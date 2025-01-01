Cloudflare Gateway 的優點
封鎖已知和未知威脅
Cloudflare 的 DNS 和 HTTP 遙測以及威脅偵測模型面臨更多的風險。
輕鬆實作和管理
使用預先定義的類別，簡化原則建立和稽核。
客戶評價
「Algolia 正在迅速成長。我們需要一種方法，在不減慢員工工作速度的同時，瞭解整個公司網路中的情況。Gateway 讓我們輕鬆實現了這個目標。」
基礎架構與安全總監
GATEWAY 主要使用案例
遠端工作安全性
保護「隨處辦公」使用者免遭惡意程式碼、勒索軟體和其他線上網路威脅。
保障訪客 WiFi 的安全性
在訪客 WiFi 網路中，防禦網路威脅、執行可接受的使用政策，以及最佳化訪客體驗。
保護您的敏感性資料
重新取得在 Web、SaaS 和私人應用程式中，對敏感性資料和原始程式碼的全面正向代理可見度與控制權。
定價
完整 Zero Trust 平台上的威脅防護功能
免費方案
$0
永遠
最適合 50 個以下使用者的團隊或企業概念驗證測試。
隨用隨付
$7
每使用者/月（按年付費）
最適合超過 50 個使用者、解決小範圍 SSE 使用案例的團隊，這些團隊不需要企業支援服務。
合約方案
自訂價格
每使用者/月（按年付費）
最適合建立功能齊全之 SSE 或 SASE 部署的組織，這些組織也需要最大程度的支援。
免費方案
隨用隨付
合約方案
免費方案
隨用隨付
合約方案
威脅防護
全面的安全類別
封鎖勒索軟體、網路釣魚、DGA 網域、DNS 通道、C2 及殭屍網路等威脅。
遞迴 DNS 篩選
依安全或內容類別篩選。透過我們的裝置用戶端或位置路由器部署。
HTTP(S) 篩選
根據來源、目的地國家/地區、網域、主機、HTTP 方法、URL 等更多項目控制流量。無限制的 TLS 1.3 檢查。
L4 防火牆篩選
根據連接埠、IP 及 TCP/UDP 通訊協定允許或封鎖流量。
防病毒檢查
掃描所有類型（PDF、ZIP、RAR 等）的已上傳/已下載檔案
整合型威脅情報
透過我們自有機器學習演算法和第三方威脅來源進行偵測。
僅限 IPv6 和雙堆疊的支援
適用於 IPv4 和 IPv6 連線的所有功能。
SSH 代理和指令記錄
建立網路原則以管理並監控對應用程式的 SSH 存取。
實體位置的網路層級原則
可直接從辦公室進行 DNS 篩選的安全連線。
遠端瀏覽器隔離（原生整合）
在邊緣（而非本地）轉譯所有瀏覽器程式碼，以緩解威脅。有無裝置用戶端均可部署。選擇性地控制要隔離的活動和時間。
電子郵件安全
阻止網路釣魚和商業電子郵件入侵。
PAC 檔案支援的代理端點
設定 PAC 檔案並以瀏覽器層級套用 HTTP 原則。套用篩選，且不需要在使用者裝置上部署用戶端軟體。
專用的輸出 IP
地理位置在一或多個 Cloudflare 網路位置的專用 IP 範圍（IPv4 或 IPv6）。
核心功能
正常運作時間
可信賴的服務等級協定 (SLA) 為付費方案提供 100% 正常運作時間以及您可信任的可靠服務。
標準記錄保留
Zero Trust 記錄根據方案類型和使用的服務，儲存的時段長短不一。合約使用者可以透過 Logpush 匯出記錄。
應用程式連接器軟體
將資源連線至 Cloudflare，且不需要可公開路由的 IP 位址。既不需要 VM 基礎架構，也沒有輸送量限制。
裝置用戶端（代理程式）軟體
將流量安全且私密地從終端使用者裝置傳送至 Cloudflare 的全球網路。支援建立裝置狀態規則或在任何地方強制執行篩選原則等功能。自行註冊或透過 MDM 部署。
Zero Trust 網路存取 (ZTNA)
ZTNA 對您的所有內部自託管、SaaS 和非 Web（例如，SSH）資源提供基於身分和基於環境的精細存取。
安全 Web 閘道 (SWG)
SWG 使用第 4-7 層網路、DNS 和 HTTP 篩選原則防範勒索軟體、網路釣魚和其他威脅，以實現更快速、更安全的網際網路瀏覽。
Digital Experience Monitoring (DEX)
在 Zero Trust 組織中提供以使用者為中心的裝置、網路和應用程式效能可見度。
網路流監控
提供網路流量可見度和即時警示，以獲得對網路活動的統一深入解析。免費供所有人使用。
雲端存取安全性代理程式 (CASB)
CASB 會持續監視待用的 SaaS 應用程式，以偵測因設定錯誤或安全狀態薄弱所可能導致的資料外洩風險。
資料丟失預防 (DLP)
DLP 會偵測 Web、SaaS 和私人應用程式中的傳輸中和待用敏感性資料，並提供控制或補救指南來阻止外洩或暴露。
Log Explorer
遠端瀏覽器隔離 (RBI)
RBI 透過在 Cloudflare 的全球網路上執行所有瀏覽器程式碼，在瀏覽活動中疊加其他威脅防禦和資料保護控制。
電子郵件安全
電子郵件安全性有助於封鎖並隔離多通道網路釣魚威脅，包括惡意程式碼和商業電子郵件入侵。
SASE 的網路服務
Cloudflare One 是我們的單一廠商 SASE 平台，它將上面方案中的 Zero Trust 安全服務與網路服務（包括 Magic WAN 和防火牆）融合在一起。
存取控制
可自訂的存取原則
自訂應用程式和私人網路原則，以及原則測試器。支援臨時驗證、目的證明及任何 IdP 提供的驗證方式。
保護您所有應用程式和私人網路的存取
保護自行代管、SaaS 及非網頁（SSH、VNC、RDP）應用程式、內部 IP 和主機名稱，或是所有任意的 L4-7 TCP 或 UDP 流量。
透過身分識別提供者 (IdP) 進行驗證
透過企業和社交 IdP 驗證，包括同時有多個 IdP。還可以使用通用的 SAML 和 OIDC 連接器。
基於身分的情境資訊
根據 IdP 群組、地理位置、裝置狀態、工作階段持續時間、外部 API 等，設定內容相關存取。
裝置狀態整合
使用第三方端點保護提供者整合，驗證裝置狀態。
無用戶端存取選項
網頁應用程式和瀏覽器型 SSH 或 VNC 的無用戶端存取。
瀏覽器型 SSH 和 VNC
透過瀏覽器內終端進行特殊權限 SSH 和 VNC 存取。
分割通道
適用於本機或 VPN 連線能力的分割通道。
應用程式啟動器
所有應用程式的可自訂應用程式啟動器，包括 Access 外部應用程式的書籤。
權杖驗證
對自動化服務提供服務權杖支援。
Internal DNS 支援
設定本機網域回退。定義內部 DNS 解析程式以解析私人網路要求。
基礎架構即程式碼自動化（透過 Terraform）
自動化 Cloudflare 資源和連線的部署作業。
mTLS 驗證
適用於 IoT 和其他 mTLS 使用案例且基於憑證的授權。
資料保護
Zero Trust 存取用於緩解資料洩漏（透過 ZTNA）
設定每個應用程式的最低權限原則，確保使用者僅存取他們需要的資料。
基於 MIME 類型的檔案上傳/下載控制（透過 SWG）
根據 MIME 類型允許或封鎖檔案上傳/下載。
應用程式和應用程式類型控制（透過 SWG）
允許或封鎖特定應用程式或應用程式類型的流量。
資料丟失預防 (DLP)
檢查 HTTP(S) 流量和檔案中是否存在敏感性資料。免費方案包括預先定義的設定檔（如財務資訊），而功能齊全的合約方案還包括自訂設定檔、自訂資料集、OCR、DLP 記錄，等等。
控制瀏覽器中的資料互動（透過 RBI）
在隔離的網頁和應用程式中，限制下載、上傳、複製/貼上、鍵盤輸入及列印的操作。預防本機裝置的資料洩漏，並控制可疑網站的使用者輸入。有無裝置用戶端均可部署。
SaaS 應用程式保護
每個 SaaS 應用程式的內嵌存取和流量控制
在各 SaaS 應用程式中一致套用所有存取控制、資料控管與威脅防護功能（如先前章節所述）。
SaaS 應用程式租用戶控制
僅允許流量流向企業級 SaaS 應用程式的公司租用戶，防止敏感資料外洩至個人或消費者租用戶。
影子 IT 探查
審核終端使用者造訪的應用程式。為那些應用程式設定核准狀態。
SaaS 應用程式深度整合
與您最常用的 SaaS 應用程式（例如 Google Workspace、Microsoft 365）整合，以便掃描、偵測及監控是否存在安全問題。查看受支援整合的完整清單。
資料安全風險和使用者活動的持續監控
API 整合功能可持續監控 SaaS 應用程式中的可疑活動、資料外洩、未授權存取等行為。
檔案共用偵測
在您最常用的 SaaS 應用程式中，識別不適當的檔案共用。
SaaS 狀態管理和補救
探索 SaaS 應用程式中的錯誤設定，以及不正確的使用者權限。可立即根據逐步修復指南，對已呈現的安全性發現採取行動。
資料丟失預防 (DLP)
檢查 HTTP(S) 流量和檔案中是否存在敏感性資料。免費方案包括預先定義的設定檔（如財務資訊），而功能齊全的合約方案還包括自訂設定檔、自訂資料集、OCR、DLP 記錄，等等。
雲端型電子郵件應用程式的網路釣魚偵測
透過 Cloudflare 的電子郵件安全性，阻止網路釣魚和商業電子郵件入侵。
可見度
標準活動記錄保留
在合約計畫上，DNS 記錄會留存 6 個月，而 HTTP 和網路記錄為 30 天。
存取和驗證記錄
所有要求、使用者及裝置的全面詳細資料，包括封鎖原因。封鎖原則決策會留存一週，而驗證記錄則為 6 個月。
應用程式連接器（通道）記錄
提供通道連線狀態的稽核記錄，以及為應用程式註冊新 DNS 記錄時的記錄。
已分類應用程式群組的影子 IT 可見度
追蹤使用者造訪之各項應用程式的使用情況與審核批准狀態。
SSH 指令紀錄
完整重播 SSH 工作階段期間的所有命令。以網路層級提供 SSH 可見度。
Private Network Discovery
被動監控私人網路流量，以便為發現的應用程式及存取內容的使用者建立目錄。
排除個人識別資訊 (PII)
預設情況下，記錄不會儲存任何員工 PII（來源 IP、使用者電子郵件、使用者 ID 等），而且不提供給貴組織的所有角色。
刪減 PII
除了特別指定的角色外，可從所有權限角色的記錄中刪除個人識別資訊。
推送記錄至 SIEM
與分析和 SIEM 工具（像是 Sumo Logic、Splunk 及 Datadog）的整合
Log Explorer
推送記錄至雲端儲存空間
內建支援一或多個儲存目的地，包括 AWS、Azure、Google Cloud 和任何與 S3 相容的 API。
網路效能和連線入口
快如閃電的網路速度
50 毫秒內即可連線至全球 95% 的網際網路連線人口。
全球 Anycast 網路
Anycast 網路覆蓋 125 個國家/地區的 330 座城市，網路邊緣容量達 388 Tbps。
全球互連
13,000 個互連，包括大型 ISP、雲端服務和企業。
適用於所有邊緣服務的單一控制面板
網路經過架構設計後，每座資料中心都可執行任何在邊緣運作的服務，並提供給每位客戶使用。
L3–7 流量的單遍檢查
所有流量都在距離其來源最近的資料中心透過單一行程處理。沒有回傳。
透過虛擬骨幹執行的 Smart Routing
最佳化路由以避免壅塞問題。
裝置用戶端（代理程式）軟體
適用於所有主流的作業系統（Windows、Mac、iOS、Android、Linux、ChromeOS）。
裝置用戶端的多種模式（代理程式）
預設模式會透過 WireGuard 通道傳送流量，以便啟用各種安全性功能。
使用 DoH 模式單純強制執行 DNS 篩選原則，或是使用代理模式篩選僅限於特定應用程式的流量。
受管部署和自助註冊選項
透過 MDM 工具部署至您的整個裝置群。或者，使用者可自行下載裝置用戶端，並完成自助註冊。
應用程式連接器（通道）
將資源連線至 Cloudflare，且不需要可公開路由的 IP 位址。透過使用者介面、API 或 CLI 部署。
資源
確保分散式工作場所安全
使用切實可行的初始步驟（如基於位置的 DNS 篩選），實現分支辦公室的網路安全現代化。
多通道網路釣魚威脅防禦
瞭解 Cloudflare 如何保護使用者、應用程式和網路以免遭多通道網路釣魚。
Cloudflare Zero Trust 平台的互動式導覽
在一個模擬儀表板中詳細瞭解主要功能，透過超過 25 個簡短的示範影片探索工作流程。