隧道搭好了，但你敢直接甩链接给吗？

有些服务你是想公开给所有人，但是有些服务你只想在小范围内分享，但是没有管控，你也无法控制访问人员。

现在，你可以放心分享了。

上一篇，Cloudflare Tunnel：我的NAS内网免公网IP穿透终极方案，我手把手教你用Cloudflare Tunnel，在没有公网IP的情况下，把家里的NAS服务优雅地发布到公网。

今天这篇续集，就解决这个“最后一公里”

给你的隧道装上「智能门禁」，实现安全、可控、可审计的分享。

今天要介绍的是Cloudflare的Zero Trust（零信任）平台，能免费帮你解决这一切。

​

优点：

✅个人用户免费使用核心功能

✅核心理念：“从不信任，永远验证”

✅三步设置，就能让分享既安心又体面

心动了吗？那我们一起给你的NAS装上「智能门禁」

假设你已通过Cloudflare Tunnel将NAS暴露在`nas.yourdomain.com`

第一步：进入Zero Trust控制台

1.登录[Cloudflare仪表盘](https://dash.cloudflare.com)

2.左侧菜单→Zero Trust

3.进入Access→Applications→Add an application→选择Self-hosted

第二步：绑定你的隧道服务

-应用名称：比如`公众号展示专用`

-域名：填写你的隧道地址（如`wxaudio.1725083xyz`）

-会话时长：看你的需求，我随便选了一个30分钟

点击Next，进入最关键的——访问策略配置。

第三步：按场景设置访问策略（核心！）

场景一：仅限本人（最严格）

>适合：管理后台、财务、敏感文档

-允许条件：`Need→Emails`→输入你的个人邮箱

-二次验证：勾选`One-time PIN`（每次登录都发验证码）

✅效果：即使密码泄露，没你邮箱也进不去

场景二：安全分享给家人/小团队

>适合：家庭相册、电影库、共享文件夹

-规则1：`Include→Emails`→添加家人邮箱（如`test@qq.com`）

-规则2（+Add another rule）：`Include→Country`→选`China`

-验证方式：可选`One-time PIN`，或对指定邮箱后缀免验证

✅效果：必须是家人+必须在国内→海外深夜登录？直接拦截！

策略设定好，保存，返回到应用程序页面，如果没有自动更新刷新一下，应该可以看到策略下出现了刚刚创建的新策略。

下一页，直接默认设置，保存后会看到如下的提示。

wxaudio.172508.xyz

已经保护好了。

阅读原文：原文链接