企业安全访问网关：ZeroNews反向代理

“我们需要让外包团队访问测试环境，但不想让他们看到我们的财务系统。”

“审计要求我们必须记录所有第三方对内部系统的访问，现在的VPN日志一团糟。”

“每次有新员工入职或合作伙伴接入，IT部门都要花半天时间配置VPN账号。”

这些场景您是否遇到过？

传统的VPN（虚拟专用网）在为企业提供远程接入能力的同时，其 “全有或全无” 的粗放式网络接入模式，已成为企业安全体系中的一个巨大裂缝。一旦接入，用户就如同进入了内网，访问行为难以监控和约束，给企业带来了巨大的隐形风险。

现代企业需要的，不是一张打通所有区域的“万能门禁卡”，而是一个能够精准引导、严格核查、全程记录的 “智能安全网关”。

一、ZeroNews

ZeroNews将企业级反向代理能力产品化，您无需自建与维护复杂的Nginx/HAProxy集群，即可获得开箱即用的安全能力。

防线一：服务隐身与攻击面收敛

直接暴露内网IP和端口，无异于在公网上“裸奔”。ZeroNews的反向代理作为唯一的公网入口，隐藏您的真实服务器IP、端口及内网拓扑结构。黑客无法直接扫描您的核心资产，从而将攻击面收敛至最小。

防线二：统一的TLS加密与终端管理

为每个内部服务手动配置和维护HTTPS证书是运维的噩梦。ZeroNews为所有服务提供并管理全球可信的TLS证书，确保数据从终端用户到网关的传输全程加密。您无需在内网服务上耗费任何精力，即可获得符合安全规范的HTTPS访问。

防线三：访问策略

告别VPN账号的粗放管理。在ZeroNews，您可以针对每一个需要暴露的内部服务（如OA、GitLab、测试环境） 独立设置访问策略：

● 鉴权管理：为每个服务生成独立的访问密码，可随时重置或撤销。

● IP黑白名单：开放或限定来自公司网络、云桌面或合作伙伴固定IP的访问。

二、部署

Windows环境

首先，根据系统类型，下载 Agent 到本地环境。

启动 ZeroNews Agent

打开 ZeroNews Agent程序下载文件， 双击 ZeroNews.exe 程序，弹窗 ZeroNews 命令行控制台界面

Linux环境

在Linux环境中，我们可以通过下面的命令安装。

我们还可以在安装了OpenWrt路由器上执行。支持x86_x64、armv71、aarch64、mips 架构。在路由器中，我们也可以方便地安装。

支持树莓派安装

NAS安装

本文以飞牛NAS为例。

镜像拉取：输入 ZeroNews 官方仓库镜像地址（详见ZeroNews（零讯）官网：https://www.zeronews.cc）。

启动容器

ZeroNews 容器启动成功后，在 ZeroNews 平台上，可以查看已上线的 zeronews 设备 (Agent)。

三、企业核心场景

场景一：安全高效的远程协作开发

痛点：分散的研发团队需要访问内网的GitLab、Jenkins、测试环境。VPN权限过大，存在代码泄露风险。

ZeroNews方案：为GitLab、Jenkins等关键服务创建独立的隧道，并设置IP白名单和访问密码。开发者只能看到并访问授权应用，无法触及财务、人事等敏感系统。权限收窄，安全性与开发效率同步提升。

场景二：第三方合作伙伴的受控接入

痛点：外包团队、供应商需要临时接入内部系统，事后权限回收不及时，留下后门。

ZeroNews方案：为其需访问的特定应用（如项目管理系统）创建一条访问链接。合作结束后，链接由管理员一键删除。实现“最小权限”和“即时回收”，极大降低第三方风险。

场景三：企业应用的平滑外网发布

痛点：将内部的OA、CRM、ERP等系统临时提供给员工在外访问，传统方案需改造应用或购买昂贵硬件。

ZeroNews方案：无需修改应用代码，通过反向代理一键发布。结合企业微信/钉钉SSO，实现免密登录，在提供便捷的同时，保障了企业核心数据资产的安全。

为企业量身打造的内网穿透方案，您需要了解一下。

审核编辑 黄宇