文章目录
前言
在迁移企业内部应用上云时,遇到了一个典型的安全困境:如何让部署在云服务器上的内部Web应用只允许企业内网访问?传统方案是用SSH本地端口转发,但在实际运维中,我总被它脆弱的连接稳定性困扰------网络抖动就断连、长时间闲置就超时,重启客户端还要重新建立连接。直到深度使用了frp的 stcp(secret tcp) 功能,才算彻底解决了这个老大难问题。
stcp方案的核心优势
frp的stcp功能通过双向认证+流量加密实现了真正的企业级安全访问:
- ✅ 零公网暴露:云服务器无需开放任何业务端口
- ✅ 自动重连:内置心跳机制保障隧道稳定
- ✅ 访问控制:通过secretKey实现设备级授权
- ✅ 多协议支持:完美适配HTTP/SSH/RDP等协议
实战部署流程(基于frp_0.61.1)
网络拓扑架构
公有云 企业内网 访问 localhost:8080 加密隧道 流量转发 本地访问 frps 7000 frpc 内部应用 127.0.0.1:8080 frpc visitor 内部用户
第一步:配置frps服务端(云服务器)
toml
# frps.toml
bindPort = 7000
auth.token = "your_secure_token_here" # 强烈建议设置认证令牌第二步:暴露内部应用(云服务器)
toml
# frpc.toml
serverAddr = "frps.yourcompany.com"
serverPort = 7000
auth.token = "your_secure_token_here"
[[proxies]]
name = "secure_webapp"
type = "stcp"
secretKey = "your_scp_secret_key_here"
localIP = "127.0.0.1"
localPort = 8080 # 内部应用真实端口说明
- proxies中使用了stcp。stcp(Secure TCP)是 FRP 中一种基于预共享密钥的安全 TCP 代理,专为需要安全访问内网服务的场景设计。它通过密钥验证机制实现类似 VPN 的安全连接,避免服务直接暴露在公网。
第三步:企业内网访问端配置(企业内网服务器)
toml
# frpc_visitor.toml
serverAddr = "frps.yourcompany.com"
serverPort = 7000
auth.token = "your_secure_token_here"
[[visitors]]
name = "webapp_access"
type = "stcp"
serverName = "secure_webapp" # 与云服务器代理名一致
secretKey = "your_scp_secret_key_here"
bindAddr = "127.0.0.1"
bindPort = 8080 # 本地访问端口访问内部服务
配置完成后,内网用户直接访问本地端口即可:
bash
# 访问Web应用
curl http://127.0.0.1:8080/api/v1/data
# 或浏览器访问
http://localhost:8080小结
在实施这套方案的过程中,我发现stcp模式最精妙的设计在于双向身份验证:
- 访问端必须知道 serverName + secretKey
- 服务端验证访问端的token合法性
- 任何单点验证失败立即拒绝连接
这种零信任架构恰好契合了企业内部应用的安全需求。更值得称赞的是,当我们将frpc配置为系统服务后,运维人员再也不用半夜被叫醒重启断掉的SSH隧道了。