飞网入口网关: 安全实现本地服务公网共享

一、 场景引入：共享一个静态网站

我们平时用 Nginx 在电脑上运行一个静态网站（比如 HTML 页面），通常只有自己能访问。如果想让外地的朋友、客户访问，或者让企业官网、邮箱等服务对外开放，很多人会想到端口映射、买服务器、备案等复杂操作。

飞网的入口网关提供了一种简单安全的替代方案：将本地服务映射到公网 HTTPS 地址，外部用户无需安装软件，直接用浏览器访问。

为了让你更清楚地了解这个过程，下面以共享一个静态网站为例进行说明。

图中表示你的电脑运行 Nginx 服务，监听 80 端口，托管静态网页 index.html。该设备通过加密通道与入口网关节点连接，安全传输网页数据。入口网关节点作为中继，可监听端口 443 、 8443 和 10000，生成公网 HTTPS 地址。外部用户通过浏览器以 HTTPS (TLS) 协议访问此地址，请求先到达入口网关节点，再转发到你的设备。

相信你对这个过程已经有了初步了解，接下来，这篇文章会用大白话，带你从零了解飞网及飞网入口网关，演示如何利用飞网将本地服务安全分享到公网。

二、飞网是什么

飞网是一款专注于网络安全，并且提供了远程组网功能的、强大的网络安全工具，能让不同网络里的设备像在同一个网络里一样互相访问。它本质上组建了一个“虚拟网络”，把不同位置的设备连起来，操作简单，速度快，还很安全。

飞网维护了很多个独立的“虚拟网络”（类似于多租户），不同的设备可以选择加入不同的“虚拟网络”。使用飞网需要安装飞网客户端程序，两个或多个安装了飞网客户端程序的设备之间，且在同一个”虚拟网络”内部时，可以根据访问控制策略的配置进行通信（默认可以互相访问）。

在理解了飞网的基础功能之后，我们再看看入口网关是怎么发挥作用的。

三、入口网关是什么

入口网关可以看作一个中转节点：允许将本地服务（如 nignx 运行的网页）通过 飞网的入网网关节点 暴露到公网，生成 HTTPS 地址，外部用户无需安装 飞网客户端程序，直接用浏览器访问。入口网关仅支持TLS协议的应用，并根据TLS协议中的SNI字段进行数据转发，数据全程加密，无需担心敏感信息泄露。

有了入口网关，我们就能更方便地将本地服务分享到公网，下面以共享一个静态网站为例，带你详细了解下如何安全分享本地服务到公网上。

四、配置步骤

4.1 安装飞网客户端程序

你需要在准备共享静态网站的电脑上装好飞网客户端程序。

飞网客户端程序支持多平台： Windows、macOS、Linux 、Android等。

飞网客户端下载地址：https://www.gmzta.com/download

安装过程（本文以Windows为例）：

安装好后，程序自动运行在桌面右下角系统托盘里。这时图标是黑色的，说明还没有登录飞网。

4.2 登录飞网

a. 使用提醒

注册并登录飞网时，系统会自动为你的账号创建一个个人网络。

如果你是个人用户，那么你的多个设备需要登录同一个飞网账号，这样你的设备才能连到同一个飞网网络。

如果你是团队/企业用户，可以申请创建一个团队网络，团队里的每个人可以使用自己的账号登录飞网，并加入到团队网络中。

登录后，飞网会给每台设备分配一个特殊IP地址（比如100.A.B.C），通过这个IP地址，就可以互相通信了。

b. 点击登录按钮

下载安装飞网客户端程序后，需运行并登录。可在桌面双击飞网图标，或在系统桌面右下角的托盘处右击飞网图标，点击‘登录飞网’，随后会弹出浏览器页面，选择登录方式完成登录。

c. 使用飞网IAM登录

这里不限制登录方式，你也可以选择其它登录方式。

系统为每个账号自动创建一个个人网络。个人用户的个人网络是完全免费的，团队/企业用户的团队网络可由团队管理员自行创建开通。无论是个人用户还是团队用户，登录对应的网络后，才能访问该网络中的网络资源。

在 弹出的网页中 或者 从命令行复制的网址访问到的页面中 点击使用飞网IAM登录。

如果你没有账号，需要先进行注册账号,输入用户名与密码后绑定手机号，注册成功后填写用户名及密码进行登录。

d. 登录后注意要选择需要加入的网络

登录后，系统马上会要求你选择需要加入的网络。

如果你需要加入你自己的个人网络，登录页面选择个人网络即可。

如果是团队用户，则需要选择对应的团队网络（每个人最多可以加入4个团队网络）。系统提供了一个演示用的团队网络，有需要的可以加入这个团队网络自行体验。

选择并加入到飞网网络后，会进入到飞网控制面板页面（https://nac.gmzta.com/）。

飞网客户端程序会提示登录成功，在桌面的右下方有弹窗提示。

4.3 运行本地服务

在完成上述准备工作后，确保你的网页在本地运行，比如用 nginx 启动一个简单 HTTP 服务器，这里我以nginx的默认页面为例。

4.4 启用入口网关

完成本地服务运行后，就可以启用入口网关了。以下两种命令都可以启用飞网的入口网关。

1. 输入命令：gmzta in 80 ( 80 是我的本地服务端口，飞网客户端程序名是gmzta，可以使用“gmzta -h”查看更多的命令)。

如果你是第一次使用飞网的入口网关，以Windows为例，Win+R,输入cmd，打开命令提示符，输入此命令后，会弹出一个链接，将此链接复制到浏览器。

在浏览器访问到的页面中，需先启用HTTPS证书与访问控制策略中存在授予用户使用“入口网关”的策略，才能启用入口网关。

点击”确认开启”即可。

开启成功后，命令提示符会显示已经成功，并生成一个公网地址：https://testpc.gmn2833c.gmzta.net/。

在飞网控制面板的设备清单页面也可看到入口网关已经开启。

注意：此命令只在命令提示符开启时有效，关闭时入口网关也会关闭，只在前台运行，也可通过按Ctrl+C关闭入口网关。

2. 输入命令：gmzta in –bg 80

注意：此命令在命令提示符关闭后依旧有效，服务将在后台运行。

如果你想关闭入口网关，可输入命令：gmzta in --https=443 off

4.5 测试

把生成的公网地址（如 https://testpc.gmn2833c.gmzta.net/ ）分享给需要访问的人，他们在浏览器中输入该地址，就能打开你本地运行的网站，而不需要安装飞网客户端。

五、补充事项

5.1 注意事项

DNS名称仅限于飞网的域名（device.team.gmzta.net）

入口网关仅限于侦听端口 443 、 8443 和 10000（默认为443）

入口网关仅适用于 TLS 加密连接

通过入口网关的流量受带宽限制

5.2 飞网的子命令

在命令行输入：gmzta -h，可以查看飞网的命令行工具的帮助信息。

命令的基本格式：gmzta [参数]

输入 gmzta in -h ,显示 in 子命令的详细帮助信息,在下方可以看到用到的入口网关命令。

通过以上步骤，你可以了解到飞网入口网关是如何将本地服务安全地分享到公网上的。这种方式相较于传统方法，操作相对简单，且具有一定的安全性。

如果你对网络安全感兴趣，或者对本篇文章有任何疑问，欢迎在评论区和我交流！