二、部署ZeroNews

部署ZeroNews非常简单，先ZeroNews控制台生成一个token，然后运行Agent客户端并绑定这个token就完成部署，开启内网穿透。

要安装Agent客户端也非常简单，在windows下，只需要前往zeronews.cc下载官方提供的windows Agent客户端，运行并输入“zeronews.exe set token <YOUR_TOKEN>”绑定token，然后再次输入“zeronews.exe start”即可启动。

如果是macos系统，以apple芯片为例，则依次运行以下命令，就可以完成绑定token并运行：

mkdir -p /Applications/zeronewscd /Applications/zeronewscurl  -o zeronews.tmp  https://download.zeronews.cc/macos/arm/zeronewsmv zeronews.tmp zeronewschmod +x  zeronews./zeronews set token <YOUR_TOKEN>./zeronews start

curl -SLk https://download.zeronews.cc/linux/zeronews-install.sh | sh -s installzeronews set token <YOUR_TOEKN>systemctl start zeronewssystemctl enable zeronews

运行好Agent客户端后，就可以在ZeroNews的Web控制台，配置映射，例如我这里Agent绑定了我的电脑，我需要映射内网路由器的web管理界面，那我需要先添加一个自己的域名，官方也提供了自定义子域名，这样也自己不用购买新域名，我这里是需要映射http服务，那域名-协议哪里就选择“https”，如果要映射tcp服务也可以一并加上。最后我们在映射那选择我的电脑，并选择https协议，选择刚刚的域名，输入内网路由器ip以及端口就完成部署。最后打开这个域名就能访问了，就是这么简单，从开始到部署完成，5分钟都不用。

我也是把内网测速工具映射出来，实际测试了下ZeroNews实际内网穿透速度。这里我只分配了4Mbps的下行带宽，最后测试的结果可以发现ZeroNews是额外多给了些下行带宽，这个倒是好评，很多内网穿透工具是控制的非常严格，说多少就是多少不会超过那个限额，至于上行带宽则没太多限制，这里就不得不说某同类工具上下行都限制的非常严格。

那部署完成之后，为了内网安全，肯定是要额外配置安全防护。ZeroNews自带的ip控制功能，可以实现不同的地区用户访问不同的资源。比如我们希望这个映射只能被美国地区的用户访问，那我们可以配置ip访问控制，实现此映射只能被对应地区的用户访问。

此时用非可信ip访问，就会直接提示“访问被拒绝”。那这样有什么好处呢，最明显的就是防止其他地区的ip来访问，这个ip控制可以非常精细，你可以控制某个市、某个小区的用户才能访问，甚至你可以指定某一个ip才能访问，那这样其他所有地区的用户都无法访问这个服务，也就屏蔽了绝大部分的爬虫以及暴力破解工具。

除此之外还可以通过鉴权功能，额外添加一层保护，只有输入正确的用户名以及密码才能访问此服务，极大地提升了内网的安全性。如果有多个不同的映射，分配不同的密码，就可以控制不同人员访问。配合ip访问控制可以实现特定地区+特定用户才能访问，最大限度的保护内网服务安全。

最后配合日志审计。就可以清楚的知道ZeroNews服务本身做了哪些变更，防止内部人员监守自盗。

当然了，ZeroNews也支持绑定自有域名并配置TLS证书，使用自己的域名那肯定是更方便，官方提供的二级域名肯定是不如自己的域名容易记住。添加自己的域名后，就可以使用tls终止功能，这样所有节点始终透传tls加密流量，对用户tls访问流量不可见，确保用户数据无法窃取与篡改。

ZeroNews还支持多路由管理，比如说我希望同一个映射内的/demo1页面和/demo2页面有不同的访问规则，那我只需要为每个路由单独配置策略即可，就可以实现一个映射内不同页面不同需求，实现更精细化的管控。

除了刚刚说的那些功能，ZeroNews甚至还能支持文件共享，和添加普通映射一样，添加好后就可以远程访问本地文件。经实测，windows、macOS、Linux系统都能够支持。

ZeroNews他这个安装部署配置非常简单，安装就不用说了，三四行命令就可以解决的事情，全平台都兼容，不存在任何技术门槛。它也不用自己像frp一样手搓配置文件，安装好后任何配置都可以在web控制台完成，不需要自己去购买公网服务器和部署证书，完全避免了自己部署所带来的各种问题，省时省力省心，即使是第一次接触内网穿透的人，也能在几分钟内完成配置并安全的访问家中设备。

当然，我更看重ZeroNews强大的安全防护能力。无论是团队还是个人，直接暴露内网服务是一件非常危险的事情，内网访问刚暴露在互联网，就会吸引一大堆的暴力破解工具、漏洞扫描器，一旦某个服务被攻破，那就有可能导致整个内网“沦陷”。我之前也写过很多安全相关的文章，特别是内网，一旦自己内网失守，自己的隐私就可能完全暴露在黑客眼中，这种事情不怕一万，就怕万一。

ZeroNews提供了传统穿透工具所不具备的防护能力，通过配置ip黑白名单，实现精准控制访问用户，再配合鉴权功能，对无认证的服务在入口处额外加上用户名密码验证，阻止非法请求，最后通过日志审计，观察和跟踪账号基础设施的变化，保护内网穿透隧道本身安全。这一整套操作下来，丝毫不用担心因暴露服务后，导致的潜在数据泄漏风险。

更不用说ZeroNews几乎全平台通用，无论是Windows、macOS、Linux、NAS、OpenWrt还是Docker，都能通过几行命令完成部署。作为商用软件，稳定性、相关文档和技术支持不用多说，这是普通内网穿透软件所无法比拟的。

阅读原文：原文链接