以下是針對中小企業使用企業微信搭建內網應用的典型網絡拓撲架構圖及說明：

網絡拓撲架構圖

+-------------------+          +-------------------+          +-------------------+
|  企業微信客戶端       |          |      互聯網         |          |  企業微信服務        |
|  (手機/PC)         | <------> | (公網通信)         | <------> | (api.work.weixin.qq.com) |
+-------------------+          +-------------------+          +-------------------+
                                                                 |
                                                                 | HTTPS/API回調
                                                                 v
                                                     +-----------------------+
                                                     |   企業防火墻/路由器      |
                                                     |  (公網IP: 123.123.123.123) |
                                                     +-----------------------+
                                                                 |
                                                                 | 反向代理端口映射
                                                                 v
                                                     +-----------------------+
                                                     |  反向代理服務器         |
                                                     | (Nginx, 域名: app.example.com) |
                                                     +-----------------------+
                                                                 |
                                                                 | 內網HTTP
                                                                 v
                                                     +-----------------------+
                                                     |    內網交換機          |
                                                     +-----------------------+
                                                         |               |
                                                         |               |
                                                         v               v
                                        +---------------------+   +---------------------+
                                        |   內網應用服務器       |   |   內網數據庫服務器      |
                                        | (功能A, 端口8080)     |   | (MySQL/Redis)        |
                                        +---------------------+   +---------------------+

關鍵組件說明

1. 用戶端

• 企業微信客戶端：員工通過企業微信App或PC端訪問功能A。
• 依賴互聯網：必須聯網與企業微信服務通信。

2. 企業微信服務（公網）

• 核心功能：提供用戶身份認證、API調用（如OAuth2.0登錄）、消息推送等服務。
• 回調地址：需配置功能A的公網域名（如app.example.com），指向企業反向代理服務器。

3. 企業防火墻/路由器

• 公網IP：暴露反向代理服務器的公網地址（如123.123.123.123）。
• 安全規則：僅開放必要端口（如HTTPS 443、VPN端口）。

4. 反向代理服務器（核心樞紐）

• 角色：
  • 通過Nginx將公網請求轉發到內網應用服務器。
  • 提供HTTPS終止（SSL證書部署在此）。
• 配置示例：

  server {
      listen 443 ssl;
      server_name app.example.com;
      ssl_certificate /path/to/cert.pem;
      ssl_certificate_key /path/to/key.pem;
  
      location / {
          proxy_pass http://192.168.1.100:8080; # 內網應用服務器地址
          proxy_set_header Host $host;
      }
  }
  

5. 內網服務器

• 應用服務器：部署功能A，僅允許內網訪問（如192.168.1.100:8080）。
• 數據庫服務器：存儲業務數據，通常與應用服務器隔離。

數據流向

1. 用戶發起請求：員工在企業微信點擊功能A入口。
2. 企業微信服務認證：企業微信服務器驗證用戶身份，回調功能A的公網域名（app.example.com）。
3. 反向代理轉發：Nginx將請求通過內網轉發到應用服務器。
4. 內網處理：應用服務器與數據庫交互，返回結果。
5. 響應返回用戶：數據沿原路徑返回至企業微信客戶端。

安全設計建議

1. HTTPS全鏈路加密：
   • 反向代理與企業微信服務間使用HTTPS。
   • 內網HTTP通信可明文（若內網安全可控）。
2. IP白名單：
   • 防火墻僅允許企業微信服務器IP（需查詢企業微信官方IP列表）。
3. 訪問控制：
   • 企業微信應用設置為“僅限企業內部成員使用”。
   • 內網應用服務器限制訪問IP（如僅允許反向代理服務器）。
4. 備份方案：
   • 若反向代理不可用，可通過VPN（如OpenVPN）直接訪問內網（備用方案）。

適用場景

• 中小企業典型需求：OA審批、內部工單系統、數據報表等。
• 成本控制：無需公網直接暴露應用服務器，減少安全風險。
• 擴展性：可通過負載均衡橫向擴展反向代理和應用服務器。