当前位置: 首页 > news >正文

安全访问云端内部应用:用frp的stcp功能解决SSH转发的痛点

文章目录

    • 前言
    • stcp方案的核心优势
    • 实战部署流程(基于frp_0.61.1)
      • 网络拓扑架构
      • 第一步:配置frps服务端(云服务器)
      • 第二步:暴露内部应用(云服务器)
      • 第三步:企业内网访问端配置(企业内网服务器)
      • 访问内部服务
    • 小结
    • 参考资料

前言

在迁移企业内部应用上云时,遇到了一个典型的安全困境:如何让部署在云服务器上的内部Web应用只允许企业内网访问?传统方案是用SSH本地端口转发,但在实际运维中,我总被它脆弱的连接稳定性困扰——网络抖动就断连、长时间闲置就超时,重启客户端还要重新建立连接。直到深度使用了frp的 stcp(secret tcp) 功能,才算彻底解决了这个老大难问题。

stcp方案的核心优势

frp的stcp功能通过双向认证+流量加密实现了真正的企业级安全访问:

  • 零公网暴露:云服务器无需开放任何业务端口
  • 自动重连:内置心跳机制保障隧道稳定
  • 访问控制:通过secretKey实现设备级授权
  • 多协议支持:完美适配HTTP/SSH/RDP等协议

实战部署流程(基于frp_0.61.1)

网络拓扑架构

公有云
企业内网
访问 localhost:8080
加密隧道
流量转发
本地访问
frps 7000
frpc
内部应用 127.0.0.1:8080
frpc visitor
内部用户

第一步:配置frps服务端(云服务器)

# frps.toml
bindPort = 7000
auth.token = "your_secure_token_here" # 强烈建议设置认证令牌

第二步:暴露内部应用(云服务器)

# frpc.toml
serverAddr = "frps.yourcompany.com"
serverPort = 7000
auth.token = "your_secure_token_here"[[proxies]]
name = "secure_webapp"
type = "stcp"
secretKey = "your_scp_secret_key_here"
localIP = "127.0.0.1"
localPort = 8080  # 内部应用真实端口

说明

  • proxies中使用了stcp。stcp(Secure TCP)是 FRP 中一种基于预共享密钥的安全 TCP 代理,专为需要安全访问内网服务的场景设计。它通过密钥验证机制实现类似 VPN 的安全连接,避免服务直接暴露在公网。

第三步:企业内网访问端配置(企业内网服务器)

# frpc_visitor.toml
serverAddr = "frps.yourcompany.com"
serverPort = 7000
auth.token = "your_secure_token_here"[[visitors]]
name = "webapp_access"
type = "stcp"
serverName = "secure_webapp" # 与云服务器代理名一致
secretKey = "your_scp_secret_key_here"
bindAddr = "127.0.0.1"
bindPort = 8080  # 本地访问端口

访问内部服务

配置完成后,内网用户直接访问本地端口即可:

# 访问Web应用
curl http://127.0.0.1:8080/api/v1/data# 或浏览器访问
http://localhost:8080

小结

在实施这套方案的过程中,我发现stcp模式最精妙的设计在于双向身份验证

  • 访问端必须知道 serverName + secretKey
  • 服务端验证访问端的token合法性
  • 任何单点验证失败立即拒绝连接

这种零信任架构恰好契合了企业内部应用的安全需求。更值得称赞的是,当我们将frpc配置为系统服务后,运维人员再也不用半夜被叫醒重启断掉的SSH隧道了。

参考资料

  • frp v0.61.1 官方文档
  • stcp配置示例库
  • 企业级安全加固指南
http://www.dtcms.com/a/273012.html

相关文章:

  • Linux驱动开发(platform 设备驱动)
  • 老题新解|矩阵转置
  • AI驱动的业务系统智能化转型:从非结构化到结构化的智能转换
  • 【STM32 学习笔记】FLASH闪存
  • pytorch学习-12循环神经网络(基础篇)
  • 机器视觉之激光码检测系统
  • 【世纪龙科技】学测-汽车信息化综合实训考核平台(机电方向)
  • 数字孪生系统如何助力汽车零部件企业实现虚拟智控
  • RedisJSON 内存占用剖析与调优
  • Lua嵌入式爬虫实现步骤
  • 【Linux系统】冯诺依曼体系结构 | 初识操作系统
  • 生产者、消费者问题(C语言、POSIX)
  • 测试覆盖标准-条件覆盖-短路求值
  • 全新开源AI知识库系统!PandaWiki一键构建智能文档,支持AI问答、创作与搜索!
  • [特殊字符] 05_Jenkins 部署前端项目实现自动化部署
  • rv1106使用笔记
  • 【RL-VLM-F】算法框架图绘图学习笔记
  • ubuntu server配置静态IP
  • ​​​​​​​微软PowerBI PL-300认证考试报名入口及费用
  • 【PTA数据结构 | C语言版】顺序队列的3个操作
  • 完美卸载 Ubuntu 双系统:从规划到实施的完整指南
  • 乐鑫代理商飞睿科技,ESP32模组重塑AIoT体验的四大技术支柱
  • C++类型萃取(Type Traits):深入解析std::enable_if与std::is_same
  • git fetch的使用
  • 【第五章-基础】Python 函数---以一个初学者来理解函数
  • 第十六天,7月10日,八股
  • 【网络安全】利用 Cookie Sandwich 窃取 HttpOnly Cookie
  • vue中token的使用与统计实践
  • android闪光灯源码分析
  • Android 插件化实现原理详解