简单了解 Cloudflare
TOC
我很喜欢Cloudflare,接下来让我了解一下他们的产品吧!
我们对cf的印象是,CDN,安全(比如防DDOS)。 但是实际上,现在的产品逐渐变得全面综合,而且也开始布局AI。
目前,对我来说,zero trust 和 workers,比较impressive
Cloudflare 产品列表
| Category | Product | Intro |
|---|---|---|
| SASE & Workspace Security | Zero Trust Network Access | 通过在用户设备上安装代理或通过无客户端的浏览器访问,对每一次访问应用的请求进行身份验证和设备状态检查,从而替代传统 VPN。 |
| Secure Web Gateway | 作为企业流量的转发代理,通过解密 TLS 流量来检查 URL、文件和内容,并依据策略拦截恶意软件、钓鱼网站和不当内容。 | |
| Remote Browser Isolation | 将用户的网页浏览活动在云端的沙箱环境中执行,仅将安全的渲染结果像素流传输到用户设备,从而隔离所有潜在的 Web 威胁。 | |
| Cloud Access Security Broker | 通过 API 连接到企业的 SaaS 应用(如 Office 365, Salesforce),扫描数据泄露、配置错误和权限滥用等安全风险。 | |
| Email Security | 将域名的 MX 记录指向 Cloudflare,使其成为邮件网关。通过扫描入站邮件的链接、附件、发件人信誉(SPF/DKIM/DMARC),并利用威胁情报来阻止钓鱼和恶意软件。 | |
| Data Loss Prevention | 在网络边缘通过内容扫描和模式匹配(如正则表达式)来检查出站流量(Web, API),识别并阻止信用卡号、个人身份信息(PII)等敏感数据的传输。 | |
| Magic WAN | 利用 Cloudflare 的全球网络作为企业 WAN 的骨干。通过 GRE 隧道、IPsec 或 CNI 将分支机构和数据中心连接到最近的 Cloudflare 节点,实现统一管理和安全。 | |
| Magic Firewall | 在 Cloudflare 网络边缘部署的一个状态化网络防火墙。它允许用户基于 IP、端口、协议等 L3/4 信息创建规则,在流量到达源网络前进行过滤。 | |
| Log Explorer | 一个集中的日志查询和分析界面。它从 Cloudflare 平台上的各个服务(如 WAF, ZTNA)收集日志数据,并提供统一的搜索和可视化功能。 | |
| Application Security | Firewall for AI | 一个专门为保护LLM应用设计的 WAF。它通过分析请求内容来检测和阻止提示词注入、数据泄露等针对 AI 的特定攻击。 |
| DDoS Protection | 在网络边缘自动检测并缓解 L3/4(如 SYN flood)和 L7(HTTP flood)的 DDoS 攻击。利用其网络容量吸收攻击流量,确保源站可用。 | |
| DDoS Web Protection | 始终在线的 L7 DDoS 缓解服务,专门针对 Web 流量,通过分析 HTTP/S 请求模式来识别和拦截攻击流量。 | |
| Web Application Firewall | 在 L7 检查 HTTP/S 请求,通过应用托管规则集(如 OWASP Top 10)和自定义规则来识别并阻止 SQL 注入、跨站脚本(XSS)等攻击。 | |
| API Shield | 通过上传 API 规范(如 OpenAPI),自动发现 API 端点并强制执行 schema 验证,同时应用 mTLS 客户端证书来确保只有合法的客户端可以访问 API。 | |
| Bot Management | 综合运用设备指纹、行为分析、机器学习和 IP 信誉评分等技术,为每个请求打分,以区分恶意机器人、有益机器人和真人用户。 | |
| Page Shield | 通过监控网站加载的 JavaScript 脚本,检测其行为和来源。当发现恶意脚本(如窃取表单数据的代码)或脚本被篡改时发出警报。 | |
| Rate Limiting | 在 Cloudflare 边缘统计来自特定客户端(基于 IP、Header 等)的请求频率。当请求速率超过预设阈值时,暂时阻止或挑战该客户端。 | |
| SSL / TLS Encryption | 作为反向代理,终结客户端与 Cloudflare 之间的 TLS 连接,并可以与源服务器建立新的加密连接,实现端到端的流量加密。 | |
| SSL / TLS for SaaS | 允许 SaaS 提供商为其客户的自定义域名自动签发和管理 SSL/TLS 证书,无需客户手动操作私钥和证书。 | |
| Advanced Certificate Manager | 提供更高级的 TLS 证书控制功能,例如上传自定义证书、控制最低 TLS 版本、选择特定的密码套件等。 | |
| Keyless SSL | Cloudflare 处理 TLS 握手,但在需要使用私钥解密时,会将数据安全地发送到客户控制的密钥服务器进行操作,私钥永不离开客户环境。 | |
| Security Center | 一个安全态势管理仪表板。它主动扫描用户的资产(域名、IP),识别潜在的漏洞和安全风险,并提供一键式的缓解建议。 | |
| Threat Intelligence | 汇总并分析 Cloudflare 全球网络上观察到的攻击数据,形成一个威胁情报数据库,用于增强 WAF、机器人管理等产品的检测能力。 | |
| Turnstile | 一种无形的、保护隐私的 CAPTCHA 替代方案。它通过在浏览器中运行一系列非侵入的 challenge 来验证访问者是否为真人,而无需用户进行交互。 | |
| Application Performance | CDN | 将网站的静态资源缓存到全球分布的边缘服务器上。请求资源从地理位置最近的服务器响应,从而减少延迟。 |
| DNS | 一个全球分布的权威 DNS 服务。利用 Anycast 网络将 DNS 查询路由到最近的数据中心进行解析。 | |
| Argo Smart Routing | 实时监控 Cloudflare 网络及互联网主干路径的延迟和丢包率。为动态内容请求智能选择一条绕过拥堵的最优网络路径返回源站。 | |
| Load Balancing | 在 DNS层面根据服务器的地理位置、延迟或健康状况,将流量智能地分配到多个源服务器,并通过主动健康检查来移除故障服务器。 | |
| Cache Reserve | 当内容在边缘节点的内存缓存(RAM/SSD)中未命中时,会从 R2 对象存储中读取,而不是直接回源。这极大地扩展了可缓存内容的总量。 | |
| Video Stream Delivery | 专门针对 HLS/DASH 等视频流格式进行优化缓存,确保视频切片的高命中率,从而实现流畅的视频播放体验。 | |
| Web Optimization | 在边缘自动对内容进行优化,例如压缩图片(Polish)、Auto Minify JS/CSS 文件,以减小页面大小,加快加载速度。 | |
| Waiting Room | 当网站的并发请求数超过阈值时,将后续用户置于一个虚拟队列中,并按顺序放行,以防止突发流量冲垮源服务器。 | |
| China Network | 与中国大陆的合作伙伴共同运营位于中国境内的网络节点,为在中国境内提供服务的网站提供符合法规的内容加速和安全服务。 | |
| Web3 Gateways | 提供 HTTP 接口,作为访问去中心化存储网络(如 IPFS)和区块链(如以太坊)的桥梁,用户无需运行本地节点即可与之交互。 | |
| Zaraz | 将第三方脚本(如 Google Analytics)的加载和执行从用户的浏览器转移到 Cloudflare 的边缘网络(通过 Workers),从而减少浏览器主线程的负担,提升页面性能。 | |
| Network Security & Performance | Cloudflare One | 一个 SASE(安全访问服务边缘)平台,它将网络即服务(NaaS)功能(如 Magic WAN)和零信任安全服务(如 SWG, ZTNA)集成在一个统一的平台上。 |
| Magic WAN | 一种 Network aaS,通过 Cloudflare 全球网络替代传统的 MPLS 和硬件设备,简化企业广域网的连接、管理和安全。 | |
| Magic Transit | 一项网络层的 DDoS 防护服务。通过 BGP 宣告客户的 IP 地址段,将客户的全部互联网流量牵引至 Cloudflare 网络进行清洗,然后将干净的流量通过隧道送回。 | |
| Magic Firewall | 一个部署在 Cloudflare 边缘的、由云端统一管理的网络层防火墙即服务(FWaaS),用于在整个企业网络上实施一致的安全策略。 | |
| Network Interconnect | 通过物理光纤或虚拟连接(如 Equinix Fabric),在数据中心层面将客户的网络与 Cloudflare 的网络直接连接,以获得更高性能和可靠性。 | |
| Argo Smart Routing | 应用于网络层(TCP/IP),为通过 Magic Transit 或 Magic WAN 的流量在 Cloudflare 的全球骨干网上智能选择最佳传输路径。 | |
| Spectrum | Cloudflare 的反向代理服务,但工作在 L4(TCP/UDP)而非 L7。它可以保护和加速任何非 HTTP/S 的应用,如游戏服务器、数据库连接等。 | |
| Magic Network Monitoring | 基于从客户路由器采集的网络流数据(如 NetFlow, sFlow),提供网络流量的可视化分析、异常检测和 DDoS 攻击告警。 | |
| Developer Platform | Compute - Workers | 一个 Serverless 计算平台,它使用 V8 Isolates (而非容器或虚拟机),在 Cloudflare 全球边缘节点上运行 JS 和 WebAssembly 代码,实现极低的延迟。 |
| Compute - Durable Objects | 为 Workers 提供的一种强一致性的存储 API。它保证一个 Durable Object 的实例在全局只存在一个,用于需要事务性状态协调的场景(如协作应用)。 | |
| Compute - Observability | 提供了日志、指标和追踪功能,允许开发者实时监控和调试他们在 Workers 上运行的应用程序的性能和错误。 | |
| Compute - Workers for Platforms | 允许 SaaS 平台在其自己的产品上,安全地运行其最终用户的自定义代码(Workers 脚本),实现平台的可编程性。 | |
| Compute - Workflows | 一个基于 Workers 的编排服务,用于构建长时间运行、有状态的、可靠的应用程序。它会自动处理状态持久化和失败重试。 | |
| Compute - Pages | 一个为 Jamstack 架构设计的托管平台。它通过与 Git 集成,自动构建和部署前端应用,并将其分发到 Cloudflare 的边缘网络。 | |
| Media - Images | 一个完整的图像处理管道。开发者可以通过 URL 参数实时对存储的图像进行缩放、裁剪、格式转换和优化,并在边缘交付。 | |
| Media - Stream | 提供从视频上传、存储、编码(转码为多种分辨率)到通过全球 CDN 分发播放的一站式视频点播和直播解决方案。 | |
| Media - Realtime | 提供用于构建实时音视频通信应用(如视频会议)的底层网络基础设施和 API,处理复杂的 WebRTC 信令和网络穿透。 | |
| AI - AI Gateway | 作为用户应用和多个 AI 模型提供商(如 OpenAI)之间的中间层,提供统一的 API 端点,并实现缓存、速率限制、重试和分析功能。 | |
| AI - Vectorize | 一个全球分布式的矢量数据库。它专为存储和查询 AI 生成的向量嵌入而设计,通过近似最近邻(ANN)搜索实现快速的语义搜索。 | |
| AI - Workers AI | 一个 Serverless 的 GPU 加速平台,允许开发者通过 API 调用,在 Cloudflare 网络上直接运行预训练好的流行 AI 模型,用于推理任务。 | |
| Storage & Databases - D1 | 一个基于 SQLite 构建的 Serverless SQL 关系型数据库。它将数据存储在 Cloudflare 边缘,旨在提供低延迟的数据库查询。 | |
| Storage & Databases - Hyperdrive | 一个数据库连接池服务,它将到现有区域性数据库的连接在 Cloudflare 边缘进行缓存和复用,从而加速 Serverless 应用的数据库访问。 | |
| Storage & Databases - R2 | 一个与 S3 API 兼容的对象存储服务,其主要技术特点是免除了数据出口(egress)的带宽费用,极大地降低了大规模数据分发的成本。 | |
| Storage & Databases - Workers KV | 一个全球分布的、最终一致性的键值(Key-Value)存储。它非常适合存储需要快速读取的配置数据或元数据。 | |
| Storage & Databases - Queues | 一个消息队列服务,允许开发者将任务异步地发送到队列中,由 Workers 在后台进行处理,从而提高应用的响应能力和可靠性。 |