menu LittleJake's Blog
color_lens
avatar
Jake Liu
Never Settle
creative commons by-nc-sa
hit
Category
keyboard_arrow_down

© 2024 LittleJake's Blog.

萌ICP备20223020号

体验先进的Cloudflare Access Zero Trust功能

前言

目前,网络安全严峻。得益于各种黑客工具的盛行,导致黑客门槛大大降低。各国纷纷出台网络安全法,将网络安全视为国家安全层面的内容。

基于此,本站开始尝试对后台进行Cloudflare Access保护,基于Zero Trust模型。使用CASB机制,对客户端进行深度鉴权。

应用

  1. 打开Cloudflare面板,找到Cloudflare Access。
  2. 点击后跳转到Cloudflare for Team,选择免费套餐,添加付款方式后即可使用。
  3. 由于后台只有我一人在使用,首先我们在Groups内添加一个规则,添加我们所需要访问的email。(因为是Team,可以直接使用整个Team的邮件域)
    Groups
  4. 添加Application进行访问,我们这里选择self-hosted应用。(有趣的是,这个Cloudflare Access还支持VNC以及SSH
    Application
  5. 下一步这边我们输入后台的url
    Application Configure
  6. 下一步选择对应的规则,我们选择刚刚创建好的Groups的Blog规则,Rule action选allow
    Policy
  7. 再下一步默认即可或者根据需要配置,直接创建。
  8. 创建成功后,访问链接可以进行测试
    Login

后记

经过测试,未经授权的Email进行验证时,并不会真正发送code。只有在Groups内部的Email才会收到验证码。

不足之处在于,如果对方知道Cloudflare背后的真正IP时,直接访问IP是可以绕过这个机制。最好的方式是由服务器判定为Cloudflare访问时才进行响应,双边https为full模式,同时使用防火墙配合cloudflare ip进行白名单限制。

2022.11.9 更新

通过将nginx或httpd等服务器配置白名单IP,即可预防对DNS映射服务器IP直接访问的情况。

测试地址

Demo

Buy me a beer

buymeacoffee
Jake Liu
Never Settle

Title: 体验先进的Cloudflare Access Zero Trust功能

Author: Jake Liu

Origin:

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International (CC BY-NC-SA 4.0) For any re-post you must give appropriate credit.

文章遵循CC许可 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 转载请注明出处

Tag:cloudflare, 网络安全, zero trust

评论区

3 comments.

  1. su
    2023-08-14 16:33
    AndroidAndroid Google ChromeGoogle Chrome

    求教!

  2. su
    2023-08-14 16:33
    AndroidAndroid Google ChromeGoogle Chrome

    这个怎么弄白名单啊?

    1. Jake Liu
      2023-08-14 16:39
      Android Google Chrome

      添加allow就是白名单,默认应该是deny的。

Add a new comment.

Theme