Cloudflare Zero Trust 是什么

一句话总结

Cloudflare Zero Trust 是一套”不信任任何网络、每次访问都要验证身份和设备”的安全服务,用 CF 边缘网络做全球访问入口。


🤔 为什么会有它 / 解决了什么问题

传统 VPN 的问题是:一次认证通过后,用户能在内网里自由横向移动——一个弱密码就能让攻击者访问所有服务。Zero Trust 假设网络已经被攻破,每次请求都要验证身份和设备,不因为你在内网就放行。


🔍 具体原理 / 运作逻辑

用户访问受保护的应用 → CF 边缘拦截 → 弹出身份验证(SSO/邮件一次性码/硬件 key)→ 验证通过 → CF 才把请求转发到真实服务器,同时也检查设备健康状态。


🧭 什么情况下会用到 / 什么场景会遇到它

  • notes.getgrowth.app:通过 Cloudflare Zero Trust 加邮件白名单,只有指定邮箱的人能访问
  • 新架构中 DePIN 节点使用 Cloudflare Tunnel 接入,不需要公网 IP 和入站端口

🛠️ 怎么上手 / 在哪操作

在 CF Zero Trust Dashboard 创建一个 Application → 选择应用域名 → 设置 Access Policy(如”仅允许 xxx@gmail.com”)→ 服务器装 cloudflared 打通隧道。


⚖️ 副作用 / 代价 / 取舍

  • 认证过程增加了几百毫秒到几秒的延迟——对内部工具可以接受,对用户面向的 SaaS 产品需要权衡(通常只保护管理后台)
  • 如果 Cloudflare 宕机,所有受 Zero Trust 保护的应用都不可达——哪怕你的服务器还在运行

🕰️ 来历

  • 谁提出/创造的:Zero Trust 安全模型由 John Kindervag(Forrester Research)在 2010 年提出;Google 在 2014 年内部实现 BeyondCorp 验证了可行性;Cloudflare 在 2020 年发布 Cloudflare Zero Trust(原称 Cloudflare for Teams)
  • 什么时候出现的:概念 2010 年,CF 产品 2020 年 10 月 GA

🔗 关联 / 经常一起出现的概念

  • Cloudflare Tunnel(cloudflared):Zero Trust 的基础设施组件——服务器到 CF 的出站加密隧道
  • Access Policy:定义”谁能访问什么”的规则引擎

⚠️ 注意事项 / 常见误区

Zero Trust 不等于”更安全”的 VPN——它是完全不同的安全模型。VPN 给你一个内网 IP 让你随意访问,Zero Trust 只让你访问被明确授权的特定应用。两者可以共存,但定位完全不同。最常见的配置错误是 Access Policy 规则顺序导致误拦截。


📎 记忆锚点

“Zero Trust = 每个办公室门口都有保安查工牌,不是进了大门就畅通无阻。”


📝 更新日志

日期改动原因
2026-07-13首次创建-