---

如何开始使用 Cloudflare Zero Trust：入门教程

在当今这个远程工作、云应用和自带设备 (BYOD) 盛行的时代，传统的网络安全模式——基于边界防火墙的“城堡和护城河”——已经越来越难以适应。企业的数据和应用不再局限于物理网络内部，用户也可能从世界各地、使用各种设备访问资源。这种模式下的安全漏洞频发，信任一旦建立就难以撤销，给组织带来了巨大的风险。

这就是“零信任安全模型”应运而生的原因。零信任的核心理念是“永不信任，始终验证”（Never Trust, Always Verify）。它要求在任何用户、任何设备、任何时间尝试访问任何资源时，都必须进行严格的身份验证、授权和持续验证，无论他们是来自网络内部还是外部。

Cloudflare Zero Trust 是一个集成了多种安全功能的服务平台，旨在帮助组织快速、有效地实施零信任安全模型。它提供了一套工具，用于保护应用、设备和数据，同时简化用户访问体验。对于刚接触零信任或 Cloudflare Zero Trust 的用户来说，这个平台可能看起来功能丰富得令人望而生畏。但别担心，本教程将带你一步步了解如何开始使用 Cloudflare Zero Trust，并配置一些最基础但至关重要的功能。

本文将详细涵盖以下几个方面：

1. 理解 Cloudflare Zero Trust 的核心组件
2. 前期准备：你需要什么？
3. 第一步：访问 Cloudflare Zero Trust 控制面板并设置你的团队
4. 第二步：连接你的身份提供商 (Identity Provider, IdP)
5. 第三步：保护你的第一个应用 (使用 Cloudflare Access)
6. 第四步：定义访问策略
7. 第五步：部署 Cloudflare WARP 客户端
8. 第六步：监控和日志
9. 超越基础：进一步探索
10. 常见问题与故障排除
11. 入门最佳实践
12. 总结

本文篇幅较长，请耐心阅读，跟随步骤操作，你将能够为你的组织迈出零信任安全的第一步。

1. 理解 Cloudflare Zero Trust 的核心组件

在开始之前，了解 Cloudflare Zero Trust 平台的几个核心组件及其作用至关重要：

• Cloudflare Access: 这是实现零信任访问控制的基础。它充当应用和用户之间的身份感知代理，验证用户身份、设备状态和上下文信息后才允许访问应用，取代了传统的 VPN 或堡垒机。它可以用来保护自托管（内部部署）应用、SaaS 应用、甚至 SSH/RDP 连接。
• Cloudflare Gateway: 这是一个安全的网络网关，用于检查离开用户设备（通过 WARP 客户端）或内部网络的流量。它可以过滤恶意软件、阻止访问不良网站、强制执行网络策略，并提供详细的流量日志。
• Cloudflare WARP (With 1.1.1.1 for Families / Zero Trust): 这是一个部署在用户设备上的轻量级客户端应用程序。它是连接设备到 Cloudflare 全球网络的桥梁，使得 Zero Trust 策略（Access 策略、Gateway 策略）能够在设备层面生效。WARP 可以强制所有设备流量通过 Cloudflare 进行检查和过滤，也可以仅用于连接到 Private Network。
• Cloudflare Private Network: 允许你安全地连接私有网络（数据中心或 VPC）到 Cloudflare 的全球网络，使得 WARP 用户可以通过 Cloudflare Zero Trust 安全地访问内部资源，而无需传统 VPN。这通常通过 Cloudflare Tunnel 实现。
• Identity Providers (IdP): Cloudflare Zero Trust 本身不存储用户密码。它通过与现有的身份提供商集成来验证用户身份，例如 Google Workspace, Microsoft Azure AD, Okta, PingOne, OneLogin, 甚至是 GitHub, LinkedIn 等社交身份。
• Device Posture: 用于检查设备的健康状态和安全性特征，例如是否安装了防火墙、是否加密、是否安装了特定的客户端软件（如 WARP）。这些信息可以作为制定访问策略的条件。
• Logs: Cloudflare Zero Trust 提供了详细的 Access Logs 和 Gateway Logs，用于审计、监控和故障排除，让你了解谁访问了什么资源，以及流量是如何被处理的。

在本入门教程中，我们将重点关注 Access、IdP 集成、Policies 和 WARP 的基础使用，这是大多数组织开始实施零信任时首先会接触到的功能。

2. 前期准备：你需要什么？

在开始配置之前，请确保你具备以下条件：

• 一个 Cloudflare 账户: 如果你还没有 Cloudflare 账户，可以免费注册一个。Cloudflare Zero Trust 提供免费层级，可以支持最多 50 个用户，并且包含了核心的 Access 和 Gateway 功能，非常适合初学者进行测试和学习。
• 管理员权限: 你需要有 Cloudflare 账户的管理员权限才能访问和配置 Zero Trust 控制面板。
• 一个身份提供商 (IdP): 强烈建议使用一个中心化的身份提供商来管理你的用户身份。常见的企业级 IdP 包括 Google Workspace, Microsoft Azure AD, Okta, PingOne 等。如果你还没有企业级的 IdP，Cloudflare Access 也支持一些其他类型的身份源，但为了长远的安全和管理方便，企业级 IdP 是首选。你需要能够访问并配置你的 IdP。
• 一个需要保护的应用: 可以是一个内部部署的 Web 应用、一个 SaaS 应用（如 Jira, Confluence），或者只是一个用于测试的简单网页。在本教程中，我们将以保护一个假设的内部 Web 应用为例。
• 对网络和身份管理有基本的了解: 虽然本教程是为初学者准备的，但对域名、DNS、身份认证流程（如 SAML, OIDC）有基本的了解会帮助你更好地理解配置过程。

3. 第一步：访问 Cloudflare Zero Trust 控制面板并设置你的团队

这是你开始旅程的第一站。

1. 登录 Cloudflare 账户: 访问 https://dash.cloudflare.com/ 并使用你的管理员凭据登录。
2. 访问 Zero Trust: 在 Cloudflare 控制面板的左侧导航栏中，找到并点击 Zero Trust 选项。
3. 启动 Zero Trust Dashboard: 如果这是你第一次访问，系统可能会引导你进入 Zero Trust 设置向导。按照提示操作即可。如果你之前访问过，会直接进入 Zero Trust Dashboard。
4. 设置你的团队名称: 在 Zero Trust Dashboard 中，你需要为你所在的组织或团队设置一个唯一的名称。这个名称将用于构建你的 Zero Trust 专属 URL（例如 yourteamname.cloudflareaccess.com）以及在 WARP 客户端中识别你的组织。
   • 导航到 Settings > General。
   • 在 “Team Name” 部分，输入一个你喜欢的、能代表你组织的名称。这个名称必须是唯一的。
   • 点击 Save team name。
   • 重要提示: 一旦设置并保存了团队名称，就无法更改了。所以请仔细选择。

完成这一步后，你就进入了 Cloudflare Zero Trust 的世界，并拥有了一个专属于你的 Zero Trust 域。

4. 第二步：连接你的身份提供商 (Identity Provider, IdP)

Cloudflare Zero Trust 的核心是基于身份的访问控制。它依靠你的 IdP 来验证用户的身份。连接你的 IdP 是开始使用 Cloudflare Access 的强制步骤。

我们将以一个通用的 IdP 连接流程为例，具体配置步骤可能因不同的 IdP 而异，但基本原理是相同的：在 Cloudflare Zero Trust 中添加 IdP，然后将 Cloudflare Zero Trust 作为服务提供商 (Service Provider, SP) 在你的 IdP 中进行配置。

1. 导航到认证设置: 在 Zero Trust Dashboard 中，导航到 Settings > Authentication。
2. 添加新的登录方法: 在 “Login methods” 部分，点击 Add new。

3. 选择你的身份提供商: Cloudflare 提供了许多预配置的 IdP 选项，如 Google Workspace, Azure AD, Okta, PingOne, OneLogin 等。如果你使用的 IdP 在列表中，选择它。如果不在，你可能需要使用通用的 SAML 或 OpenID Connect (OIDC) 选项。

   • 示例：连接 Google Workspace
     • 选择 Google Workspace。
     • 系统会显示 Cloudflare Zero Trust 需要的一些信息，例如 Redirect URI 和 Entity ID。这些信息你需要在 Google Workspace 后台中配置。
     • 点击 Next。
     • 按照 Cloudflare 提供的指南（通常会弹出链接或指示）在 Google Workspace 管理控制台中创建一个新的 SAML 应用。你需要将 Cloudflare 提供的信息（如 Assertion Consumer Service (ACS) URL 或 Entity ID）复制到 Google Workspace 中。
     • 在 Google Workspace 中配置完成后，你需要从 Google Workspace 获取一些信息（通常是 SSO URL, Entity ID, 和 Certificate），并将其复制回 Cloudflare Zero Trust 的配置界面。
     • 在 Cloudflare Zero Trust 中，输入从 Google Workspace 获取的信息。
     • 选择你想要用于认证的 Google Workspace 域名。
     • 点击 Save。
   • 示例：连接 Azure AD
     • 选择 Microsoft Azure AD。
     • 系统会显示 Redirect URI 和 Reply URL 等信息。
     • 点击 Next。
     • 按照 Cloudflare 提供的指南在 Azure AD 中创建一个新的企业应用（Gallery 应用或非 Gallery 应用）。你需要将 Cloudflare 提供的信息复制到 Azure AD 中。
     • 在 Azure AD 中配置完成后，你需要获取 Login URL, Azure AD Identifier, 和 Base64 Certificate，并将其复制回 Cloudflare Zero Trust 的配置界面。
     • 点击 Save。
   • 通用 SAML 或 OIDC: 如果你的 IdP 不在列表中，但支持 SAML 或 OIDC 标准，可以选择相应的选项。Cloudflare 会提供必要的 SP 元数据（Assertion Consumer Service URL, Entity ID 等），你需要将这些信息输入到你的 IdP 中，并在 IdP 中获取 Identity Provider Metadata URL 或手动配置 IdP 端的 SSO URL, Entity ID, 证书等信息，然后将这些信息输入到 Cloudflare 中。

4. 启用 IdP: 在 IdP 配置完成后，确保其状态是“Enabled”。

5. 测试连接: 在 IdP 列表旁边通常有一个测试按钮或链接。点击它来验证你与 IdP 的连接是否成功。它会尝试将你重定向到你的 IdP 登录页面，登录成功后会重定向回来并显示成功信息。

成功连接 IdP 后，Cloudflare Zero Trust 就能识别通过这个 IdP 认证的用户了。

5. 第三步：保护你的第一个应用 (使用 Cloudflare Access)

现在你已经连接了身份提供商，是时候保护你的第一个应用了。我们将以保护一个自托管的内部 Web 应用为例。Cloudflare Access 通过身份感知代理的方式工作，用户无需 VPN 即可访问应用，但必须通过 Cloudflare 进行身份验证。

1. 导航到 Access 应用: 在 Zero Trust Dashboard 中，导航到 Access > Applications。
2. 添加一个应用: 点击 Add an application。
3. 选择应用类型: 你会看到多种应用类型。对于自托管的 Web 应用，选择 Self-hosted。如果你想保护一个 SaaS 应用（如 Salesforce, Zendesk），可以选择 SaaS。这里我们选择 Self-hosted。
4. 配置应用设置:
   • Application name: 输入应用的名称，例如 “Internal Wiki” 或 “Admin Dashboard”。
   • Session Duration: 设置用户通过 Access 成功认证后，Session 有效期是多久。Session 过期后，用户需要重新认证。可以根据安全需求设置，例如 8 小时或 24 小时。
   • Subdomain: 这是用户将用于访问应用的 Cloudflare Access URL 的子域名。例如，如果你的团队名称是 myteam，你在这里输入 wiki，那么用户将通过 wiki.myteam.cloudflareaccess.com 访问应用。
   • Domain: 如果你希望使用自己的域名（例如 wiki.yourcompany.com）来访问应用，你可以在这里输入你的域名。但这要求你的域名已经在 Cloudflare 中托管，并且你需要创建一个 CNAME 记录将该域名指向你的 Access Subdomain (wiki.myteam.cloudflareaccess.com)。为了入门简单，先使用默认的 Access Subdomain 是个好选择。
   • Destination: 这是你的实际应用运行的地方。输入应用的内部 IP 地址或内部 DNS 名称以及端口。例如 192.168.1.100 或 internal-wiki.local:8080。重要: 这个 Destination 对用户来说是隐藏的，他们只通过 Access URL 访问。Cloudflare 的网络将通过 Cloudflare Tunnel（稍后会提到）或其他方式连接到这个内部地址。对于入门，假设你将通过 Cloudflare Tunnel 来连接。
   • Identity Providers: 选择你想要用于这个应用的身份提供商。你可以选择一个或多个。通常情况下，选择你之前配置的企业级 IdP 即可。

5. 配置 Tunnel (连接到内部应用): 如果你的应用是内部部署的，Cloudflare Access 需要一种方式来连接到它。最安全和推荐的方式是使用 Cloudflare Tunnel (以前称为 Argo Tunnel)。Tunnel 会在你的内部网络和 Cloudflare 网络之间建立一条加密连接，无需在防火墙上开放入站端口。

   • 在应用配置页面的 “Connectivity” 部分，选择 Cloudflare Tunnel。
   • 如果这是你第一次使用 Tunnel，你需要创建一个 Tunnel。点击 Create a Cloudflare Tunnel。
   • 按照指引在你的内部服务器上安装 cloudflared 守护进程，并运行相应的命令来创建一个 Tunnel 并连接到 Cloudflare。这个过程会生成一个 Tunnel ID 和一个用于认证的 Token。
   • 在 Cloudflare Zero Trust 界面中，选择你刚刚创建或连接好的 Tunnel。
   • 配置 Tunnel 的公共 hostname，将其指向你正在配置的 Access 应用。通常，你可以在 Tunnel 配置界面中设置 wiki.myteam.cloudflareaccess.com 这个公共 hostname 指向你的内部应用地址 192.168.1.100。
   • 配置完成后，Cloudflare Access 就能通过这个 Tunnel 代理用户请求到你的内部应用了。

6. 点击 Next 并创建应用: 完成以上配置后，点击 Next。你将进入配置策略的步骤，我们将在下一步详细介绍。

通过以上步骤，你就为你的内部 Web 应用配置了 Cloudflare Access。用户现在尝试访问 wiki.myteam.cloudflareaccess.com 时，会被 Cloudflare Access 拦截。

4. 第四步：定义访问策略

仅仅配置了应用和连接了 IdP 是不够的，你还需要定义谁（基于什么条件）可以访问这个应用。这就是访问策略（Access Policies）的作用。策略是 Cloudflare Zero Trust 的核心，它允许你根据用户身份、组、设备、位置等多种条件来精细控制访问权限。

你可以在创建应用时或之后编辑应用来配置策略。

1. 导航到应用的策略配置: 如果你正在创建应用，配置 Tunnel 后点击 Next 就会进入策略配置界面。如果你想编辑现有应用的策略，导航到 Access > Applications，找到你的应用并点击 Edit，然后选择 Policies 选项卡。
2. 添加策略规则: 点击 Add a policy。一个策略由一个或多个规则组成。每条规则包含一个名称、一个行动（Allow, Block, Bypass, Service Auth, Require）和一组条件。
3. 配置策略名称和行动:
   • Policy name: 给策略一个有意义的名称，例如 “Allow Internal Employees”。
   • Action:
     • Allow: 允许满足条件的请求。
     • Block: 阻止满足条件的请求。
     • Bypass: 跳过 Access 认证，直接允许访问（慎用！通常用于公开资源或与其他认证机制结合使用）。
     • Service Auth: 用于机器到机器的认证，非用户访问。
     • Require: 要求满足额外条件（例如，除了 IdP 认证外，还需要满足设备姿态要求）。
   • 对于入门，我们通常从 Allow 和 Block 开始。
4. 添加条件 (Rules): 这是策略规则的核心。你需要指定哪些用户或哪些类型的请求符合这个规则。你可以添加多个条件，并使用逻辑运算符 (AND, OR) 来组合它们。
   • 点击 Add a Rule。
   • 选择一个 Selector（条件类型）：
     • Emails: 基于用户的邮箱地址。
     • Email Lists: 基于预定义的邮箱地址列表。
     • User Groups: 基于 IdP 中的用户组（如果你的 IdP 支持并已同步）。
     • Access Groups: 基于 Cloudflare Zero Trust 中自定义的用户组。
     • IP Ranges: 基于客户端的 IP 地址。
     • Countries: 基于客户端的地理位置。
     • Everyone: 匹配所有用户（通常用于 Block 规则或作为 Bypass 的一部分）。
     • Service Tokens: 用于 Service Auth。
     • Identity Provider: 基于使用的 IdP。
     • Authentication Method: 基于认证方式（如 MFA）。
     • Device Posture: 基于设备的姿态检查结果（需要 WARP 和 Device Posture 配置，稍后介绍）。
     • Certificates: 基于客户端证书。
     • Login Methods: 基于用户使用的登录方法。
   • 选择一个 Operator（操作符）：in (在列表中), not in (不在列表中), == (等于), != (不等于), is (是), is not (不是) 等。
   • 输入或选择一个 Value：具体的值，例如一个邮箱地址 [email protected]，一个组名 Employees，一个 IP 段 192.168.1.0/24，一个国家 US 等。
   • 你可以添加多个条件并选择它们之间的关系（AND 或 OR）。例如，“要求 Email in (group:[email protected]) AND IP Range in (10.10.10.0/24)”。

5. 配置多个规则和策略顺序:

   • 一个策略可以包含多个规则。例如，你可以有一个策略叫 “Allow Internal Employees”，其中包含一个规则 “User Groups in Employees”。
   • 你可以为同一个应用添加多个策略。策略的执行顺序是从上到下。第一个匹配到的策略决定了访问结果。
   • 因此，通常会把更严格的“Allow”或“Block”策略放在前面。例如，你可以设置：
     • 策略 1 (Action: Allow): 条件: User Groups in Administrators (允许管理员访问)
     • 策略 2 (Action: Block): 条件: Countries in China (阻止来自中国的访问，假设你不允许这个)
     • 策略 3 (Action: Allow): 条件: User Groups in Employees (允许所有员工访问)
     • 策略 4 (Action: Block): 条件: Everyone (阻止所有不符合前面规则的人 – 这通常是隐式的，但明确写出有助于理解)
   • 在这种顺序下，如果一个用户是管理员，他/她会匹配策略 1 并被允许，即使他/她来自中国（因为策略 1 在策略 2 之前）。如果一个用户不是管理员但来自中国，他/她会匹配策略 2 并被阻止。如果一个用户是员工且不在中国，他/她会匹配策略 3 并被允许。

6. 保存策略: 配置好所有策略规则和顺序后，点击 Save policy 或 Create application。

现在，只有符合你定义的策略的用户才能通过 Access 访问你的应用。尝试从一个不符合条件的用户或设备访问应用，你应该会看到 Cloudflare Access 的阻止页面。

5. 第五步：部署 Cloudflare WARP 客户端

虽然 Cloudflare Access 可以在不使用 WARP 的情况下保护 Web 应用，但部署 WARP 客户端能为你带来更多能力，尤其是 Gateway 的安全过滤、Device Posture 检查以及安全访问 Private Network 中的非 Web 资源（如文件共享、RDP、SSH 等）。对于希望全面实施零信任的组织，WARP 是一个重要的组成部分。

1. 导航到设备设置: 在 Zero Trust Dashboard 中，导航到 My Team > Devices。
2. 配置设备注册权限: 在 “Device enrollment permissions” 部分，你需要指定哪些用户或组可以注册设备并使用 WARP。
   • 点击 Manage。
   • 点击 Add a rule。
   • 定义谁可以注册。你可以基于邮箱、邮箱列表、用户组等。例如，选择 User Groups in Employees，这将允许所有员工注册他们的设备。
   • 点击 Save。
3. 下载 WARP 客户端: 在 “Downloads” 部分，你会找到不同操作系统的 WARP 客户端下载链接（Windows, macOS, iOS, Android, Linux）。
4. 分发和安装 WARP: 将 WARP 客户端分发给你的用户，并指导他们安装。
5. 用户注册 WARP: 用户安装 WARP 后，打开应用程序。他们会看到一个连接或登录的选项。选择使用“Login with Cloudflare Zero Trust”或类似的选项。
   • 用户需要输入你的 Zero Trust 团队名称（你在第三步设置的那个）。
   • WARP 客户端会将用户重定向到你的 IdP 登录页面（通过 Cloudflare Access）。
   • 用户使用他们的 IdP 凭据登录。
   • 登录成功后，WARP 客户端会注册到你的 Zero Trust 账户下，并显示连接状态。
6. 配置 WARP 模式 (可选): 在 Zero Trust Dashboard 的 Settings > Network > Firewall > WARP Client 部分，你可以配置 WARP 客户端的工作模式。
   • Gateway with DoH: 只通过 Cloudflare Gateway 路由 DNS over HTTPS 流量进行过滤。
   • Gateway with WARP: 所有（或部分）网络流量都通过 Cloudflare Gateway 进行过滤和检查。这是实现全面网络安全过滤和策略执行的标准模式。
   • Proxy: 只通过 Cloudflare 网络代理流量，不强制 Gateway 过滤（通常用于简单的加速或绕过）。
   • Proxy with DoH: 结合代理和 Gateway DoH。
   • 选择适合你需求的模式。对于希望利用 Gateway 功能的组织，Gateway with WARP 是推荐选项。

一旦 WARP 客户端部署并成功注册，用户设备的网络流量就可以通过 Cloudflare Zero Trust 进行检查和管理了。你现在可以开始配置 Gateway 网络策略来过滤恶意流量、阻止不良网站等。

6. 第六步：监控和日志

在实施了零信任策略后，监控和审计是持续安全运营的关键。Cloudflare Zero Trust 提供了详细的日志，让你了解用户访问活动和网络流量。

1. 访问 Access Logs: 在 Zero Trust Dashboard 中，导航到 Logs > Access Logs。这里你可以看到谁尝试访问了哪些受 Access 保护的应用，他们的请求是被允许还是被阻止，使用了哪个身份，以及请求的时间等详细信息。这是排查 Access 策略问题的重要工具。
2. 访问 Gateway Logs: 如果你部署了 WARP 并启用了 Gateway 功能，导航到 Logs > Gateway Logs。这里你可以看到通过 WARP 客户端或 Tunnel 路由的网络流量的详细信息，包括源 IP、目标 IP/域名、协议、端口、执行的 Gateway 策略、以及流量是允许、阻止还是检查了。这是了解用户网络活动和排查 Gateway 策略问题的重要工具。
3. 利用日志进行审计和排查: 定期查看日志，了解用户行为模式，识别异常访问尝试，并帮助排查用户遇到的访问问题（例如，为什么某个用户无法访问某个应用）。

7. 超越基础：进一步探索

完成以上六步，你已经为你的组织奠定了 Cloudflare Zero Trust 的基础。但 Cloudflare Zero Trust 的能力远不止于此。一旦你熟悉了基础功能，可以进一步探索：

• Cloudflare Tunnels: 安全地将你的内部服务暴露给 Cloudflare 网络，无需防火墙入站规则。
• Device Posture: 配置设备策略，检查设备是否符合安全标准（如操作系统版本、防火墙状态、磁盘加密），并将这些检查结果作为 Access 策略的条件。
• Cloudflare Gateway 网络策略: 配置更细粒度的网络策略，例如基于类别的 Web 过滤（阻止成人内容、赌博网站等）、文件类型过滤、病毒扫描、TLS 检查。
• Private Network: 通过 Tunnel 连接整个私有网络，允许 WARP 用户安全访问网络中的所有资源（而不仅仅是单个应用）。
• Browser Isolation: 将有风险的网页在隔离环境中打开，保护用户设备免受恶意网站的侵害。
• CASB (Cloud Access Security Broker): 监控和控制 SaaS 应用的使用。
• DLP (Data Loss Prevention): 防止敏感数据通过 Gateway 或 Access 泄露。
• Identity & Proxy (I&P): 结合身份和网络代理，实现更全面的安全控制。

这些高级功能可以帮助你构建更全面、更强大的零信任安全体系，但对于入门来说，掌握 Access、IdP、Policies 和 WARP 的基本用法是首要任务。

8. 常见问题与故障排除

• 用户无法访问应用 (Access):
  • 检查 Access Logs，看是否有请求记录，以及行动是 Allow 还是 Block。
  • 如果被 Block，检查相应的策略，看用户是否匹配了某个 Block 规则或没有匹配任何 Allow 规则。
  • 检查 IdP 连接是否正常工作（可以尝试在 Settings > Authentication 中测试连接）。
  • 用户是否使用了正确的 Access URL？
  • 如果是自托管应用，检查 Cloudflare Tunnel 是否在线且连接到正确的内部 Destination。
  • 检查内部应用是否正常运行且可以从运行 cloudflared 的服务器访问。
• WARP 客户端无法连接或注册:
  • 检查用户是否有设备注册权限 (My Team > Devices > Device enrollment permissions)。
  • 用户输入的团队名称是否正确？
  • IdP 认证是否成功？尝试让用户在浏览器中直接登录 IdP 查看是否正常。
  • 检查用户设备的网络连接。
  • 查看 WARP 客户端自身的日志（通常在高级设置或诊断信息中）。
• Gateway 策略不生效:
  • 用户设备是否正在运行 WARP 客户端，并且处于 Gateway 模式 (Settings > Network > Firewall > WARP Client)?
  • 检查 Gateway Logs，看流量是否被 Gateway 捕获，以及执行了哪个策略。
  • 检查 Gateway 策略的顺序和条件是否正确。策略也是从上到下依次匹配的。
• IdP 连接问题:
  • 仔细核对 Cloudflare Zero Trust 中配置的信息（ACS URL, Entity ID, 证书）与 IdP 中配置的信息是否完全一致，反之亦然。任何微小的拼写错误、多余的空格都可能导致问题。
  • 检查证书是否正确复制（包括头部和尾部 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----）。
  • 检查 IdP 是否已为 Cloudflare Zero Trust 应用分配了用户或组的访问权限。

9. 入门最佳实践

• 从小处着手: 不要试图一步到位保护所有应用和用户。选择一个非关键的应用或一小部分用户进行试点。
• 先连接 IdP: 这是最基础的步骤，优先完成。
• 理解 Access 策略: 花时间理解策略的执行逻辑（从上到下匹配，Allow/Block/Bypass 的作用），这是正确配置访问控制的关键。
• 使用 Cloudflare Tunnel 保护内部应用: Tunnel 是连接内部应用到 Cloudflare Zero Trust 的最安全和推荐方式。
• 逐步推广 WARP: 部署 WARP 客户端可以逐步推开，先给一部分用户或部门使用，再扩大范围。
• 教育用户: 告知用户为什么要使用 Cloudflare Zero Trust 和 WARP，以及如何使用它们，这将有助于提高用户接受度。
• 持续监控日志: 日志是了解系统运行状况、发现问题和进行安全审计的宝贵资源。
• 利用免费层级进行测试: Cloudflare Zero Trust 的免费层级功能已经非常强大，足以让你进行详细的测试和概念验证。

10. 总结

恭喜你！通过阅读本教程，你已经了解了 Cloudflare Zero Trust 的核心概念和入门步骤。从访问控制面板、设置团队名称，到连接身份提供商、保护你的第一个应用、定义访问策略，再到部署 WARP 客户端和查看日志，你已经掌握了开始使用这个平台的关键技能。

Cloudflare Zero Trust 代表了未来网络安全的发展方向。它帮助组织从传统的基于网络的信任模型转向基于身份和上下文的持续验证模型，无论用户、设备或应用位于何处。通过利用 Cloudflare 的全球网络和强大的功能集，你不仅可以提高组织的安全性态势，还能简化用户的访问体验，并为远程工作和云转型提供坚实的基础。

入门只是开始，Cloudflare Zero Trust 平台还有许多强大的功能等待你去探索。随着你对平台越来越熟悉，你可以逐步引入更高级的策略、连接更多应用、利用设备姿态检查，并全面部署 Gateway 功能，构建一个真正强大的零信任安全环境。

现在，就登录你的 Cloudflare 账户，开始你的 Cloudflare Zero Trust 之旅吧！

---