除個人識別資訊 (PII)
記錄預設不會儲存任何員工 PII（來源 IP、使用者電子郵件、使用者 ID 等），而且不提供給貴組織的所有角色。
網路效能和連線入口
全球 Anycast network
Anycast 網路覆蓋 125 個國家/地區的 330 座城市，網路邊緣容量達 405 Tbps
全球互連
13,000 個互連，包括大型 ISP、雲端服務及企業
適用於所有邊緣服務的單一控制面板
網路經過架構設計後，每座資料中心即可執行任何在邊緣運作的服務，並提供給每位客戶使用。
第 3-7 層流量的單遍檢查
所有流量都在距離其來源最近的資料中心透過單一行程處理。沒有回傳。
透過虛擬骨幹執行的 Smart Routing
已最佳化避免壅塞問題的路由。
裝置用戶端（代理程式）軟體
適用於所有主流的作業系統（Windows、Mac、iOS、Android、Linux、ChromeOS）。
裝置用戶端的多種模式（代理程式）
預設模式會透過 WireGuard 通道傳送流量，以便啟用各種安全性功能。
使用 DoH 模式單純強制執行 DNS 篩選原則，或是使用代理模式篩選僅限於特定應用程式的流量。
受管部署和自助註冊選項
透過 MDM 工具部署至您的整個裝置群。或者，使用者可自行下載裝置用戶端，並完成自助註冊。
應用程式連接器（通道）
將資源連線至 Cloudflare，且不需要可公開路由的 IP 位址。透過使用者介面、API 或 CLI 部署。