Cloudflare Access 的优点
提高团队生产力
使本地应用像 SaaS 应用一样易于使用。与 VPN 相比,ZTNA 将远程访问支持工单减少了 80%。
简化管理
通过一次性集成、可组合的软件连接器和统一的 Zero Trust 策略简化 ZTNA 的设置和运作。
杜绝横向移动
通过实施基于上下文的最小特权访问策略,有效减小攻击面。
轻松扩展 Zero Trust
首先保护关键应用和高风险用户群体,然后扩展云原生 ZTNA 以保护您的基础设施和 MCP 服务器。
工作方式
管理对内部环境的访问
Cloudflare Access 验证并保护员工和第三方对企业所有自托管、SaaS 和非 Web 应用(包括 AI 工具)的访问,帮助减轻风险并确保流畅的用户体验。
它检查每个请求的细粒度上下文信息,如身份和设备态势,为整个企业提供快速、可靠的访问体验。
了解 Access 如何在 Cloudflare 的 SASE 平台内工作
客户感言
“Cloudflare Access 是 Bitso 的一项颠覆性变革。它使 Zero Trust 变得轻而易举。我们现在更有效地管理对内部资源的访问,确保适当的人员拥有适当级别的权限来访问适当的资源,无论他们身处何地、使用什么设备或网络。”
Bitso 网络安全主管
Access 主要用例
Cloudflare Access 为企业内部资源提供简单、安全的用户访问,无需使用 VPN
增强/取代 VPN
卸载关键应用以提高安全性,并改善用户体验。
管理第三方访问
利用无客户端选项、社交身份提供者等方式对第三方用户(如承包商)进行身份认证。
赋能开发人员
确保特权技术用户能够访问关键基础设施,而且无需牺牲性能。
帮助世界各地组织迈向 Zero Trust
定价
覆盖整个 Zero Trust 平台的访问控制功能
Free 计划
0 美元
永久
最适合不超过 50 人的团队,或企业概念认证测试。
随用随付
7 美元
每用户/月(按年付费)
最适合 50 人以上团队,用于解决小范围 SSE 用例 ,且无需企业支持服务。
合约计划
定制价格
每用户/月(按年付费)
最适合构建功能齐全的 SSE 或 SASE 部署,且需要最大程度支持的组织。
Free 计划
随用随付
合约计划
Free 计划
随用随付
合约计划
访问控制(包括 Zero Trust 平台内)
可自定义的访问策略
定制应用和专用网络策略,外加策略测试器。支持临时身份验证、目的验证和任何 IdP 提供的身份验证方法。
保护对所有应用和专用网络的访问
保护自托管、SaaS 和非 Web (SSH、VNC、RDP)应用、内部 IP 和主机名,或任何任意 L4-7 TCP 或 UDP 流量。
通过身份提供商(IdP)进行身份验证
通过企业和社交 IdP 验证身份,包括同时使用多个 IdP。也可使用通用 SAML 和 OIDC 连接器。
基于身份的上下文
根据 IdP 组、地理位置、设备态势、会话持续时间、外部 API 等配置上下文访问。
设备态势集成
使用第三方端点保护提供商集成来验证设备态势。
无客户端访问选项
Web 应用的无客户端访问和基于浏览器的 SSH 或 VNC
基于浏览器的 SSH 和 VNC
通过浏览器内终端进行 SSH 和 VNC 特权访问
隧道拆分
适用于本地或 VPN 连接的隧道拆分
应用启动器
适用于所有应用的可定制应用启动器,包括到 Access 之外应用的书签
令牌身份验证
适用于自动化服务的服务令牌支持
内部 DNS 支持
配置本地域回退。定义内部 DNS 解析器以解析专用网络请求
基础设施及代码自动化(通过 Terraform)
自动部署 Cloudflare 资源和连接
mTLS 身份验证
适用于 IoT 和其他 mTLS 用例的基于证书的身份验证
核心能力
正常运行时间
针对付费计划的可靠服务级别协议 (SLA),提供 100% 正常运行时间和值得信赖的可靠服务。
了解更多 >
标准日志保留
Zero Trust 日志的存储时间会有所不同,具体取决于使用的计划类型和服务。合约用户可以通过 Logpush 导出日志。
查看技术文档 >
应用连接器软件
无需公共可路由 IP 即可将资源安全地连接到 Cloudflare。无需虚拟机 (VM) 基础设施,也没有吞吐量限制。
查看技术文档 >
设备客户端(代理)软件
安全且私密地将流量从最终用户设备发送到 Cloudflare 全球网络。支持在任何地方构建设备态势规则或强制执行过滤策略等能力。通过自行注册或通过 MDM 部署。
查看技术文档 >
Zero Trust 网络访问(ZTNA)
ZTNA 提供基于身份和基于上下文的精细化访问策略,以访问所有内部自托管、SaaS 以及非 Web(例如 SSH)资源。
查看技术文档 >
安全 Web 网关 (SWG)
SWG 使用 L4-7 网络、DNS 和 HTTP 过滤策略来防范勒索软件、网络钓鱼和其他威胁,获得更快速、更安全的互联网浏览体验。
查看技术文档 >
Digital Experience Monitoring(DEX)
提供以用户为中心的、针对整个 Zero Trust 组织的设备、网络和应用性能监测。
查看技术文档 >
网络流量监控
提供网络流量监测和实时警报,获得对网络活动的统一见解。供任何人免费使用。
查看技术文档 >
云访问安全代理(CASB)
CASB 持续监测静态 SaaS 应用,以检测因配置错误或安全态势薄弱而导致的潜在数据泄露风险。
查看技术文档 >
数据丢失防护 (DLP)
DLP 通过控制措施或补救指南检测 Web、SaaS 和专用应用里处于传输与静止状态的敏感数据,以阻止数据泄漏或暴露。
查看技术文档 >
Log Explorer
Free 和随用随付计划:首 10 GB 免费,之后每月每 GB 1 美元
Enterprise:自定义定价
远程浏览器隔离 (RBI)
RBI 通过在 Cloudflare 全球网络上运行所有浏览器代码,对浏览活动附加一层额外的威胁防护和数据保护控制。查看技术文档 >
电子邮件安全
电子邮件安全有助于阻止和隔离多渠道网络钓鱼威胁,包括恶意软件和商业电子邮件入侵。
查看技术文档 >
SASE 的网络服务
Cloudflare One 是我们的单一供应商 SASE 平台,将上述计划中的 Zero Trust 安全服务与网络服务融合在一起,包括 Magic WAN 和防火墙。
查看技术文档 >
访问控制
可自定义的访问策略
定制应用和专用网络策略,外加策略测试器。支持临时身份验证、目的验证和任何 IdP 提供的身份验证方法。
保护对所有应用和专用网络的访问
保护自托管、SaaS 和非 Web (SSH、VNC、RDP)应用、内部 IP 和主机名,或任何任意 L4-7 TCP 或 UDP 流量。
通过身份提供商(IdP)进行身份验证
通过企业和社交 IdP 验证身份,包括同时使用多个 IdP。也可使用通用 SAML 和 OIDC 连接器。
基于身份的上下文
根据 IdP 组、地理位置、设备态势、会话持续时间、外部 API 等配置上下文访问。
设备态势集成
使用第三方端点保护提供商集成来验证设备态势。
无客户端访问选项
Web 应用的无客户端访问和基于浏览器的 SSH 或 VNC
基于浏览器的 SSH 和 VNC
通过浏览器内终端进行 SSH 和 VNC 特权访问
隧道拆分
适用于本地或 VPN 连接的隧道拆分
应用启动器
适用于所有应用的可定制应用启动器,包括到 Access 之外应用的书签
令牌身份验证
适用于自动化服务的服务令牌支持
内部 DNS 支持
配置本地域回退。定义内部 DNS 解析器来解析专用网络请求。
基础设施及代码自动化(通过 Terraform)
自动部署 Cloudflare 资源和连接。
mTLS 身份验证
适用于 IoT 和其他 mTLS 用例的基于证书的身份验证
威胁防护
全面的安全类别
阻止勒索软件、网络钓鱼、DGA 域、DNS 隧道、“C2”和“僵尸网络”等等。
递归式 DNS 过滤
按安全或内容类别进行过滤。通过我们的设备客户端或通过针对地点的路由器部署。
HTTP(S) 过滤
基于源、目的国家/地区、域、主机、HTTP 方法、URL 等控制流量。 无限 TLS 1.3 检查。
L4 防火墙过滤
基于端口、IP、TCP/UDP 协议允许/阻止流量。
防病毒检查
扫描各种类型的上传/下载文件(PDF、ZIP、RAR 等)
集成威胁情报
通过我们自己的机器学习算法和第三方威胁情报源进行检测。
仅 IPv6 和双栈支持
所有功能可用于 IPv4 和 IPv6 连接。
SSH 代理和命令日志记录
创建网络策略以管理和监测对应用的 SSH 访问
适用于物理位置的网络层策略
通过 DNS 过滤保护来自办公室的直接连接。
远程浏览器隔离(原生集成)
在边缘而非本地渲染所有浏览器代码,以缓解威胁。使用/不使用设备客户端部署。选择性地控制隔离什么活动以及何时这样做。
电子邮件安全
阻止钓鱼和企业电子邮件破坏。
代理端点以支持 PAC 文件
通过配置 PAC 文件在浏览器级别应用 HTTP 策略。无需在用户设备上部署客户端软件即可应用过滤器。
专用出口 IP
地理定位到一个或多个 Cloudflare 网络位置的专用 IP 范围(IPv4 或 IPv6)。
数据保护
Zero Trust 访问以减少数据泄漏(通过 ZTNA)
为每个应用设置最小权限策略,以确保用户只访问他们所需的数据。
基于 Mime 类型控制文件上传/下载(通过 SWG)
基于 Mime 类型允许或阻止文件上传/下载。
应用和应用类型控制(通过 SWG)
允许或阻止到特定应用或应用类型的流量。
CASB 检测 SaaS 应用的数据泄露风险
添加 Cloudflare CASB 以检测 SaaS 应用中的错误配置是否泄漏敏感数据。查看受支持集成的完整列表。
数据丢失防护 (DLP)
检查 HTTP(S) 流量和文件中是否存在敏感数据。免费级别计划包括财务信息的预定义配置文件,功能齐全的合约计划还包括定制配置文件、定制数据集、OCR、DLP 日志等。
控制浏览器内的数据交互(通过 RBI)
在隔离的网页和应用内限制下载、上传、复制/粘贴、键盘输入和打印操作。防止数据泄露到本地设备,控制用户在可疑网站的输入。使用/不使用设备客户端部署。
SaaS 应用保护
针对每个 SaaS 应用的访问和流量内联控制
对全部 SaaS 应用一致地应用所有访问控制、数据控制和威胁防护能力(如前所述)。
SaaS 应用租户控制
只允许到 SaaS 应用企业租户的流量。预防敏感数据泄露到个人或消费者租户。
影子 IT 发现
审查最终用户访问的应用。为这些应用设定审批状态。
深度 SaaS 应用集成
集成必用的 SaaS 应用(例如Google Workspace,Microsoft 365),以扫描、检测和监测安全问题。查看受支持集成的完整列表。
持续监测数据安全风险和用户活动
API 集成持续监测 SaaS 应用的可疑活动、数据泄露、未经授权访问等。
文件共享检测
识别最常用 SaaS 应用中的不当文件共享行为。
SaaS 应用态势管理和补救
发现 SaaS 应用中的错误配置和不正确的用户权限。按照分步补救指南对发现的安全问题立即采取行动。
适用于云电子邮件应用的网络钓鱼检测
通过 Cloudflare 电子邮件安全,阻止网络钓鱼和商业电子邮件入侵。
可见性
标准活动日志保留
签约计划方面,DNS 日志存储 6 个月,HTTP 和网络日志存储 30 天。
访问和身份验证日志
有关所有请求、用户和设备的全面详细信息,包括阻止原因。阻止策略决定存储一周,身份验证日志存储 6 个月。
应用连接器(隧道)日志
审计有关隧道连接状态和应用注册新 DNS 记录时的日志。
影子 IT 可见性,提供已分类的应用组
跟踪使用情况,审查最终用户访问的应用的批准状态。
SSH 命令日志记录
完整回放 SSH 会话期间运行的所有命令。提供网络层的 SSH 可见性。
专用网络发现
被动监控专用网络流量,对发现的应用和访问它们的用户进行分类。
排除个人可识别信息(PII)
默认情况下,日志不会存储任何员工 PII(源 IP、用户电子邮件、用户 ID 等),并且对组织中的所有角色都不可用。
Digital Experience Monitoring(DEX)
提供预测性、历史和实时的情报信息,以监测应用故障、网络问题和性能下降,从而确保员工始终保持高效工作。查看功能。
网络性能与连接入口
全球 Anycast 网络
Anycast 网络覆盖 125 个国家/地区的 330 个城市,具备 405 Tbps 的网络边缘容量
全球互连
13000 个互连,包括主流 ISP、云服务和企业。
覆盖所有边缘服务的单一控制平面
网络架构设计让边缘运行的每项服务都可以在每个数据中心运行,并对每个客户可用。
针对 L3-L7 流量的一次通过检查
所有流量都在离源最近的数据中心进行一次通过处理。无需回传。
虚拟骨干网上的智能路由
优化路由以避免堵塞问题。
设备客户端(代理)软件
可用于全部主流操作系统(Win、Mac、iOS、Android、Linux、 ChromeOS)。
设备客户端(代理)的多种模式
默认模式通过 WireGuard 发送流量,以启用全面的安全功能。
使用 DoH 模式以仅执行 DNS 过滤策略,或使用代理模式以仅过滤特定应用的流量。
托管部署和自助注册选项
通过 MDM 工具部署到组织的所有设备上。用户也可自行下载设备客户端并注册。
应用连接器(隧道)
无需公共可路由 IP 即可将资源连接到 Cloudflare。通过用户界面(UI)、API 或命令行界面(CLI) 部署。
