安全访问云端内部应用:用frp的stcp功能解决SSH转发的痛点

文章目录

前言

在迁移企业内部应用上云时,遇到了一个典型的安全困境:如何让部署在云服务器上的内部Web应用只允许企业内网访问?传统方案是用SSH本地端口转发,但在实际运维中,我总被它脆弱的连接稳定性困扰------网络抖动就断连、长时间闲置就超时,重启客户端还要重新建立连接。直到深度使用了frp的 stcp(secret tcp) 功能,才算彻底解决了这个老大难问题。

stcp方案的核心优势

frp的stcp功能通过双向认证+流量加密实现了真正的企业级安全访问:

  • 零公网暴露:云服务器无需开放任何业务端口
  • 自动重连:内置心跳机制保障隧道稳定
  • 访问控制:通过secretKey实现设备级授权
  • 多协议支持:完美适配HTTP/SSH/RDP等协议

实战部署流程(基于frp_0.61.1)

网络拓扑架构

公有云 企业内网 访问 localhost:8080 加密隧道 流量转发 本地访问 frps 7000 frpc 内部应用 127.0.0.1:8080 frpc visitor 内部用户

第一步:配置frps服务端(云服务器)

toml 复制代码
# frps.toml
bindPort = 7000
auth.token = "your_secure_token_here" # 强烈建议设置认证令牌

第二步:暴露内部应用(云服务器)

toml 复制代码
# frpc.toml
serverAddr = "frps.yourcompany.com"
serverPort = 7000
auth.token = "your_secure_token_here"

[[proxies]]
name = "secure_webapp"
type = "stcp"
secretKey = "your_scp_secret_key_here"
localIP = "127.0.0.1"
localPort = 8080  # 内部应用真实端口

说明

  • proxies中使用了stcp。stcp(Secure TCP)是 FRP 中一种基于预共享密钥的安全 TCP 代理,专为需要安全访问内网服务的场景设计。它通过密钥验证机制实现类似 VPN 的安全连接,避免服务直接暴露在公网。

第三步:企业内网访问端配置(企业内网服务器)

toml 复制代码
# frpc_visitor.toml
serverAddr = "frps.yourcompany.com"
serverPort = 7000
auth.token = "your_secure_token_here"

[[visitors]]
name = "webapp_access"
type = "stcp"
serverName = "secure_webapp" # 与云服务器代理名一致
secretKey = "your_scp_secret_key_here"
bindAddr = "127.0.0.1"
bindPort = 8080  # 本地访问端口

访问内部服务

配置完成后,内网用户直接访问本地端口即可:

bash 复制代码
# 访问Web应用
curl http://127.0.0.1:8080/api/v1/data

# 或浏览器访问
http://localhost:8080

小结

在实施这套方案的过程中,我发现stcp模式最精妙的设计在于双向身份验证

  • 访问端必须知道 serverName + secretKey
  • 服务端验证访问端的token合法性
  • 任何单点验证失败立即拒绝连接

这种零信任架构恰好契合了企业内部应用的安全需求。更值得称赞的是,当我们将frpc配置为系统服务后,运维人员再也不用半夜被叫醒重启断掉的SSH隧道了。

参考资料

相关推荐
乌托邦的逃亡者5 小时前
Docker的/var/lib/docker/目录占用100%的处理方法
运维·docker·容器
ldj20205 小时前
Jenkins 流水线配置
运维·jenkins
zskj_zhyl6 小时前
毫米波雷达守护银发安全:七彩喜跌倒检测仪重构居家养老防线
人工智能·安全·重构
古希腊数通小白(ip在学)8 小时前
stp拓扑变化分类
运维·服务器·网络·智能路由器
12点一刻10 小时前
搭建自动化工作流:探寻解放双手的有效方案(2)
运维·人工智能·自动化·deepseek
未来之窗软件服务10 小时前
东方仙盟AI数据中间件使用教程:开启数据交互与自动化应用新时代——仙盟创梦IDE
运维·人工智能·自动化·仙盟创梦ide·东方仙盟·阿雪技术观
o不ok!11 小时前
Linux面试问题-软件测试
linux·运维·服务器
qq_3129201111 小时前
开源入侵防御系统——CrowdSec
安全·开源
饶了我吧,放了我吧13 小时前
计算机网络实验——无线局域网安全实验
计算机网络·安全·web安全