利用Cloudflare Zero Trust (Warp) 实现跨境组网｜分流策略调整

为了实现跨境组建局域网，本文尝试尝试利用Cloudflare公司提供的零信任网络作为组建内网的平台。

一，准备材料

• 正常的Cloudflare账号
• 外币信用卡
• 自有域名邮箱（可选）

二，操作步骤

首先在Cloudflare官网登录进入自己的账号，并在控制面板左侧菜单里找到Zero Trust功能。

在进入到Zero Trust板块后，平台会要求输入团队信息、选择的套餐，在这里我们选择Free Plan免费版即可（如果有高需求可以按页面套餐购买）。

团队名称在后续连接过程中需要用到，请注意命名。

在选择套餐并创建好团队后，我们就已经成功的创建好了一个带有默认规则的Zero Trust网域。

但目前我们还无法正常通过客户端去连接到我们的Zero Trust网域，在这里我们访问Settings中的Warp Client板块进行配置。

进入Warp Client板块后，我们进入Device Enrollment的Manage页面，并点击Add Policy以添加通过客户端登录的规则。

在这里首先你可以自定义一个规则名，并在Include里面通过Selector添加你希望哪些用户可以登录进入到你的Zero Trust网域。

举例说明：我在图片中所创建的规则就是所有邮箱地址结尾为asterx.uk的用户均可访问此Zero Trust网域，比如abc@asterx.uk这个邮箱就可以访问

如果你想自己用的话，就可以将Selector调整为Email is什么的，然后输入你自己的邮箱。

到这里，如果只想通过Zero Trust网域跨越GFW，那么Cloudflare层面的配置就已经配置好了，

三，允许内网互通（可选）

如果你需要搭建一个所有连接到此网域的客户端可以互通的跨境内网，那么请按照下列步骤继续配置。

首先，你需要将Gateway的配置调整为允许转发TCP, UDP, ICMP，首先你需要进入到Settings中的Network板块，并在Network板块中将Proxy部分中的选项打开。（如图配置）

在配置完转发后，你需要将连接策略路由进行修改，首先进入到Warp Client板块中。

进入板块后，需要对默认Policy进行修改，或者你可以创建一个新的规则。

进入到修改Policy后，找到Split Tunnels并进入Manage。

3.1 分流配置

在这里你就可以配置Zero Trust网域的分流规则，Exclude模式就是不会代理列表中的IP或域名，可以自行配置。

那么在这里我们把100.64.0.0/10的那一条删除掉，并保存，这样我们就已经配置好内网互通了。

四，客户端使用

所有用户均可以直接访问https://1.1.1.1/下载对应客户端，IOS用户需要登录非中国区App Store账号才能下载此客户端。

下载客户端后，首页会显示为Warp，在中国大陆直接连接Warp的话，99%的概率是无法直接连接的。

我们需要进入到Warp的设置界面，并找到账户菜单，点击登入Cloudflare Zero Trust，并输入在配置Cloudflare时所输入的小组名。

点击登录后Warp会调起浏览器并进入登录页面，在这个页面你会被要求输入邮箱地址并进行认证，在这里你需要按照刚才在配置过程中你所配置的邮箱地址进行登录。

登录成功后浏览器会回调Warp软件，你的Warp界面就会从Warp字样变为Zero Trust，此时点击连接即可正常访问到Zero Trust网域，且网络出口会变为距离你最近的Cloudflare边缘节点。

五，总结

Cloudflare提供的Zero Trust网域可以为跨境企业与在外员工提供安全的网络环境，同时Zero Trust还可以利用Cloudflare网络搭建Tunnel，可操作性极高。可用于某些目的。