搭建 frp 内网穿透服务器后,总担心别人会通过这个通道偷偷访问自己的设备?远程连接时总怕数据被拦截?其实啊,很多人只重视 frp 的搭建步骤,却忽略了安全性配置,结果导致设备被攻击、文件泄露。今天小编就来教大家,frp 内网穿透服务器搭建后,安全性配置该怎么做,新手也能看懂,赶紧学起来!
说到 frp 安全性配置,你知道最基础的防护措施有哪些吗?其实就像给家里装门锁,最起码得有个像样的密码吧。frp 里的 token 验证就是第一道门,可别小看它,设置得不好,等于给黑客留了钥匙。
那 token 该怎么设才安全呢?有人说随便弄个 123456 就行,这可不行啊。来看下面的对比表格,就知道好的 token 和差的 token 差别在哪了:
| token 类型 | 示例 | 安全等级 | 被破解难度 |
|---|---|---|---|
| 简单数字 | 123456 | 极低 | 几秒钟就能被暴力破解 |
| 字母 + 数字 | frp123 | 中低 | 普通黑客半天能破解 |
| 混合字符 | Frp@2024#Server | 高 | 没有专用工具很难破解 |
看到了吧,token 必须包含大小写字母、数字和特殊符号,长度至少 12 位以上。小编自己设的 token,光是记下来都费了点劲,但这样才放心啊。
除了 token,端口设置也藏着安全隐患。你是不是觉得用默认的 7000 端口方便?但黑客也知道这个默认端口,就像小偷总盯着没装防盗窗的一楼。那该怎么改呢?
建议把 frp 的 bind_port 换成 50000-65535 之间的高位端口,比如 58342。改完之后,还要在防火墙里只开放这个端口,其他无关端口一律关掉。有人会问,这样会不会影响使用?不会的,只要客户端配置里的 server_port 跟着改成一样的就行。
数据传输过程中,怎么防止被别人偷看呢?frp 其实自带了加密功能,只是默认没开启。是不是所有场景都需要加密?如果只是传输普通文件,加密可能会让速度慢一点;但要是传输办公文档、个人隐私,那必须得开。
开启加密的方法很简单,在客户端和服务器的配置文件里,都加上这两行:
- use_encryption = true
- use_compression = true
第一行是开启加密,第二行是开启压缩,既能保护数据,又能让传输速度快一点,一举两得。小编试过,开启后虽然第一次连接慢了 1 秒,但心里踏实多了。
限制访问来源也是个好办法。比如你只需要从公司 IP 远程访问家里的设备,那就可以在服务器配置里加上 allow_ports = 公司 IP,这样其他 IP 就算知道 token 和端口,也连接不上。
怎么设置呢?在 frps.ini 的 [common] 里加一行:allow_ports = 192.168.1.100(换成你的允许 IP)。如果有多个 IP,用逗号隔开就行。但要是你经常换地方上网,这个方法就不太方便了,得根据自己的使用场景来定。
有人问,frp 会不会被别人扫描到端口?肯定会的,黑客经常扫描全网端口找漏洞。那怎么隐藏 frp 的服务信息呢?可以在服务器配置里加上 obfs = http,这样扫描工具就很难识别出这是 frp 服务了。
具体操作是在 frps.ini 里加 obfs = http,客户端配置里也加上同样的一行。这个设置对速度影响不大,小编建议新手都加上,多一层防护总是好的。
日志监控也不能少,怎么知道有没有人尝试非法访问呢?在服务器配置文件里加上 log_file = frps.log,log_level = warn,这样有异常登录时,日志里会清楚记录时间和 IP。
每天花两分钟看看日志,发现陌生 IP 频繁尝试连接,就赶紧换 token、改端口。有人觉得这太麻烦,但等真出了问题,后悔都来不及。
到这里,可能有人会问,做了这么多配置,是不是就绝对安全了?其实没有绝对的安全,这些配置只是大大降低了风险。就像家里装了防盗门,也不能完全保证不进小偷,但总比没装好得多。
还有个容易被忽略的点,frp 软件要及时更新。官方会定期修复安全漏洞,用旧版本就可能有隐患。每次更新前,先备份配置文件,更新后再覆盖回去,这样既安全又不会丢设置。
