利用 Cloudflare Access Zero Trust 来保护你的后台

老实说，这篇文章也已经跟里面提到的“思路”一样，过时了

因为不知道为什么，在我用CF的时候，尽管没有任何设置，香港以及广大海外同胞们（懂的都懂）死活都加载不出来，排除了服务器端的问题，换了阿里云的全站加速以后突然迎刃而解。

思路来源于：

体验先进的Cloudflare Access Zero Trust功能 - LittleJake's Blog

新版的操作页面和原版的稍微有些不同，我就再写一遍，当然更深层次的思路来源于我的好奇心，最近刚刚套上了CF的CDN，把控制盘的每个按钮都点了一个遍，发现了这个。

What is Zero Trust?

想象一下， Zero Trust 模式就像一名警惕性极强的保安，即使认出了您，在允许您进入办公楼之前，也会有条不紊地反复检查您的证件，而且在您每次要进入办公楼时，都会重复这套流程，验证您的身份。

Zero Trust 模式依赖于对每个设备和个人的高强度身份验证和授权，无论设备和个人是在网络边界之内还是之外，验证通过后才能在专用网络上进行任何访问或数据传输。该过程还会结合分析、筛查和记录来验证行为的正确性，以及持续监控入侵信号。如果用户或设备表现出不同以往的行为迹象，则会将其记录下来并视为疑似威胁进行监控。例如，Acme Co. 的 Marcus 通常从美国俄亥俄州哥伦布市登录内网，但这一天，他尝试从德国柏林访问 Acme 的内网。即使 Marcus 的用户名和密码输入正确，Zero Trust 策略也会识别出 Marcus 行为中的异常并采取措施，例如向 Marcus 提出其他身份验证质询，以核实他的身份。

这种策略上的基本转变有效抵御了许多常见安全威胁。攻击者无法再利用边界中的漏洞，然后通过进入防御层来滥用您的敏感数据和应用程序。现在没有护城河了。只有应用程序和用户，每个应用程序或每位用户在访问发生前均必须相互验证身份并验证授权。当两方同时相互验证时，就会发生“相互身份验证”，例如具有登录名和密码的用户，以及用户通过数字证书连接的应用程序。

使用：

自 2022 年 5 月 25 日起，Access 配置已移至 Cloudflare Zero Trust 仪表板。此页面已弃用。所有现有功能以及新功能现在通过 Zero Trust 仪表板提供。

所以我们需要来到CF的初始页面，然后找到左侧工具栏中的 Zero Trust ,会弹出一个新窗口，因为我已经进行了计划选择，新体验者应该会被要求选择计划，个人使用直接选择Free，添加付款方式后即可使用。

但是在选择的过程中你会遇到一个十分蛋疼的问题，就是这类公司和App Store一样都要把免费的东西叫“购买”，好像要走一遍流程，而购买方式就不像阿果那样中国化支持Wechat和Alipay了，你需要一张Credit Card或者Paypal，无奈，作为明年才成年的人，手头的一张借记卡显然无法完成任务，于是打开橙色软件，这时是凌晨一点。（提醒一下，Credit Card是支持银联的，但是一开始没有出现，最后一个标志后面会闪出来银联）

问了好几家虚拟信用卡，众多店家的费用仅开卡一年就都在50元左右，这哪里还是Free？？？尽管是我的问题，后面又找了几家首单几块钱的都不支持CF，最后找的是“Lucky国际支付”，（真不是广子，我凌晨问了将近十家），虽然不支持仅空卡绑定，但是充值五刀+20卡费=70总比单开卡就50块实惠一些。客服也比较负责，第一次的卡死活绑不上CF：

“An error occured while saving your payment method,try again.”

后来又发了一张才成功，现在就有五美元不知道怎么花了，~~（怎么感觉越来越像广告了）~~。

记住这张图，拿我的后台做个演示

首先点击左侧栏中Access里的Access Groups，创建一个用户组，由于后台只有我一人在用，点击“Add a Group”之后，在Include里选择“Emails”并且填入你自己的邮箱即可，这就是一个白名单，实测，不在组里的Email输入框内进行验证时，并不会真正发送code，只有在Group内部的Email才会收到验证码。

然后点上面的Applications，选择“Self-hosted”，Application Configuration下的name就会显示在让你记住的那张图的1处，domain则填上你需要保护的界面，Session Duration则是一次验证能持续多长时间，因为我需要较长时间的连续打字，所以选了24 Hours，往下划好像还能填上自己Logo的链接。