frp安全最佳实践：保护你的内网服务不被恶意攻击

frp安全最佳实践：保护你的内网服务不被恶意攻击

【免费下载链接】frp frp 是一个专注于内网穿透的高性能的反向代理应用，支持 TCP、UDP、HTTP、HTTPS 等多种协议，且支持 P2P 通信。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 项目地址: https://gitcode.com/GitHub_Trending/fr/frp

内网穿透工具frp在便捷暴露服务的同时，也带来了安全风险。本文将从认证机制、传输加密、访问控制、配置审计四个维度，结合frp实际配置与代码实现，提供可落地的安全加固方案，帮助你在开放服务的同时构建纵深防御体系。

一、认证机制：第一道防线

frp提供两种核心认证方式，确保只有授权客户端能连接服务器。在服务端配置文件conf/frps_full_example.toml中，默认启用token认证：

auth.method = "token"
auth.token = "12345678"

生产环境必须修改默认token，并通过tokenSource从文件加载密钥，避免硬编码风险：

# 服务端配置
auth.tokenSource.type = "file"
auth.tokenSource.file.path = "/etc/frp/token"

对于企业级场景，可启用OIDC认证（OpenID Connect），通过第三方身份提供商验证用户身份。代码层面，pkg/auth/auth.go中NewAuthVerifier函数实现了基于JWT的令牌验证逻辑，确保只有通过OIDC验证的客户端才能建立连接。

二、传输加密：防止中间人攻击

frp默认启用TLS加密传输，客户端配置conf/frpc_full_example.toml中：

transport.tls.enable = true
transport.tls.certFile = "client.crt"
transport.tls.keyFile = "client.key"
transport.tls.trustedCaFile = "ca.crt"

关键配置项：

• trustedCaFile：指定CA证书，验证服务端身份
• serverName：防止证书伪造，需与服务端证书域名匹配
• insecureSkipVerify：生产环境必须设为false，禁用会导致证书验证失效

服务端可强制所有连接使用TLS：

# 服务端配置
transport.tls.force = true

三、访问控制：最小权限原则

3.1 端口白名单

在frps配置中限制允许使用的端口范围，拒绝异常端口请求：

allowPorts = [
  { start = 2000, end = 3000 },  # 允许2000-3000端口范围
  { single = 3389 }               # 单独允许3389端口
]

3.2 客户端连接数限制

防止恶意客户端占用资源：

maxPortsPerClient = 10  # 每个客户端最多创建10个代理
transport.maxPoolCount = 5  # 连接池上限

3.3 动态权限管理

通过服务端插件实现细粒度控制，在doc/server_plugin.md中定义了HTTP插件接口，可对接企业权限系统：

[[httpPlugins]]
name = "user-manager"
addr = "127.0.0.1:9000"
path = "/handler"
ops = ["Login", "NewProxy"]  # 对登录和创建代理操作进行权限校验

四、配置审计与监控

4.1 日志审计

启用详细日志记录，便于安全事件追溯：

log.to = "/var/log/frps.log"
log.level = "info"  # 生产环境建议使用warn级别
log.maxDays = 30    # 保留30天日志

4.2 流量监控

通过Prometheus集成监控异常流量，在frps配置中开启：

enablePrometheus = true

访问http://frps-ip:7500/metrics获取指标，重点关注：

• frps_proxy_traffic_in_bytes：入站流量突变
• frps_client_connections：异常客户端连接数

五、高级安全特性

5.1 P2P模式隔离

使用XTCP协议实现端到端直连，避免流量经过服务器：

[[proxies]]
name = "p2p_tcp"
type = "xtcp"
secretKey = "strong-password"  # 至少16位随机字符串
localIP = "127.0.0.1"
localPort = 22
allowUsers = ["user1@example.com"]  # 限制可访问用户

5.2 SSH隧道网关

v0.53.0新增的SSH隧道功能，支持无客户端穿透，通过公钥认证确保安全：

sshTunnelGateway.bindPort = 2200
sshTunnelGateway.authorizedKeysFile = "/etc/frp/authorized_keys"

六、安全配置清单

风险点	防御措施	配置文件
未授权访问	启用token/OIDC认证	conf/frps.toml
传输窃听	强制TLS加密	conf/frpc.toml
端口滥用	配置端口白名单	conf/frps_full_example.toml
权限过度	启用插件审计	doc/server_plugin.md
日志缺失	保存30天审计日志	conf/frps.toml

通过以上措施，可将frp的安全级别提升至企业级标准。记住安全是持续过程，需定期审查frp官方安全更新，并结合网络安全设备、入侵检测系统构建多层次防护体系。

【免费下载链接】frp frp 是一个专注于内网穿透的高性能的反向代理应用，支持 TCP、UDP、HTTP、HTTPS 等多种协议，且支持 P2P 通信。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 项目地址: https://gitcode.com/GitHub_Trending/fr/frp