為了讓家庭網路同外出裝置都有一致的安全防護,我用 SASE 與 Zero Trust 的概念,設計了一套「家庭邊緣 + 移動端」混合式架構。

核心目標很簡單:無論設備在家中 Wi-Fi、行動網路,還是公共 Wi-Fi,都盡量由同一套 Cloudflare Zero Trust policy 管理 DNS、惡意網域攔截與安全邊界。

架構圖

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

                     Cloudflare Zero Trust
                +-----------------------------+
                | Gateway / SWG / Policy      |
                | DNS filtering, logging, ZT  |
                +--------------+--------------+
                               ^
                               |
        +----------------------+----------------------+
        |                                             |
        |                                             |
+-------+--------+                         +----------+----------+
| Home Network   |                         | Mobile Devices      |
| OpenWrt Router |                         | Cloudflare One      |
| https-dns-proxy|                         | Client / Tunnel     |
+-------+--------+                         +----------+----------+
        ^                                             ^
        |                                             |
 Smart home, PC, phone, tablet              4G/5G, public Wi-Fi
 Agentless DNS protection                   Off-premise protection

家中:OpenWrt 做邊緣防禦

家庭核心網關使用 OpenWrt,並透過 https-dns-proxy 將上游 DNS 請求轉發到 Cloudflare Zero Trust Gateway(DoH)。

這樣家中的智能家居、電腦、手機、平板等設備,不需要逐部安裝 client,都可以套用同一套 DNS 安全策略,做到:

  • Agentless DNS 審計
  • phishing / malware 網域攔截
  • 全屋設備統一 policy
  • 減少逐部設備設定 DNS 的維護成本

外出:Cloudflare One Client 延續防護

當手機、平板或筆電離開家庭網路後,就由 Cloudflare One Client 接手。設備連上行動網路或公共 Wi-Fi 時,client 會建立加密通道,將流量導向 Cloudflare Secure Web Gateway(SWG)。

這樣離網設備仍然可以延續同一套安全邏輯:

  • 公共 Wi-Fi 下減少惡意網路風險
  • 流量經 SWG 檢查
  • 延續 phishing / malware blocking
  • 外出裝置仍受 Zero Trust policy 管理

小結

這套方案的重點,不是「家中用 DNS,外出用 VPN」咁簡單,而是將兩個場景接回同一個 Cloudflare Zero Trust 雲端控制面。

家中由 OpenWrt 負責邊緣轉發,外出由 Cloudflare One Client 負責終端通道。無論設備身處內網或外網,都由同一個雲端大腦統一調度與管控。