iT邦幫忙

2025 iThome 鐵人賽

DAY 18
0
Cloud Native

江湖在走,Cloudflare 要懂,懂得天天吃板橋湳雅夜市系列 第 18

第18天,Cloudflare Gateway 裝置網路守門員 / 蚵仔之家 | 30天板橋湳雅夜市

  • 分享至 

  • xImage
  •  

在前幾篇文章,我們談過如何利用 Cloudflare 的服務來保護網站與應用程式。今天要來介紹的則是 Cloudflare Gateway,它是 Cloudflare Zero Trust 平台裡,專門針對「使用者對外上網」安全設計的產品。簡單來說,就是幫你的員工電腦、手機加上一層雲端防護牆,讓所有流量都經過檢查、過濾與控管。

為什麼需要 Gateway?

過去企業可能只要在內網裝上防火牆與 Proxy 就好,但隨著 遠端工作、SaaS 工具普及、員工自帶裝置 (BYOD),傳統邊界已經消失。這時候就需要一個「雲端的安全閘道」來取代傳統防火牆。Cloudflare Gateway 就是為了這樣的需求誕生。

HTTPS 流量監看:安裝 Root CA

很多威脅(惡意檔案、釣魚頁面)都藏在 HTTPS 裡。
Cloudflare Gateway 提供 SSL 檢查 (SSL Inspection) 功能,只要在員工裝置安裝企業的 Root CA 憑證,Gateway 就能攔截並解密 HTTPS 流量,檢查內容是否安全,再重新加密送出。

這樣做的好處是:

  • 阻擋釣魚網站與惡意檔案下載
  • 偵測敏感資料(像是信用卡號或個資)外洩
  • 讓合規部門能確保使用者行為符合規範

雖然聽起來像「中間人攻擊」,但差別在於 Root CA 是企業自己管控、員工裝置明確信任的,目的也不是竊取,而是安全與合規。

網路流量過濾

透過 Cloudflare Gateway,可以設定一系列策略(Policies)來控管使用者行為,例如:

  • 阻擋 P2P、成人內容、賭博網站
  • 限制僅能使用特定應用程式
  • 自訂允許或封鎖的網址清單

這樣不僅能提升員工專注度,也能大幅降低中毒與資安事件的機率。

DNS 防護

Gateway 內建 安全 DNS 解析服務,可以在最早階段就過濾掉危險網域。舉例:

  • 阻擋惡意網域或假冒網站 (phishing/malware domains)
  • 強制 SafeSearch
  • 偵測可疑 DNS 請求(像是惡意程式的 C2 伺服器)

因為 DNS 是所有流量的起點,這層防護能做到「先發制人」。

裝置與身份鑑別

Cloudflare Gateway 不只是網路防護,它還能與 Zero Trust 身份驗證整合,確保只有「對的人、用對的裝置」才能上網。
它能檢查:

  • 使用者身份(整合 SSO、OAuth、Azure AD/Entra ID)
  • 裝置狀態(作業系統是否更新、防毒是否開啟)
  • 來源網路是否在允許清單內

這些條件能組合起來,形成企業級的安全防護網。

總結

Cloudflare Gateway 的定位就是「雲端安全閘道」,功能包含:

  • HTTPS 流量檢查(透過 Root CA)
  • 網路策略過濾
  • DNS 防護
  • 使用者與裝置鑑別

對於正在導入 Zero Trust 架構的企業,Cloudflare Gateway 提供了 簡單、快速、雲端化的方式來取代傳統防火牆與 Proxy。對中小企業而言,它不需要額外買硬體,就能享有同等級的保護;對大型企業而言,它能大幅降低維運與佈署成本。

蚵仔之家

  • 店名:蚵仔之家
  • 地址:新北市板橋區南雅東路79號
  • 營業時間:五到三15:30–01:00
  • Google Maps
  • 本系列地圖

https://ithelp.ithome.com.tw/upload/images/20251002/20163416te43ERJcZG.jpg

蚵仔之家是在地老店,以蚵仔為主,蚵仔煎好吃,以前還有販售蚵仔餃,很讚

https://ithelp.ithome.com.tw/upload/images/20251002/201634168TCWcz2LxN.jpg


上一篇
第17天,Cloudflare Access 零信任閘道 / 小楊脆腸 | 30天板橋湳雅夜市
系列文
江湖在走,Cloudflare 要懂,懂得天天吃板橋湳雅夜市18
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言