Cloudflare Gateway 的优势
加速用户互联网访问
不再回传流量。我们的一次通过检查比 SWG 替代解决方案快 50%。
拦截已知/未知威胁
Cloudflare 的 DNS 和 HTTP 遥测以及威胁检测模型能够捕捉到更多风险。
监控网络中的流量
叠加内联 Zero Trust 服务,以提供覆盖跨用户、设备和地点的全面互联网流量可见性。
易于实施和管理
通过预定义分类来简化策略构建和审计。
了解 Gateway 如何在 Cloudflare 的 SASE 平台上工作
客户感言
“Algolia 正在快速增长。我们需要一种方式来获得对企业网络的全面可见性,同时不影响员工的工作效率。Gateway 为我们提供了做到这一点的简单方式。”
基础设施与安全总监
Gateway 主要用例
防范网络钓鱼和勒索
通过针对多个安全类别的主动过滤和检查策略来阻止攻击。
保护分布式远程办公室
通过 DNS 过滤或更高级的检查保护任何地点的办公室用户。
保护远程办公人员
无论用户在何处工作,都能确保他们在开放 Web 上的安全。
帮助世界各地组织迈向 Zero Trust
定价
覆盖整个 Zero Trust 平台的威胁防护功能
Free 计划
0 美元
永久
最适合不超过 50 人的团队,或企业概念认证测试。
随用随付
7 美元
每用户/月(按年付费)
最适合 50 人以上团队,用于解决小范围 SSE 用例 ,且无需企业支持服务。
合约计划
定制价格
每用户/月(按年付费)
最适合构建功能齐全的 SSE 或 SASE 部署,且需要最大程度支持的组织。
Free 计划
随用随付
合约计划
Free 计划
随用随付
合约计划
威胁防护
全面的安全类别
阻止勒索软件、网络钓鱼、DGA 域、DNS 隧道、“C2”和“僵尸网络”等。
递归式 DNS 过滤
按安全或内容类别进行过滤。通过我们的设备客户端或通过针对地点的路由器部署。
HTTP(S) 过滤
基于源、目的国家/地区、域、主机、HTTP 方法、URL 等控制流量。无限 TLS 1.3 检查。
L4 防火墙过滤
基于端口、IP、TCP/UDP 协议允许/阻止流量。
防病毒检查
扫描各种类型的上传/下载文件(PDF、ZIP、RAR 等)
集成威胁情报
通过我们自己的机器学习算法和第三方威胁信息源进行检测。
仅 IPv6 和双栈支持
所有功能可用于 IPv4 和 IPv6 连接。
SSH 代理和命令日志记录
创建网络策略以管理和监测对应用的 SSH 访问。
适用于物理位置的网络层策略
通过 DNS 过滤保护来自办公室的直接连接。
远程浏览器隔离(原生集成)
在边缘而非本地渲染所有浏览器代码,以缓解威胁。使用/不使用设备客户端部署。选择性地控制要隔离什么活动以及何时这样做。
电子邮件安全
阻止钓鱼和企业电子邮件破坏。
代理端点以支持 PAC 文件
通过配置 PAC 文件在浏览器级别应用 HTTP 策略。无需在用户设备上部署客户端软件即可应用过滤器。
专用出口 IP
地理定位到一个或多个 Cloudflare 网络位置的专用 IP 范围(IPv4 或 IPv6)。
核心能力
正常运行时间
可靠的付费计划服务级别协议 (SLA),提供 100% 正常运行时间和值得信赖的可靠服务。
标准日志保留
Zero Trust 日志的存储时间会有所不同,具体取决于使用的计划类型和服务。合约用户可以通过 Logpush 导出日志。
应用连接器软件
无需公共可路由 IP 即可将资源安全地连接到 Cloudflare。无需虚拟机 (VM) 基础设施,也没有吞吐量限制。
设备客户端(代理)软件
安全且私密地将流量从最终用户设备发送到 Cloudflare 全球网络。支持在任何地方构建设备态势规则或强制执行过滤策略等能力。通过自行注册或通过 MDM 部署。
Zero Trust 网络访问(ZTNA)
ZTNA 提供基于身份和基于上下文的精细化访问策略,以访问所有内部自托管、SaaS 以及非 Web(例如 SSH)资源。
安全 Web 网关 (SWG)
SWG 使用 L4-7 网络、DNS 和 HTTP 过滤策略来防范勒索软件、网络钓鱼和其他威胁,获得更快速、更安全的互联网浏览体验。
Digital Experience Monitoring(DEX)
提供以用户为中心的、针对整个 Zero Trust 组织的设备、网络和应用性能监测。
网络流量监测
提供网络流量监测和实时警报,获得对网络活动的统一见解。供任何人免费使用。
云访问安全代理(CASB)
CASB 持续监测静态 SaaS 应用,以检测因配置错误而导致的潜在数据泄露或薄弱态势发现。
数据丢失防护 (DLP)
DLP 通过控制措施或补救指南检测 Web、SaaS 和私有应用里的传输中与静态的敏感数据,以阻止数据泄漏或暴露。
Log Explorer
远程浏览器隔离 (RBI)
RBI 通过在 Cloudflare 全球网络上运行所有浏览器代码,对浏览活动附加一层额外的威胁防护和数据保护控制。
电子邮件安全
电子邮件安全有助于阻止和隔离多渠道网络钓鱼威胁,包括恶意软件和商业电子邮件入侵。
SASE 的网络服务
Cloudflare One 是我们的单一供应商 SASE 平台,将上述计划中的 Zero Trust 安全服务与网络服务融合在一起,包括 Magic WAN 和防火墙。
访问控制
可自定义的访问策略
定制应用和专用网络策略,外加策略测试器。支持临时身份验证、目的验证和任何 IdP 提供的身份验证方法。
保护对您所有应用和专用网络的访问
保护自托管、SaaS 和非 Web (SSH、VNC、RDP)应用、内部 IP 和主机名,或任何任意 L4-7 TCP 或 UDP 流量。
通过身份提供商(IdP)进行身份验证
通过企业和社交 IdP 验证身份,包括同时使用多个 IdP。也可使用通用 SAML 和 OIDC 连接器。
基于身份的上下文
根据 IdP 组、地理位置、设备态势、会话持续时间、外部 API 等配置上下文访问。
设备态势集成
使用第三方端点保护提供商集成来验证设备态势。
无客户端访问选项
无客户端的 Web 应用访问和基于浏览器的 SSH 或 VNC。
基于浏览器的 SSH 和 VNC
通过浏览器内终端的 SSH 和 VNC 特权访问。
隧道拆分
适用于本地或 VPN 连接的隧道拆分。
应用启动器
适用于所有应用的可定制应用启动器,包括针对 Access 之外应用的书签。
令牌身份验证
适用于自动化服务的服务令牌支持。
内部 DNS 支持
配置本地域回退。定义内部 DNS 解析器来解析专用网络请求。
基础设施及代码自动化(通过 Terraform)
自动部署 Cloudflare 资源和连接。
mTLS 身份验证
基于证书的授权,适用于 IoT 和其他 mTLS 用例。
数据保护
Zero Trust 访问减少数据泄漏(通过 ZTNA)
为每个应用设置最小权限策略,以确保用户只访问他们所需的数据。
基于 Mime 类型控制文件上传/下载(通过 SWG)
基于 Mime 类型允许或阻止文件上传/下载。
应用和应用类型控制(通过 SWG)
允许或阻止到特定应用或应用类型的流量。
CASB 检测 SaaS 应用的数据泄露风险
添加 Cloudflare CASB 以检测 SaaS 应用中的错误配置是否泄漏敏感数据。查看受支持集成的完整列表。
数据丢失防护 (DLP)
检查 HTTP(S) 流量和文件中是否存在敏感数据。免费级别计划包括财务信息的预定义配置文件,功能齐全的合约计划还包括定制配置文件、定制数据集、OCR、DLP 日志等。
控制浏览器内的数据交互(通过 RBI)
在隔离的网页和应用内限制下载、上传、复制/粘贴、键盘输入和打印操作。防止数据泄露到本地设备,控制用户在可疑网站的输入。使用/不使用设备客户端部署。
SaaS 应用保护
为每个 SaaS 应用的访问和流量提供内联控制
对全部 SaaS 应用一致地应用所有访问控制、数据控制和威胁防护能力(如前所述)。
SaaS 应用租户控制
只允许到 SaaS 应用企业租户的流量。预防敏感数据泄露到个人或消费者租户。
影子 IT 发现
审查最终用户访问的应用。为这些应用设定审批状态。
深度 SaaS 应用集成
与您最常用的 SaaS 应用集成(例如 Google Workspace、Microsoft 365),以扫描、检测和监控安全问题。查看受支持集成的完整列表。
持续监测数据安全风险和用户活动
API 集成持续监测 SaaS 应用的可疑活动、数据泄露、未经授权访问等。
文件共享检测
识别最常用 SaaS 应用中的不当文件共享行为。
SaaS 应用态势管理和补救
发现 SaaS 应用中的错误配置和不正确的用户权限。按照分步补救指南对发现的安全问题立即采取行动。
数据丢失防护 (DLP)
检查 HTTP(S) 流量和文件中是否存在敏感数据。免费级别计划包括财务信息的预定义配置文件,功能齐全的合约计划还包括定制配置文件、自定义数据集、OCR、DLP 日志等。
适用于云电子邮件应用的网络钓鱼检测
通过 Cloudflare 电子邮件安全,阻止网络钓鱼和商业电子邮件入侵。
可见性
标准活动日志保留
签约计划方面,DNS 日志存储 6 个月,HTTP 和网络日志存储 30 天。
访问和身份验证日志
有关所有请求、用户和设备的全面详细信息,包括阻止原因。阻止策略决定存储一周,身份验证日志存储 6 个月。
应用连接器(隧道)日志
审计有关隧道连接状态和应用注册新 DNS 记录时的日志。
影子 IT 可见性,提供已分类的应用组别
跟踪使用情况,审查最终用户访问的应用的批准状态。
SSH 命令日志记录
完整回放 SSH 会话期间运行的所有命令。提供网络层的 SSH 可见性。
专用网络发现
被动监控专用网络流量,对发现的应用和访问它们的用户进行分类。
排除个人可识别信息(PII)
默认情况下,日志不会存储任何员工 PII(源 IP、用户电子邮件、用户 ID 等),且所有角色均无法访问这些日志。
Digital Experience Monitoring(DEX)
提供预测性、历史和实时的情报信息,以监测应用故障、网络问题和性能下降,从而确保员工始终保持高效工作。查看功能。
CASB 发现
发现指在 SaaS 应用中检测到的涉及用户、静态数据以及其他配置设置的安全问题。免费级别计划包括基本发现,合约计划则包括关于每个实例的更深层次详细信息。
删除 PII
除特别指定角色外,从所有权限角色的日志删除 PII。
将日志推送到 SIEM
与分析和 SIEM 工具集成,如 Sumo Logic、Splunk 和 Datadog。
Log Explorer
将日志推送到云存储
内置支持一个或多个平行存储目的地,包括 AWS、Azure、Google Cloud 和任何 S3 兼容 API。
网络性能与连接入口
快如闪电的网络速度
与全球 95% 的互联网用户之间延迟为 50 毫秒。
全球 Anycast 网络
Anycast 网络覆盖 125 个国家/地区的 330 个城市,具备 388 Tbps 的网络边缘容量。
全球互连
13000 个互连,包括主流 ISP、云服务和企业。
针对所有边缘服务的单一控制平面
网络架构设计方式让边缘运行的每项服务都可以在每个数据中心运行,并对每个客户可用。
针对 L3-7 流量的一次通过检查
所有流量都在离源最近的数据中心进行一次通过处理。无需回传。
虚拟骨干网上的智能路由
优化路由以避免堵塞问题。
设备客户端(代理)软件
可用于全部主流操作系统(Win、Mac、iOS、Android、Linux、 ChromeOS)。
设备客户端(代理)的多种模式
默认模式通过 WireGuard 发送流量,以启用全面的安全功能。
使用 DoH 模式以仅执行 DNS 过滤策略,或使用代理模式以仅过滤特定应用的流量。
托管部署和自助注册选项
通过 MDM 工具部署到组织的所有设备上。用户也可自行下载设备客户端并注册。
应用连接器(隧道)
无需公共可路由 IP 即可将资源连接到 Cloudflare。通过用户界面(UI)、API 或命令行界面(CLI) 部署。
资源
