Cloudflare Tunnel 可将私有应用暴露于互联网，但若源服务器配置不当，攻击者可能绕过保护直接访问源服务器。文章介绍了如何测试源服务器的暴露情况及潜在风险，并强调应限制源服务器仅接受来自 Cloudflare 的流量，以防止攻击。

本文讨论了隐藏源服务器IP地址以防DDoS攻击的方法，包括使用CDN替代源站IP、确保DNS解析不暴露真实IP、定期更换IP、使用高防服务器和配置防火墙，仅允许CDN的IP访问源服务器。此外，避免直接通过IP访问和配置反向代理也是增强安全性的有效措施。

Cloudflare启用X25519+Kyber作为所有网站和API的beta版，以保护从Cloudflare到源服务器的连接。公司正在为大多数出站连接（包括源服务器和Cloudflare Workers fetch()调用）提供X25519+Kyber支持。Cloudflare使用HelloRetryRequest在所有出站连接上启用支持后量子密钥协商，而不会出现拆分ClientHello的问题。公司已开始扫描所有活动源以支持后量子密钥协商，并将使用这些扫描结果来确定尚未配置的区域的最佳设置。