前提条件#

你的网站域名已成功托管到Cloudflare，已开通Zero Trust（免费套餐即可使用核心功能）。

详细设置步骤#

1. 登录Cloudflare控制台 https://dash.cloudflare.com/，进入你要保护的网站域名站点。
2. 进入Zero Trust管理页：左侧导航栏点击 Zero Trust，进入Zero Trust专属控制台。
3. 创建受保护的网站应用：
   • 左侧菜单选择 Access → Applications；
   • 点击 Create an application，选择 Self-hosted（自托管） 类型。
4. 配置应用基础信息：
   • 填写自定义应用名称（如“官网访问控制”）；
   • Session duration：设置会话有效期（一次验证后，多久内无需重复验证）；
   • Public hostname：填写要保护的网站域名（必须是已托管在Cloudflare的域名，可填根域名/子域名，路径填*可保护全站）；
   • 其余保持默认，点击 Next。
5. 配置核心邮箱访问策略：
   • 填写自定义策略名称（如“允许指定邮箱访问”）；
   • Action 选项，选择 Allow（允许）；
   • 规则配置（核心）：在 Include 栏，选择器 Selector 选择 Emails，在 Value 处输入你允许访问的目标邮箱地址（可添加多个，一行一个）；
     • 补充：若要允许整个企业邮箱域名的用户访问，选择器选 Emails ending in，Value处填写邮箱域名（如yourcompany.com）；
   • 可选配置：可额外添加MFA多因素认证、IP白名单、国家/地区限制等安全规则；
   • 点击 Next。
6. 配置登录验证方式：
   • 默认开启 One-time PIN（一次性验证码），无需额外配置身份提供商，即可实现邮箱验证码登录，完全匹配邮箱访问的需求；
   • 点击 Add application 完成创建。
7. 效果测试： 访问你配置的受保护网站域名，会自动跳转到Cloudflare的验证页面；只有你在策略中配置的授权邮箱，才能收到一次性验证码并通过验证，正常访问网站；未授权的邮箱无法通过验证，无法访问网站。

补充注意事项#

1. 场景1的邀请链接有有效期，若收件人未收到邀请，可在Members页面找到对应记录，重新发送邀请。
2. 场景2的Access策略默认拒绝所有访问，仅你在Allow策略中配置的邮箱可通过验证，无需额外配置拒绝规则。
3. 如需撤销访问权限：场景1直接在Members页面删除对应成员；场景2在Access策略中删除对应的邮箱地址即可。