相信你和我一样有这样的需求,在企业内网或者个人电脑中开发了一些Web应用,并且通过Cloudflare Access Tunnel暴露到了互联网可以让外部访问。但你此时很担心,暴露出去的Web应用没有任何安全控制机制,会被来自互联网的任何人访问到,此时你希望增强安全,尤其是对暴露到外网的服务增加认证。
本文将通过一个实例,介绍如何配置Cloudflare网络访问控制策略,让你安全地暴露内网服务,为你的内网服务增加安全认证!
在企业或个人开发环境中,通过 Cloudflare Access Tunnel 将内网服务暴露到互联网是一种常见的做法。以 server.thesignalwise.com 为例,假设你已成功将本地应用(如 http://127.0.0.1:9090)暴露到互联网,并希望增强安全性,避免未经授权的访问。那么,如何为这些暴露的服务配置访问控制策略呢?
以下是配置访问控制策略的步骤和注意事项:
1. 创建 Access 策略
- 进入 Cloudflare Access 控制面板,选择已创建的应用(如
server.thesignalwise.com)。 - 在“策略”部分,点击“添加策略”来创建新的访问策略。为策略命名(例如“运维监控”),并选择策略类型(如“允许”)。
- 设置会话持续时间,可以选择与应用程序的会话超时一致,或根据实际需求调整。
2. 定义访问规则
- 选择器与规则:在策略中配置选择器,定义访问范围。常见的选择器包括用户的电子邮件地址、IP 地址、设备状态等。例如,你可以设定规则只允许
@signalwise.com结尾的邮箱访问。 - “包括”和“排除”条件:可以根据用户属性或其他条件设置“包括”或“排除”规则,确保只有满足特定条件的用户能够访问。
3. 选择身份验证方法
- 你可以为用户选择多种身份验证方式,如 One-time PIN(默认)、 GITHUB、SAML 认证 或 WARP 身份验证。
关于身份认证,可以通过设置菜单设置更多的认证方式:
4. 创建应用(自托管-self hosted)
创建一个自托管的应用,如:Server Monitor。
5. 为应用绑定策略
应用创建完成后,重新配置,选择【策略】,然后点击【选择已有策略】,此处选择之前创建的策略——“运维监控”。
6. 配置应用启动器
- 配置完策略后,在设置界面,设置应用启动器,创建策略,并选择之前创建的“运维监控”策略。
7. 使用新的应用域名访问
然后点击获取验证码,查看邮箱收到的邮件,获取验证码。
输入验证码,即可完成认证,访问内网服务了。
总结
配置 Cloudflare Access Tunnel 的访问控制策略可以有效增强已暴露服务的安全性。通过定义策略、设置身份验证、选择合适的访问规则和会话管理,你可以确保只有授权用户才能使用互联网域名server.thesignalwise.com访问内网http://127.0.0.1:9090的内网服务,提升网络安全性。
见微知著 · TheSignalwise 
留下评论