Cloudflare 部署完整教程｜适合企业用户

在企业数字化转型过程中，网站、API、SaaS 平台、内部系统以及全球业务访问的稳定性、安全性和性能，已经成为 IT 架构中不可忽视的核心问题。Cloudflare 作为全球领先的边缘网络与安全服务平台，能够为企业提供 DNS 托管、CDN 加速、DDoS 防护、Web 应用防火墙、Zero Trust、负载均衡、SSL/TLS、Bot 管理、日志分析等一系列能力。

对于企业用户而言，Cloudflare 并不仅仅是一个“网站加速工具”，而是可以作为企业互联网入口、安全防护层和全球边缘网络平台来使用。本文将从企业部署视角出发，系统介绍 Cloudflare 的部署流程、配置方法、安全策略和最佳实践，帮助企业 IT、运维、安全和架构团队更稳妥地完成上线。

一、Cloudflare 适合企业解决哪些问题？

在正式部署之前，企业需要明确 Cloudflare 在整体架构中的定位。常见使用场景包括：

1. DNS 托管与域名解析管理

Cloudflare 提供高性能 Anycast DNS 服务，能够提升全球解析速度，并降低单点 DNS 故障风险。企业可以将域名 DNS 迁移到 Cloudflare，由 Cloudflare 统一管理 A、AAAA、CNAME、MX、TXT、SRV 等记录。

2. 网站与静态资源加速

通过 Cloudflare CDN，企业网站的图片、CSS、JavaScript、视频片段等静态资源可以被缓存到全球边缘节点，减少源站压力，提高全球访问速度。

3. DDoS 与恶意流量防护

Cloudflare 能够在边缘层吸收大规模 DDoS 攻击，避免攻击流量直接打到企业源站。对于金融、电商、游戏、SaaS 等行业，这一点尤其重要。

4. Web 应用安全防护

Cloudflare WAF 可以抵御常见 Web 攻击，例如 SQL 注入、XSS、路径穿越、恶意扫描、漏洞利用等。企业还可以根据业务特征自定义安全规则。

5. API 安全与访问控制

对于开放 API 或内部 API 网关，Cloudflare 可以提供速率限制、JWT 校验、mTLS、Bot 管理、DDoS 防护等安全能力。

6. 企业 Zero Trust 安全访问

Cloudflare Zero Trust 可以替代传统 VPN，为企业内部应用、管理后台、开发环境提供基于身份的访问控制，实现更细粒度、更安全的远程访问。

二、部署前准备工作

企业部署 Cloudflare 前，建议先完成以下准备工作，避免上线过程中出现解析中断、证书异常或业务访问失败。

1. 梳理域名与业务资产

首先需要梳理所有需要接入 Cloudflare 的域名和子域名，例如：

建议企业建立一份完整的域名资产清单，记录每个域名的源站 IP、服务端口、证书状态、访问方式、业务负责人和风险等级。

2. 确认现有 DNS 记录

在迁移 DNS 前，务必导出现有 DNS 记录。常见记录包括：

• A 记录
• AAAA 记录
• CNAME 记录
• MX 记录
• TXT 记录
• SPF、DKIM、DMARC 邮件认证记录
• 企业验证类 TXT 记录
• 第三方 SaaS 平台绑定记录

特别需要注意的是，邮件相关记录不要错误开启代理，否则可能导致邮件收发异常。Cloudflare 的代理功能主要用于 HTTP/HTTPS 流量，不适用于 MX 邮件流量。

3. 明确源站架构

企业需要确认当前源站部署方式：

• 单台服务器
• 多台服务器
• 云负载均衡
• Kubernetes Ingress
• Nginx / Apache 反向代理
• API Gateway
• 对象存储静态站点
• 多云或混合云架构

如果企业已经有负载均衡或 WAF，需要规划 Cloudflare 与现有系统之间的关系，避免重复配置导致访问异常。

4. 制定上线窗口和回滚方案

企业生产环境接入 Cloudflare 应安排变更窗口，并提前制定回滚方案。回滚方案通常包括：

• 保留原 DNS 服务商配置
• 记录原始解析结果
• 降低 DNS TTL
• 准备切回原 Name Server 的流程
• 保留源站直连访问方式
• 准备故障通知和业务公告机制

建议上线前 24 至 48 小时，将旧 DNS 的 TTL 降低到 300 秒，以便变更时更快生效。

三、注册与企业账号规划

1. 创建 Cloudflare 账号

访问 Cloudflare 官网并注册账号。企业用户建议使用公司统一邮箱，例如：

cloudflare-admin@example.com

不要使用个人邮箱作为主账号，避免员工离职后权限交接困难。

2. 选择合适套餐

Cloudflare 提供 Free、Pro、Business、Enterprise 等不同版本。企业用户通常建议选择 Business 或 Enterprise，原因包括：

• 更强大的 WAF 能力
• 更完善的 DDoS 防护
• 更高等级的 SLA
• 更灵活的缓存与规则配置
• 更细粒度的访问控制
• 专业技术支持
• 企业级日志与分析能力

如果企业业务规模较大、对安全合规要求高，或者需要定制化支持，建议选择 Enterprise 版本。

3. 账号权限管理

企业不应多人共用同一个管理员账号。推荐使用 Cloudflare 的成员管理功能，按角色授权：

同时建议开启 MFA 多因素认证，并结合企业身份提供商进行 SSO 登录管理。

四、添加域名并迁移 DNS

1. 添加站点

登录 Cloudflare 控制台后，点击：

Add a site

输入企业域名，例如：

example.com

Cloudflare 会自动扫描当前 DNS 记录。扫描完成后，需要人工逐条核对。

2. 核对 DNS 记录

重点检查以下内容：

• 官网 A/CNAME 是否正确
• API 域名是否正确
• 邮件 MX 记录是否完整
• TXT 验证记录是否遗漏
• CNAME 是否指向正确服务
• 内部系统是否不应公开
• 是否存在废弃解析记录

对于每条 DNS 记录，Cloudflare 会显示一个橙色云朵或灰色云朵。

3. 修改域名 Name Server

Cloudflare 会提供两条 Name Server，例如：

alice.ns.cloudflare.com
bob.ns.cloudflare.com

企业需要前往域名注册商后台，将原有 NS 修改为 Cloudflare 提供的 NS。

修改后，全球 DNS 生效通常需要数分钟到 24 小时，具体取决于注册商和缓存情况。

4. 验证是否接入成功

可以通过以下方式检查：

dig NS example.com
dig A www.example.com
curl -I https://www.example.com

如果 HTTP 响应头中出现类似内容，说明流量已经经过 Cloudflare：

server: cloudflare
cf-ray: xxxxx

五、SSL/TLS 配置

SSL/TLS 是 Cloudflare 部署中的关键环节。配置不当可能导致 HTTPS 无法访问、证书错误或源站安全风险。

1. 选择加密模式

Cloudflare 提供多种 SSL/TLS 模式：

企业生产环境建议使用：

Full (Strict)

2. 源站证书配置

企业可以使用以下证书：

• 公共 CA 签发证书
• Let’s Encrypt 证书
• Cloudflare Origin Certificate

如果源站只允许 Cloudflare 访问，可以使用 Cloudflare Origin Certificate，该证书有效期较长，适合源站与 Cloudflare 之间加密通信。

3. 开启 HTTPS 重定向

建议开启：

• Always Use HTTPS
• Automatic HTTPS Rewrites

这样可以确保用户访问 HTTP 时自动跳转到 HTTPS，减少明文传输风险。

4. 配置 HSTS

对于安全要求较高的企业，可以启用 HSTS，但需要谨慎。开启前应确保所有子域名都支持 HTTPS，否则可能导致部分业务无法访问。

推荐初始配置：

Max Age: 1 month
Include subdomains: 根据实际情况选择
Preload: 谨慎开启

六、缓存与性能优化

Cloudflare 的性能优化能力很强，但企业不能简单地“一键全开”，应根据业务类型配置缓存策略。

1. 默认缓存策略

Cloudflare 默认缓存静态资源，例如：

• 图片
• CSS
• JavaScript
• 字体
• 视频片段

动态页面通常不会被默认缓存。

2. 配置 Cache Rules

企业可以根据路径设置缓存规则。例如：

/static/*
/assets/*
/images/*

建议规则：

• 静态资源缓存时间设置为 7 天至 30 天
• 带版本号的静态资源可缓存更久
• API 接口默认不缓存
• 用户登录页面不缓存
• 支付、订单、后台页面不缓存

3. 开启 Brotli 压缩

建议开启 Brotli 压缩，可减少传输体积，提高访问速度。

4. 图片优化

如果企业使用 Cloudflare 图片优化服务，可以启用：

• Polish
• Mirage
• Image Resizing

这些功能适合电商、媒体、内容平台和图片较多的网站。

5. 使用 Argo Smart Routing

对于跨国业务，Argo Smart Routing 可以优化请求路径，降低延迟。企业如果有全球用户，尤其是欧美、东南亚、中东等多地区访问场景，可以考虑开启。

七、安全防护配置

安全能力是企业部署 Cloudflare 的重点。

1. Web 应用防火墙 WAF

建议开启 Cloudflare Managed Rules，包括：

• Cloudflare Managed Ruleset
• OWASP Core Ruleset
• CMS 专用规则，例如 WordPress、Drupal 等

开启后，需要观察误报情况，再逐步调整规则强度。

2. 自定义防火墙规则

企业可以根据业务需要创建自定义规则。例如：

限制后台访问地区

URI Path contains /admin
AND Country not in China
Action: Block

限制管理后台 IP

Hostname equals admin.example.com
AND IP not in 企业办公出口IP
Action: Block

拦截异常 User-Agent

User-Agent contains suspicious-bot
Action: Managed Challenge

3. DDoS 防护

Cloudflare 默认提供 DDoS 防护。企业还可以根据业务情况启用：

• HTTP DDoS Managed Rules
• Network-layer DDoS Protection
• Rate Limiting
• Under Attack Mode

当遭遇攻击时，可以临时开启：

I'm Under Attack Mode

但该模式可能影响正常用户体验，因此不建议长期启用。

4. Rate Limiting 速率限制

对登录接口、短信接口、搜索接口、API 接口建议配置速率限制。例如：

/api/login
超过 5 分钟 20 次请求
执行 Managed Challenge 或 Block

这样可以降低暴力破解、撞库、短信轰炸和接口滥用风险。

5. Bot 管理

对于电商、票务、活动报名、内容平台等行业，恶意爬虫和自动化脚本可能造成严重影响。企业可以使用 Cloudflare Bot Management 识别自动化流量，并根据评分执行拦截、挑战或放行。

八、源站安全加固

很多企业部署 Cloudflare 后会忽视源站安全，这是非常危险的。如果攻击者绕过 Cloudflare 直接访问源站 IP，仍然可能造成攻击风险。

1. 限制源站只允许 Cloudflare IP 访问

企业应在源站防火墙、安全组或负载均衡上限制访问来源，只允许 Cloudflare 官方 IP 段访问 HTTP/HTTPS 端口。

常见配置位置包括：

• 云服务器安全组
• 防火墙策略
• Nginx allow/deny
• Kubernetes Ingress 白名单
• 云负载均衡访问控制

Cloudflare IP 段需要定期同步，官方会公布最新列表。

2. 隐藏源站 IP

避免源站 IP 泄露的方法包括：

• 不在 DNS 中暴露源站 A 记录
• 不使用源站 IP 发送邮件
• 避免历史解析记录泄露
• 使用独立邮件服务器
• 对管理后台启用访问控制
• 将对象存储、自建服务等入口统一隐藏到 Cloudflare 后方

3. 使用 Authenticated Origin Pulls

Cloudflare 支持 Authenticated Origin Pulls，用于验证请求确实来自 Cloudflare。源站可以校验客户端证书，防止伪造请求。

4. 源站日志与真实 IP

接入 Cloudflare 后，源站看到的访问 IP 通常是 Cloudflare 节点 IP，而不是用户真实 IP。需要在源站配置真实 IP 还原。

Nginx 示例：

real_ip_header CF-Connecting-IP;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;

实际部署时应使用 Cloudflare 官方完整 IP 列表。

九、Cloudflare Zero Trust 部署建议

对于企业内部系统，Cloudflare Zero Trust 是非常重要的能力。它可以帮助企业减少 VPN 依赖，实现基于身份、设备和策略的访问控制。

1. 接入身份提供商

Cloudflare Zero Trust 支持多种身份提供商，例如：

• Azure AD
• Google Workspace
• Okta
• OneLogin
• GitHub
• 企业自建 SAML / OIDC

企业应优先接入统一身份系统，实现员工身份集中管理。

2. 保护内部应用

可以将以下系统接入 Zero Trust：

• Jenkins
• GitLab
• Grafana
• Kibana
• Jira
• Confluence
• 管理后台
• 内部 API
• 数据库管理工具

访问这些系统前，用户需要通过企业身份认证，并满足策略要求。

3. 配置访问策略

常见策略包括：

• 仅允许公司邮箱域名访问
• 仅允许特定用户组访问
• 要求 MFA
• 限制国家或地区
• 限制设备合规状态
• 限制访问时间
• 对高风险应用要求二次认证

4. 使用 Cloudflare Tunnel

Cloudflare Tunnel 可以让企业内部服务无需暴露公网 IP，也能通过 Cloudflare 安全访问。其核心优势包括：

• 不需要开放入站端口
• 降低源站暴露面
• 适合内网系统
• 易于结合 Zero Trust
• 支持 Kubernetes、Docker、Linux 服务

典型部署流程：

cloudflared tunnel create internal-app
cloudflared tunnel route dns internal-app app.example.com
cloudflared tunnel run internal-app

生产环境建议将 cloudflared 作为系统服务运行，并配置高可用副本。

十、日志、监控与审计

企业部署 Cloudflare 后，应建立持续监控机制，而不是上线后不再关注。

1. 查看 Analytics

Cloudflare 提供多维度分析，包括：

• 请求量
• 带宽
• 缓存命中率
• 威胁拦截数量
• 访问地区
• HTTP 状态码
• DNS 查询量
• WAF 事件

2. 配置 Logpush

企业版可使用 Logpush 将日志推送到外部平台，例如：

• AWS S3
• Google Cloud Storage
• Azure Blob
• Splunk
• Datadog
• Elasticsearch
• SIEM 平台

日志可用于安全审计、攻击溯源、性能分析和合规留存。

3. 告警策略

建议配置以下告警：

• 5xx 错误率升高
• WAF 拦截数量异常增加
• 某地区请求量突增
• 缓存命中率异常下降
• DNS 记录被修改
• 管理员登录异常
• DDoS 攻击触发

十一、上线验证清单

正式上线前，建议按照以下清单逐项确认。

DNS 检查

• [ ] 所有 DNS 记录已核对
• [ ] MX、TXT、SPF、DKIM、DMARC 未遗漏
• [ ] 邮件相关记录未开启代理
• [ ] 旧 DNS TTL 已降低
• [ ] Name Server 已正确修改

HTTPS 检查

• [ ] SSL 模式为 Full Strict
• [ ] 源站证书有效
• [ ] HTTP 自动跳转 HTTPS
• [ ] HSTS 配置经过评估
• [ ] 无混合内容问题

业务检查

• [ ] 官网可正常访问
• [ ] API 返回正常
• [ ] 登录、注册、支付流程正常
• [ ] 后台管理系统可访问
• [ ] 静态资源加载正常
• [ ] 移动端与海外访问正常

安全检查

• [ ] WAF 已启用
• [ ] 后台访问已限制
• [ ] Rate Limiting 已配置
• [ ] 源站只允许 Cloudflare IP 访问
• [ ] 真实 IP 已正确还原
• [ ] 管理员账号已开启 MFA

监控检查

• [ ] Analytics 可查看
• [ ] 日志推送已配置
• [ ] 告警规则已创建
• [ ] 回滚方案已准备

十二、常见问题与解决方案

1. 接入后网站打不开

常见原因包括：

• DNS 记录配置错误
• 源站防火墙拦截 Cloudflare IP
• SSL 模式选择错误
• 源站证书过期
• Nginx 虚拟主机配置错误

建议先使用 curl -I 检查响应头，再检查 Cloudflare 控制台中的错误代码。

2. 出现 521、522、525 错误

常见含义如下：

处理方向：

• 检查源站服务是否正常
• 检查防火墙和安全组
• 检查证书链是否完整
• 检查 Cloudflare SSL 模式
• 检查源站端口是否开放

3. 用户真实 IP 丢失

需要在源站配置 CF-Connecting-IP 作为真实用户 IP，同时信任 Cloudflare IP 段。

4. 缓存导致页面不更新

可以通过以下方式解决：

• 清理缓存 Purge Cache
• 为动态页面设置 Bypass Cache
• 静态资源使用版本号
• 合理配置 Cache Rules

5. WAF 误拦截正常请求

建议查看 Security Events，找到触发的具体规则，然后根据情况：

• 调低规则敏感度
• 添加例外规则
• 对可信路径跳过部分检查
• 仅对特定接口放宽规则

十三、企业最佳实践总结

企业部署 Cloudflare，建议遵循以下原则：

1. 先梳理资产，再接入平台
   不要盲目迁移 DNS，必须先明确域名、源站、业务负责人和风险等级。

2. 生产环境使用 Full Strict
   HTTPS 配置必须保证端到端加密，避免使用 Flexible 模式。

3. 源站必须加固
   接入 Cloudflare 不代表源站绝对安全，必须限制源站仅允许 Cloudflare IP 访问。

4. 安全策略分阶段上线
   WAF、Bot、防火墙规则建议先观察，再逐步拦截，避免误伤业务。

5. 缓存策略要区分静态和动态
   静态资源大胆缓存，动态页面谨慎缓存，登录、订单、支付页面通常不应缓存。

6. 内部系统优先使用 Zero Trust
   管理后台、运维工具、开发平台不建议直接暴露公网，应通过 Zero Trust 保护。

7. 建立日志与告警机制
   Cloudflare 是企业边缘入口，相关日志应接入 SIEM 或监控系统，便于审计和溯源。

8. 保留回滚方案
   DNS 迁移、SSL 变更、安全策略上线都应具备回滚路径。

结语

Cloudflare 对企业而言，不只是 CDN，也不只是 DNS，而是一套覆盖性能、安全、访问控制和边缘网络的综合平台。合理部署 Cloudflare，可以显著提升企业网站和 API 的全球访问体验，降低源站压力，增强 DDoS 与 Web 攻击防护能力，并为企业内部系统提供更现代化的 Zero Trust 访问模式。

但企业部署 Cloudflare 也需要谨慎规划。DNS 迁移、SSL/TLS、WAF、缓存、源站安全、日志审计等环节都可能影响生产业务。最佳做法是从低风险域名开始试点，逐步扩展到核心业务，并在每个阶段进行充分验证。

只要按照本文的流程进行规划、部署、验证和优化，企业就可以更加安全、稳定、高效地将 Cloudflare 融入现有 IT 架构，为业务增长和全球化访问提供坚实的边缘基础设施支持。