摘要
在當今數位世界中,網站安全愈發重要,而使用Cloudflare Access免費版來保護子域名則是一個有效的解決方案。這篇文章深入探討了如何完整設定Cloudflare Access,不僅讓你的網站更安全,也提供了一些實用技巧,我自己也從中獲益良多,希望對你有幫助。 歸納要點:
- 了解如何利用Cloudflare Access免費版對子域名進行保護,提升網路安全性。
- 掌握設定步驟與細節,包括身份驗證流程及最佳實踐,讓你能輕鬆上手。
- 探索動態邊緣安全的應用,學會根據使用者情境調整訪問權限,抵禦潛在威脅。
為什麼要在子域名上發布特定服務
在某些情況下,您可能希望將特定的服務發布在公共域名的子域上,這些服務可以與其他服務同處於同一伺服器,或者位於不同的伺服器上。若您沒有內建的方法來強制執行額外的身份驗證,但又想保護該服務並限制只有特定群體、某些來源國家或其他因素能夠訪問,那麼 Cloudflare Access 是一個不錯的解決方案。而且,這項服務可以作為 Cloudflare 免費層的一部分進行實施。在我們深入今天要討論的案例和操作之前,有必要簡單介紹一下 Cloudflare Access,以便那些可能不太了解它的人能有所認識。
Cloudflare Access 是 Cloudflare 零信任平台中的一個重要組成部分,同樣可供使用免費層的用戶使用。基本上,它是一項讓組織能夠保護其內部應用程式而不依賴傳統 VPN 的服務。以下是一些高層次上的功能介紹:
Cloudflare Access 是 Cloudflare 零信任平台中的一個重要組成部分,同樣可供使用免費層的用戶使用。基本上,它是一項讓組織能夠保護其內部應用程式而不依賴傳統 VPN 的服務。以下是一些高層次上的功能介紹:
什麼是Cloudflare Access及其優勢
**零信任存取**:其運作原則是「永不信任,始終驗證」。這意味著無論用戶身在何處,每一次對應用程式的請求都必須經過身份和設備背景的檢查。**應用程式安全性**:Cloudflare Access 透過控制誰能訪問、從哪裡訪問以及如何訪問來保護自我托管和 SaaS 應用程式。**身份驗證**:它整合多種身份提供者,讓組織可以執行一致的身份認證政策。以今天的案例為例,我們將特別提到 Google Workspace,但還有許多其他選擇可供考量。透過這樣的機制,Cloudflare Access 不僅強化了網站安全性,同時也提升了性能與操作效率,有助於簡化用戶訪問管理,使企業在維護上更加輕鬆便捷。此外,它還支援加密通訊,確保數據傳輸過程中的安全性,更進一步保障企業的重要資訊。
觀點延伸比較:
| 結論項目 | 內容 |
|---|---|
| Cloudflare Access 功能概述 | 提供零信任存取,管理應用程式的安全性與身份驗證。 |
| 替代 VPN 的優勢 | 比傳統 VPN 更安全且更易於使用,避免繁瑣設定。 |
| 上下文感知政策 | 根據使用者身份、設備狀態及位置制定靈活的訪問策略。 |
| 配置要求 | 域名需托管在 Cloudflare 上,DNS 需由 Cloudflare 管理。 |
| 實施步驟概要 | 登入 Cloudflare 帳戶 -> 配置 DNS 設置 -> 設定 Cloudflare Access 應用程序 -> 選擇身份提供者並創建策略。 |
Cloudflare的零信任安全模型介紹
取代VPN:這項技術提供了一個比傳統VPN更安全且使用者友好的替代方案,避免了繁瑣的網路設定。而且,我們最近也看到許多知名VPN提供商遭受攻擊,因此尋找其他選擇無疑是明智之舉。上下文感知政策:管理員可以根據使用者身份、設備狀態及位置等因素制定詳細的存取政策。簡單來說,Cloudflare Access幫助企業確保只有經授權的用戶才能訪問內部資源,無論他們身在何處。透過即時身份驗證、設備評估和網路環境分析,此框架能夠精確決定用戶是否有權限。此外,在Zero Trust架構中,細粒度的存取控制和持續監控同樣至關重要,這不僅增強了安全性,也有效降低潛在攻擊面。實際應用中,例如某公司可根據員工的位置和設備健康狀況來調整訪問權限,使得安全措施更加靈活與有效。
如何用Cloudflare保護應用程序的訪問權限
有兩種主要的方式可以實現這個功能,其中一種是安裝一個名為cloudflared的代理程式(也稱為Cloudflare Tunnel),這個服務會在應用程序運行的伺服器上建立一個向Cloudflare基礎設施的出站連接。這樣做不僅能夠讓內部資源,即使它們通常並未暴露於互聯網上,也能被安全地訪問,而無需允許任何入站流量。不過,今天我們將重點討論第二種方法,該方法不需要任何安裝。雖然這兩種選擇各有其優缺點,但我不打算在此詳述。如果你想了解哪一種最適合你的需求,可以參考以下文檔進一步探討。
)
Free Images替代傳統VPN的安全方案
確保以下事項:- 您的域名已經托管在Cloudflare上。- 您的域名DNS需要在Cloudflare上管理(這是免費的,還提供其他多項好處)。- 您要保護的子域名已經在DNS設置中配置完成。- 您可以訪問Cloudflare儀表板及Zero Trust功能。## 配置子域名的DNS(如果尚未完成)> **注意:在整篇文章中,我將使用example.com和my.example.com作為示範域名和子域名。當然,您需要使用自己的域來進行配置 😄**1. 登入您的Cloudflare帳戶。2. 前往[example.com的DNS設置]頁面。
如何透過Cloudflare設置DNS記錄
要為您的子域名添加DNS記錄,請遵循以下步驟:首先,選擇記錄類型為CNAME。接著,在名稱欄位輸入「my」,而在目標欄位中填寫您用來托管 my.example.com 的伺服器的IP地址或主機名稱。此外,請確認代理狀態設置為已代理(橙色雲朵圖示)。這樣做的好處是能夠提高網站的安全性和性能。
接下來,我們將設定Cloudflare Access,以確保用戶在訪問 my.example.com 前需要進行身份驗證。
創建應用程序時,請前往 Zero Trust 儀表板,然後點擊「新增應用程序」並選擇「自我託管」。這樣就能開始配置所需的安全措施了。
接下來,我們將設定Cloudflare Access,以確保用戶在訪問 my.example.com 前需要進行身份驗證。
創建應用程序時,請前往 Zero Trust 儀表板,然後點擊「新增應用程序」並選擇「自我託管」。這樣就能開始配置所需的安全措施了。
建立Cloudflare Access應用程序的步驟
在建立Cloudflare Access應用程序的過程中,首先需要填寫一些基本資訊,例如:名稱可以設定為「我的子域」,而域名則是「my.example.com」。如果願意的話,可以自訂登錄頁面的外觀。值得注意的是,路徑選項非常重要,如果你的服務並不是直接運行在子域名上,而是位於其下的一個路徑,那麼這裡就可以進行更精細的設置。
接著,你需要選擇身份提供者(IdP),例如使用 Google Workspace、Azure AD 或其他支持的認證方式。在這裡,我今天選擇了 Google Workspace。預設情況下,系統會使用一次性 PIN 碼來驗證,用戶將收到一封發送至已配置郵箱中的 PIN 碼,並且只有提供正確的 PIN 碼後才能獲得訪問權限。然而,這種方式顯然不夠安全,因此我通常會將其關閉以提高安全性。
除了這些基本步驟之外,也建議了解 OAuth 2.0 和 JWT(JSON Web Tokens)如何運作,以便更好地理解身份驗證流程。此外,不同的用戶群體如企業和個人可能對配置有不同需求,因此針對這些差異提供具體範本會很有幫助。如果能加入一些實際案例分析,相信讀者能更清楚如何根據自身需求調整設置。同時,也可考慮常見問題及其解決方案,以提升實用性。
接著,你需要選擇身份提供者(IdP),例如使用 Google Workspace、Azure AD 或其他支持的認證方式。在這裡,我今天選擇了 Google Workspace。預設情況下,系統會使用一次性 PIN 碼來驗證,用戶將收到一封發送至已配置郵箱中的 PIN 碼,並且只有提供正確的 PIN 碼後才能獲得訪問權限。然而,這種方式顯然不夠安全,因此我通常會將其關閉以提高安全性。
除了這些基本步驟之外,也建議了解 OAuth 2.0 和 JWT(JSON Web Tokens)如何運作,以便更好地理解身份驗證流程。此外,不同的用戶群體如企業和個人可能對配置有不同需求,因此針對這些差異提供具體範本會很有幫助。如果能加入一些實際案例分析,相信讀者能更清楚如何根據自身需求調整設置。同時,也可考慮常見問題及其解決方案,以提升實用性。
選擇身份驗證提供者的重要性
如果這是全新的設置,您可能尚未看到 Google Workspace 的選項,因為首先需要將 Cloudflare Access 與您的 Google Workspace 連結。我不會詳細說明在 Google Workspace 網站上的配置,因為相關文檔已經在 Cloudflare 的步驟中說明得很清楚,同樣的情況也適用於其他身份驗證提供者,比如 AzureAD。您可以透過以下路徑來配置身份提供者:Zero Trust - 設定 - 身份驗證。在下一步中選擇「新增」。
)
創建訪問策略以限制使用者存取權限
在這裡,您可以選擇想要使用的身份驗證提供者。選定後,您將進入配置頁面,在視窗的右側會看到詳細的逐步說明。一旦您完成了將 Cloudflare Access 與所選身份驗證提供者連接的步驟,該選項便會顯示在 Zero Trust - 設定 - 身份驗證中。請確保在我們創建的應用程式中將其選為適用對象。
透過設置不同角色(例如管理員和一般用戶)的權限來保障系統安全是很重要的。此外,多因素身份驗證(MFA)也能大幅提升安全性,確保只有授權用戶才能訪問特定子域名或資源。在設定過程中建議參考具體案例,以便更清楚了解如何有效地管理訪問策略。
透過設置不同角色(例如管理員和一般用戶)的權限來保障系統安全是很重要的。此外,多因素身份驗證(MFA)也能大幅提升安全性,確保只有授權用戶才能訪問特定子域名或資源。在設定過程中建議參考具體案例,以便更清楚了解如何有效地管理訪問策略。
測試和驗證你的設置是否成功
接下來,我們已經快完成了,剩下的就是創建至少一個策略。這裡我保持簡單以便演示,但你可以選擇和配置許多不同的選項,強烈建議你仔細考慮一下哪些對你最有意義。政策位於應用程序部分下方,你可以選擇創建一個新的政策(在你的情況下這會是空的,而在我這裡已經有一些政策了)。在這個例子中,我們僅使用 Google Workspace 租戶中的一個電子郵件地址來獲得訪問權限,你也可以使用 Google 群組或其他標識符,例如位置等。我強烈推薦你仔細閱讀相關文件,以確保充分利用這些功能。
在此範例中,我們允許用戶 [email protected] 訪問,其會話有效期為30分鐘!現在你準備好測試你的設置了。如果遇到任何問題,首先可以嘗試測試身份驗證方法。只需前往「設置 - 身份驗證」,並使用內置的測試功能,如果失敗將返回有用的信息。
最後,如果所有步驟都順利進行,當你訪問所配置的子域時,就應該看到類似於這樣的窗口出現:
在此範例中,我們允許用戶 [email protected] 訪問,其會話有效期為30分鐘!現在你準備好測試你的設置了。如果遇到任何問題,首先可以嘗試測試身份驗證方法。只需前往「設置 - 身份驗證」,並使用內置的測試功能,如果失敗將返回有用的信息。
最後,如果所有步驟都順利進行,當你訪問所配置的子域時,就應該看到類似於這樣的窗口出現:
參考來源
WordPress網頁設計教學|如何架設網站?網域申請/DNS
跟著我們的WordPress架設網站教學按照步驟進行- 網域申請-Namecheap、設定DNS-Cloudflare、設定主機-Cloudways,你也可以完成WordPress網站架設。 step 1.
100 個安裝WordPress 後的小技巧
在網站後台> [設定] > [一般] > [網站介面語言],設定為[繁體中文]。 在網站後台> [設定] > [一般] > [時區] ...
來源: 網站迷谷財團法人台灣網路資訊中心全球網際網路號碼資源(Internet ...
類似濫用行為或安全威脅之域名」的功能,市面上如Quad9 或Cloudflare. 的1.1 ... 出現,使用者得以輕易免費安裝TLS 和安全通訊協定(Security Socket.
Cloudways 教學| 架站、備份、退款最完整流程(含75 折優惠)
想架設網站嗎?這篇文章會教你用Cloudways 快速架站,包含SSL、備份、快取等設定,也會介紹主機方案和費用,網站搬家的步驟也會告訴你,讓你用最簡單的方式 ...
來源: DR.DEAN 處方箋106 年全球暨臺灣之網站代管市場研究期末報告
降低用戶使用的門檻,並提供自動備份、免費域名等附加服. 務來滿足更多 ... 網域後就能免費利用CloudFlare 來提升網站的效能與防護;. 此外遠振 ...
來源: 國家通訊傳播委員會數位內容網路攻擊之法律分析
的某些域名封包設定,可以摒除有可疑的封包。為防止局域的域名服務器緩存 ... 帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而. 入侵他人之電腦或其 ...
來源: 東吳大學首頁
全部
資訊科技
相關討論