/zh-cn/docs/features/common/network/ Recent content in 通信安全及优化 on frp Hugo zh-cn /zh-cn/docs/features/common/network/network/ Mon, 01 Jan 0001 00:00:00 +0000 /zh-cn/docs/features/common/network/network/ 加密与压缩 注: 当 frpc 和 frps 之间启用了 TLS 之后，流量会被全局加密，不再需要配置单个代理上的加密，新版本中已经默认启用。 每一个代理都可以选择是否启用加密和压缩的功能。 加密算法采用 aes-128-cfb，压缩算法采用 snappy。 在每一个代理的配置中使用如下参数指定： [[proxies]] name = "ssh" type = "tcp" localPort = 22 remotePort = 6000 transport.useEncryption = true transport.useCompression = true 通过设置 transport.useEncryption = true，将 frpc 与 frps 之间的通信内容加密传输，将会有效防止传输内容被截取。 如果传输的报文长度较长，通过设置 transport.useCompression = true 对传输内容进行压缩，可以有效减小 frpc 与 frps 之间的网络流量，加快流量转发速度，但是会额外消耗一些 CPU 资源。 TCP 多路复用 客户端和服务器端之间的连接支持多路复用，不再需要为每一个用户请求创建一个连接，使连接建立的延迟降低，并且避免了大量文件描述符的占用，使 frp 可以承载更高的并发数。 该功能默认启用，如需关闭，可以在 frps.toml 和 frpc.toml 中配置，该配置项在服务端和客户端必须一致： # frps.toml 和 frpc.toml 中 transport.tcpMux = false 连接池 默认情况下，当用户请求建立连接后，frps 才会请求 frpc 主动与后端服务建立一个连接。当为指定的代理启用连接池后，frp 会预先和后端服务建立起指定数量的连接，每次接收到用户请求后，会从连接池中取出一个连接和用户连接关联起来，避免了等待与后端服务建立连接以及 frpc 和 frps 之间传递控制信息的时间。 /zh-cn/docs/features/common/network/network-tls/ Mon, 01 Jan 0001 00:00:00 +0000 /zh-cn/docs/features/common/network/network-tls/ transport.useEncryption 和 STCP 等功能能有效防止流量内容在通信过程中被盗取，但是无法判断对方的身份是否合法，存在被中间人攻击的风险。为此 frp 支持 frpc 和 frps 之间的流量通过 TLS 协议加密，并且支持客户端或服务端单向验证，双向验证等功能。 当 frps.toml 中 transport.tls.force = true 时，表示 server 端只接受 TLS 连接的客户端，这也是 frps 验证 frpc 身份的前提条件。如果 frps.toml 中 transport.tls.trustedCaFile 内容是有效的话，那么默认就会开启 transport.tls.force = true。 注意：启用此功能后除 xtcp ，可以不用再设置 use_encryption 重复加密 TLS 默认开启方式 从 v0.50.0 开始，transport.tls.enable 的默认值将会为 true，默认开启 TLS 协议加密。 如果 frps 端没有配置证书，则会使用随机生成的证书来加密流量。 默认情况下，frpc 开启 TLS 加密功能，但是不校验 frps 的证书。 frpc 单向校验 frps 身份 # frpc.toml transport.tls.trustedCaFile = "/to/ca/path/ca.crt" # frps.toml transport.tls.certFile = "/to/cert/path/server.