老E的博客

  • 首页
  • 关于
  • 技术应用
    • VPS相关
    • AI相关
    • 盒子相关
    • 其他
  • 订阅Youtube频道
  • 网络加速
    • expressvpnNo.1 ExpressVPN
    • 最佳免费VPN-PrivadoVPN
    • NordVPN
    • 廉价王者-Surfshark
    • PrivateInternetAccess
    • 解锁一切-PrivateVPN
  • 公益资源
    • AI导航
    • 工具下载
    • Docker镜像加速
  • 友情链接
    • tickcloudTickcloud
老E的博客
专注记录并分享跨境技术应用及随想
  1. 首页
  2. 技术应用
  3. 正文

Cloudfalre Access应用问题一二

2023年10月29日 1732次阅读 0条评论
clawcloud
expressvpn best vpn
privado vpn
surfshark vpn
private vpn
pia vpn
nord vpn

Cloudflare Access是企业级Zero Trust产品,也是唯一一个提供免费的无限期、无流量限制、50台设备支持、完整管理功能支持、基于自有CDN网络的零信任解决方案,尽管Cloudflare Access使用了wireguard,但目前普通用户使用到的功能,均与wireguard无关。同时,通过Cloudflare Access创建的并非全互联网络,而是基于Cloudflare网络基础设施和节点的中心网络。因此,是可以在Cloudflare网站对Cloudflare Access团队域进行适当配置的。本文仅对常见的团队域加入、客户端设备控制、身份验证策略等作简要记录。

1.团队域的手动加入

创建团队并在页面可以登录后,可以在客户端手动使用warp-cli命令加入团队以及进行连接,尤其是对于之前使用过warp或warp+的用户,Cloudflare Access通过统一的warp-cli提供了应用转换的途径。Cloudflare Access之于WARP、WARP+并不是升级,而是产品/服务的切换。产品切换过程中,首先需要对原有残留的公用信息进行清除(重置),包括密钥等,之后再创建并加入私有团队域,以下命令行中,teamdomainname为团队名称,token为成功登录团队域后浏览器页面F12可查阅的令牌。

warp-cli teams-enroll <teamdomainname>.cloudflareaccess.com 
warp-cli teams-enroll-token com.cloudflare.warp://<teamdomainname>.cloudflareaccess.com/auth?token=<token> 

warp-cli connect 
warp-cli status 
warp-cli account

2.客户端注册策略与控制

管理员(一般为team创建者)可在服务端进行全局配置,通过Zero Trust配置页,『settings』 -> 『WARP Client』 -> 『Device Setting』,新建或编辑当前配置。

『Device Setting』编辑页面包括了所有的Warp客户端控制,适当配置即可解决大部分网络管理问题。包括了是否允许客户端切换模式、是否允许客户端手动加入或脱离team、是否允许客户端自动连接、模式(包括proxy在内的5种模式)、域名解析回调分流、分割隧道、排除Office 365流量等。

以模式控制为例,管理员要避免客户自行通过warp-cli命令私自修改,就需要关闭客户端模式切换支持。

warp-cli set-mode proxy 
warp-cli connect

对端IP的选择控制在这里是无法显式配置的,因其本身不属于官方支持范畴,没有得到任何使用授权,对端IP也不是由WARP Client进行并完成的。额外的,当某个站点打开“小黄云”使用了Cloudflare的CDN服务,那就纳入了Cloudflare CDN基础设施网络范畴,也有可能被选作对端节点,于是就会被进一步滥用。

3.身份验证策略

在Zero Trust配置页,『settings』 -> 『WARP Client』 -> 『Device enrollment』,点击『Manage』后,打开验证规则页面,可对现有验证规则进行编辑或添加新规则。

个别收不到验证邮件的,很有可能是定义了邮箱而非邮箱后缀,或者多条规则产生冲突、以及采用了不支持规则的验证方式或IdP。
验证方式默认只有一项可选即Onetime PIN,可以自定义添加后指定客户端需要采用的IdP。对于小型团队而言,可以考虑替换Onetime为Azure AD、Google Workspace等,尤其是Azure AD的使用,使用方便、国内可用,还可以激活开发者账户的活动。

4.其他

对于很多未绑定支付方式而开通team的,是不可能正常通过浏览器对团队域进行完整管理的,例如通过『settings』 -> 『WARP Client』无法直接进入『Device settings』或『Device enrollment』页面,仍然会出现添加付款方式页面,尽管可以通过url强行进入,但自寻烦恼,毫无必要。

免费、无限期、无流量限制、基于自有CDN网络,所有这些先决条件,有一项不满足就不可能被用于个人跨境访问,而50台设备和完整管理功能支持是小型团队应用的前提,对于企业级应用,偶尔还能自选一下IP以确保连接已经是底线了,额外的或频繁的操作均为滥用。

使用Cloudflare Access,首先需要明确你正在使用的是一款企业级产品/解决方案。Cloudflare Access对个人用户及爱好者算是非常友好了,应用门槛极低,并且策略性地忽视、保留了“漏洞”,免费计划的卡绑定要求也很合理,门槛低不代表无门槛,无门槛的产品必定会被滥用甚至恶意利用。话说回来,很多人除了扶墙,用过Cloudflare吗?如有更为广泛而深入的需求,开一台VPS的综合成本一定是最低的。

本作品采用 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议 进行许可
标签: Cloudflare Cloudflare Zero Trust
最后更新:2024年5月27日

老E

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

站内搜索
归档
  • 2025 年 5 月
  • 2025 年 4 月
  • 2025 年 3 月
  • 2025 年 2 月
  • 2025 年 1 月
  • 2024 年 12 月
  • 2024 年 11 月
  • 2024 年 10 月
  • 2024 年 9 月
  • 2024 年 8 月
  • 2024 年 7 月
  • 2024 年 6 月
  • 2024 年 5 月
  • 2024 年 4 月
  • 2024 年 3 月
  • 2024 年 2 月
  • 2024 年 1 月
  • 2023 年 12 月
  • 2023 年 11 月
  • 2023 年 10 月
  • 2023 年 9 月
  • 2023 年 8 月
  • 2023 年 7 月
  • 2023 年 6 月

Copyright ©2023-2025 Appscross. All Rights Reserved.