发布日期：2026年5月26日

FRP安全配置指南：认证加密与访问控制全攻略

内网穿透工具在带来便利的同时，也引入了新的安全风险——如果配置不当，攻击者可能利用穿透通道访问内网敏感服务，或滥用您的FRP服务器资源。安全始终是内网穿透的首要考量，本文将系统介绍FRP的各项安全配置措施，帮助您构建既便捷又安全的穿透环境。

一、Token认证机制

Token是FRP最基础的安全措施，用于验证frpc客户端的身份。在frps.ini的[common]区块中设置token参数为一个复杂的随机字符串，同时在所有frpc.ini的[common]区块中配置相同的token值。只有token匹配的客户端才能与frps建立连接。建议token长度至少32字符，包含大小写字母、数字和特殊符号，可以使用openssl rand -base64 32命令生成。定期更换token可以进一步提升安全性，更换后需要同步更新所有客户端配置。

二、TLS加密传输

默认情况下，frpc与frps之间的通信数据是明文传输的，存在被中间人窃听的风险。启用TLS加密后，所有通信数据都会被加密保护。配置方法：在frps.ini和frpc.ini的[common]区块中添加tls_enable=true。FRP支持自定义TLS证书，也可以使用自动生成的自签名证书。对于生产环境，建议使用正规CA签发的证书或内部PKI体系签发的证书，确保证书的可信度和可追溯性。

三、STCP密钥保护与访问控制

对于敏感服务的穿透，建议使用STCP（Secret TCP）协议类型。STCP在TCP基础上增加了预共享密钥（sk参数）验证，只有知道密钥的访问者才能连接穿透服务。配置方法：服务端配置type=stcp并设置sk=your_secret_key，访问者使用frpc -c frpc.ini stcp命令并配置相同的sk值建立访问连接。此外，可以在frps服务器上配置iptables或firewalld规则，限制特定端口的访问来源IP，实现网络层面的访问控制。