Cloudflare Tunnel 与 Access:把内部文件服务安全发布到公网的工程实践

复盘用 Cloudflare Tunnel 暴露内部文件浏览服务的工程取舍,并把 Access、审计、敏感文件边界和备份策略作为正式上线前的安全清单。

目录 链路拆解为什么不是直接开放端口下一步补充说明

内部文件服务的核心矛盾是:团队希望它像网页一样随时可访问,但又不能把服务器端口直接暴露在公网。这个文件服务链路采用 Cloudflare Tunnel 把内网 HTTP 服务发布到受控访问域名,并用 Access 做身份门禁。

链路拆解

文件先保存在运行采集脚本的主机目录中,本地 Python HTTP 服务负责目录浏览和下载。cloudflared 在主机上发起到 Cloudflare 的出站连接,公网用户访问域名时先进入 Cloudflare,再被转发到本地服务。

为什么不是直接开放端口

直接开放 8088 这类端口会把认证、证书、攻击面和访问控制都推给源站。Tunnel 的好处是源站不需要公网入站端口,Access 可以统一做登录、邮箱策略和审计。

下一步

文件服务还需要补齐文件类型图标、搜索、按群筛选、按时间排序和访问日志。真正进入团队使用前,还应该明确文件保留周期、敏感文件处理规则和备份策略。

补充说明

这是一篇个人工程笔记。写到标准、指标和项目边界时,我会尽量给出出处;真正落地时仍要回到具体需求、评审材料和验证结果。

参考资料

  1. Cloudflare Zero Trust 文档
  2. Cloudflare Tunnel 文档
  3. OWASP Access Control Cheat Sheet

继续阅读