员工上网策略:把风险网站和带宽浪费挡在门外
连锁门店最常见的坑是“同一条宽带,收银、监控、员工刷视频挤在一起”。在 Cloudflare Zero Trust 里,用Gateway(DNS/HTTP)策略就能把规则一次下发到所有门店。
- DNS 过滤:拦截博彩、钓鱼、恶意下载站点;把“新注册域名”设为高风险直接阻断。
- 应用分流:工作时段(比如 10:00-22:00)限制短视频/直播类域名;允许培训站点、工单系统。
- 门店例子:50 家门店、300 台设备,上线后把“未知恶意域名”日均命中从几十次降到个位数,客服被盗号工单明显变少。
做法很简单:在 Zero Trust 控制台里建一个“门店员工”策略组,条件用用户组 + 设备状态,动作选 Block/Allow/Isolate(高风险网页用隔离更稳)。
内网系统免VPN访问:用 Tunnel + Access 把收银/ERP 安全暴露
想让总部或店长在外也能打开门店内网的 ERP、NAS、打印管理?别再让大家装传统 VPN 了。用Cloudflare Tunnel把门店内网服务“拉”到 Cloudflare,上网环境再差也更稳定。
- 门店路由器后面找一台小主机(迷你主机/旧电脑都行)跑 cloudflared,把 192.168.x.x 的 ERP/收银后台映射成子域名。
- 在 Access 里给这个子域名加登录门禁:只允许“总部IT/店长组”,再叠加 MFA。
- 更细一点:同一套 ERP,店长只看报表页面,总部财务能进结算页面,用路径级策略拆开。
如果你更偏“内网直连体验”,可以配合 WARP:员工连上 WARP 后访问 192.168.1.3 这种内网地址,也会被路由进 Tunnel(很多 2026 年的实操视频都在讲这个思路)。
设备准入与日志审计:谁用什么设备访问了什么,一眼能追
门店最大风险不是外部黑客,是“随便一台个人电脑也能进系统”。把设备准入(Device posture)加进策略里,能立刻收紧口子。
- 准入条件建议固定三条:安装 WARP、系统盘加密/有密码、杀软或防护状态合规;不合规就只允许上网,不允许进 ERP 域名。
- 审计建议开三类日志:Gateway(上网拦截/放行)、Access(谁登录了哪个应用)、Tunnel(回源与连接状态)。
- 需要留痕更久就用 Logpush 把日志推到对象存储或 SIEM,做门店维度报表:门店A本周拦截恶意域名次数、ERP异常登录次数。
可执行建议:用 1 天跑通最小闭环
把范围缩小更容易成功:选 1 家门店试点,目标就三件事。
- 上网策略:开 DNS 过滤 + 新注册域名拦截,先别做太复杂的分时段,避免误伤。
- 内网免VPN:挑 1 个低风险系统(比如报表只读)做 Tunnel + Access,强制 MFA。
- 准入与审计:要求试点门店 10 台设备装 WARP,策略只放行“合规设备访问 ERP 域名”,同时把 Access/Gateway 日志开起来,每天看 5 分钟告警与命中。
这三步跑顺了,再把策略复制到其他门店,扩展到收银、库存、监控后台,节奏会非常稳。
