最稳妥的做法是将后台域名接入 Cloudflare DNS 并开启代理,然后在 Zero Trust 控制台配置 Access 应用策略,只允许特定邮箱或身份提供商登录访问。
先说结论:Cloudflare Access 适合为自托管后台、内部工具添加身份验证层,无需修改应用代码即可实现零信任访问控制。
- 先判断:确认后台域名已接入 Cloudflare DNS 且 DNS 记录处于代理状态(橙色云)。
- 优先做:在 Zero Trust 控制台先配置身份提供商(Identity Provider),再创建 Access Application 策略。
- 再验证:使用无痕模式访问后台,确认未登录时被拦截,登录后正常进入。
前置准备:配置身份提供商
在创建 Access 应用前,必须先确保 Zero Trust 账户已连接身份源,否则策略无法生效。
1. 登录 Cloudflare Zero Trust 控制台,进入 Settings → Authentication。
2. 在 Login Method 中添加身份提供商,如 Google、GitHub、Azure AD 或 One-time PIN。
3. 保存配置,确保至少有一种可用的登录方式。
为什么会这样
传统后台保护往往依赖 IP 白名单或应用自带的登录系统,但暴露在公网的登录口本身就会遭受爆破攻击。Cloudflare Access 的原理是在应用前方建立一个身份验证代理,请求到达你的服务器之前,必须先通过 Cloudflare 的身份校验。
这种方式属于零信任网络访问(ZTNA)范畴,它不依赖传统的网络边界,而是基于身份上下文(如邮箱、设备状态、地理位置)来决定是否放行。从架构上看,它隐藏了源站 IP,并且让未授权请求在边缘节点就被拦截,有效减小了攻击面。
分步处理
步骤 1:确认 DNS 状态
登录 Cloudflare dashboard,检查你的后台域名(如 admin.example.com)的 DNS 记录。确保代理状态是开启的(橙色云图标),如果 DNS 不走 Cloudflare 代理,Access 策略无法生效。
步骤 2:创建 Access 应用
进入 Zero Trust 控制台,左侧菜单选择 Access → Applications。点击"Create Application",选择"Self-hosted"。输入应用名称和后台域名。
Session duration 建议:根据安全需求调整会话时长,建议设置为 12 小时或 24 小时,平衡安全与便利。
步骤 3:配置访问策略
在 Policies 选项卡中,点击"Create Policy"。策略名称可设为"Allow Admin Team"。Action 选择"Allow"。在 Include 条件中,选择"Email",输入允许访问的具体邮箱地址,或选择"Email Domain"允许整个域名(如 @company.com)。Identity Provider 选择你配置好的身份源。
步骤 4:保存并生效
点击"Save Policy"。此时该域名下的所有请求都会先经过 Cloudflare 的身份验证层。
怎么验证是否生效
1. 未登录测试:打开浏览器无痕窗口,访问后台域名。页面应跳转到 Cloudflare 登录验证页,而不是直接显示后台登录界面。
2. 身份验证:输入策略中允许的邮箱,完成身份提供商验证(如接收验证码或 SSO 登录)。
3. 权限确认:验证通过后,应能正常看到后台首页。尝试更换一个不在允许列表的邮箱,应被拒绝访问。
常见坑
1. 把自己锁在门外:配置策略时,务必先将自己的管理员邮箱加入允许列表。如果策略设置错误且没有其他访问途径,可能导致无法管理后台。
2. DNS 未代理:如果 DNS 记录是灰色云(仅 DNS 解析),Access 无法拦截流量,后台依然暴露。
3. 身份提供商配置:如果没有提前配置 Identity Provider,可能无法完成登录流程。Free 计划适合不超过 50 人的团队,对于小规模管理场景通常够用。
4. 子域名覆盖:Access 策略通常针对特定域名生效,如果后台有多个子域名入口,需要分别配置或配置通配符策略。
参考来源
- Cloudflare Zero Trust Documentation - Access Applications
- Cloudflare Zero Trust Documentation - Identity Providers
- Cloudflare Blog - Securing third-party access with Cloudflare Access
原文链接:https://www.zjcp.cc/ask/11393.html