在前幾篇文章，我們談過如何利用 Cloudflare 的服務來保護網站與應用程式。今天要來介紹的則是 Cloudflare Gateway，它是 Cloudflare Zero Trust 平台裡，專門針對「使用者對外上網」安全設計的產品。簡單來說，就是幫你的員工電腦、手機加上一層雲端防護牆，讓所有流量都經過檢查、過濾與控管。

為什麼需要 Gateway？

過去企業可能只要在內網裝上防火牆與 Proxy 就好，但隨著 遠端工作、SaaS 工具普及、員工自帶裝置 (BYOD)，傳統邊界已經消失。這時候就需要一個「雲端的安全閘道」來取代傳統防火牆。Cloudflare Gateway 就是為了這樣的需求誕生。

HTTPS 流量監看：安裝 Root CA

很多威脅（惡意檔案、釣魚頁面）都藏在 HTTPS 裡。
Cloudflare Gateway 提供 SSL 檢查 (SSL Inspection) 功能，只要在員工裝置安裝企業的 Root CA 憑證，Gateway 就能攔截並解密 HTTPS 流量，檢查內容是否安全，再重新加密送出。

這樣做的好處是：

• 阻擋釣魚網站與惡意檔案下載
• 偵測敏感資料（像是信用卡號或個資）外洩
• 讓合規部門能確保使用者行為符合規範

雖然聽起來像「中間人攻擊」，但差別在於 Root CA 是企業自己管控、員工裝置明確信任的，目的也不是竊取，而是安全與合規。

網路流量過濾

透過 Cloudflare Gateway，可以設定一系列策略（Policies）來控管使用者行為，例如：

• 阻擋 P2P、成人內容、賭博網站
• 限制僅能使用特定應用程式
• 自訂允許或封鎖的網址清單

這樣不僅能提升員工專注度，也能大幅降低中毒與資安事件的機率。

DNS 防護

Gateway 內建 安全 DNS 解析服務，可以在最早階段就過濾掉危險網域。舉例：

• 阻擋惡意網域或假冒網站 (phishing/malware domains)
• 強制 SafeSearch
• 偵測可疑 DNS 請求（像是惡意程式的 C2 伺服器）

因為 DNS 是所有流量的起點，這層防護能做到「先發制人」。

裝置與身份鑑別

Cloudflare Gateway 不只是網路防護，它還能與 Zero Trust 身份驗證整合，確保只有「對的人、用對的裝置」才能上網。
它能檢查：

• 使用者身份（整合 SSO、OAuth、Azure AD/Entra ID）
• 裝置狀態（作業系統是否更新、防毒是否開啟）
• 來源網路是否在允許清單內

這些條件能組合起來，形成企業級的安全防護網。

總結

Cloudflare Gateway 的定位就是「雲端安全閘道」，功能包含：

• HTTPS 流量檢查（透過 Root CA）
• 網路策略過濾
• DNS 防護
• 使用者與裝置鑑別

對於正在導入 Zero Trust 架構的企業，Cloudflare Gateway 提供了 簡單、快速、雲端化的方式來取代傳統防火牆與 Proxy。對中小企業而言，它不需要額外買硬體，就能享有同等級的保護；對大型企業而言，它能大幅降低維運與佈署成本。

蚵仔之家

• 店名：蚵仔之家
• 地址：新北市板橋區南雅東路79號
• 營業時間：五到三15:30–01:00
• Google Maps
• 本系列地圖

蚵仔之家是在地老店，以蚵仔為主，蚵仔煎好吃，以前還有販售蚵仔餃，很讚