CN110971622A - 一种公网应用***与内网应用***间双向访问方法及*** - Google Patents

一种公网应用***与内网应用***间双向访问方法及*** Download PDF

Info

Publication number
CN110971622A
CN110971622A CN202010141250.2A CN202010141250A CN110971622A CN 110971622 A CN110971622 A CN 110971622A CN 202010141250 A CN202010141250 A CN 202010141250A CN 110971622 A CN110971622 A CN 110971622A
Authority
CN
China
Prior art keywords
application system
web request
public network
network application
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010141250.2A
Other languages
English (en)
Inventor
陈世俊
李璧鲁
戚威
宁冰
张胜
李明柱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinlian Technology Nanjing Co ltd
Original Assignee
Xinlian Technology Nanjing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinlian Technology Nanjing Co ltd filed Critical Xinlian Technology Nanjing Co ltd
Priority to CN202010141250.2A priority Critical patent/CN110971622A/zh
Publication of CN110971622A publication Critical patent/CN110971622A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种公网应用***与内网应用***间双向访问方法,融合代理技术、文根解析技术、SSL技术、验签技术、白名单/黑名单技术、异常流量告警技术,实现多检测技术于一体进行协作工作,并以此设计互联网前置***,公网应用***只需开启到互联网前置***的网络策略即可,如此提供给公网应用***的是互联网前置***的入口IP,避免了内网应用***暴露在公网上的风险,并通过互联网前置***所集成设计的上述一系列安全技术,对非正常网络请求进行拦截,更好的提高了内网应用***的安全,有效解决公网应用***与内网应用***之间访问接入的安全问题,保证业务数据传输的安全性。

Description

一种公网应用***与内网应用***间双向访问方法及***
技术领域
本发明涉及一种公网应用***与内网应用***间双向访问方法及***,属于数据安全访问技术领域。
背景技术
随着计算机网络技术应用的不断发展,公网应用***访问内网应用***已经变成了一个趋势,而现如今比较主流的访问方式主要有NAT技术、VPN技术等,但是这些都有一个问题,如公网访问内网应用***时,需要在互联网上存在内网应用的入口,而这在极大程度上影响到了内网应用***的信息安全问题。而现如今信息安全的发展也步入了一个全新的时代,终端安全和网络安全问题逐渐开始引起人们的重视。目前在内部网络终端上大多数的应用,尤其是在政府机构、涉密部门、核心科研机构、银行等金融***、企事业等单位的办公网、内部业务网、涉密网中的终端设备是至关重要的,甚至是严格保密的。一旦这些设备出现泄密、破坏的事件,将会出现非常严重的后果。在信息安全问题越来越得到重视的情况下,内网安全问题变得越来越重要和突出。网络通信是内网***中信息泄密的主要途径之一,然而网络控制与审计不仅是技术难点,并且当下针对内部网络攻击的手段也日新月异,网络防范的难度大大提高。其次传统的这些技术,对于问题的定位,操作的复杂,高可用性方面都或多或少存在一些不足。
现有解决公网应用***访问内网应用***的技术有3种:(1)通过NAT网络地址转换实现;(2)采用VPN专线技术;(3)采用通用的应用代理技术。
(1)NAT网络地址转换
NAT网络地址转换是将内网IP地址与互联网域名或公网IP端口映射绑定的技术。通过NAT网络地址转换,公网的第三方应用***就可以访问到内网的应用***了。但是这种方法在支持更多***间访问接入时就很不方便,并且也不能提供更多的安全防护。
(2)VPN专线的技术
VPN是一种常用于连接中、大型企业或团体与团体间的私人网络的通信方式。它利用隧道协议(TunnelingProtocol)来达到保密、发送端认证、消息准确性等私人消息安全效果,这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。采用VPN专线虽然可以使得公网应用访问内网应用,但是VPN专线成本相对较高,并把内网网络通过VPN隧道对公网开放,这会因开放粒度太大带来更多的安全威胁。
(3)应用代理服务器
上述2种技术是网络层的访问接入控制的方法,而应用代理服务器则在网络层之上的应用层进行访问接入的控制,代理服务器可以实现公网应用***和内网应用***间的Web请求的代理转发。但是通用的代理服务器仍存在不足,不能实现更高要求的安全访问接入,诸如不能对客户端应用的身份验证,以及潜在Web安全威胁的检测。
发明内容
本发明所要解决的技术问题是提供一种公网应用***与内网应用***间双向访问方法,融合多检测技术于一体进行协作工作,能够有效解决公网应用***与内网应用***之间访问接入的安全问题,保证业务数据传输的安全性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种公网应用***与内网应用***间双向访问方法,包括公网应用***向内网应用***的访问方法,如下步骤:
步骤A1. 针对公网应用***向内网应用***所发出的Web请求,判断该Web请求是否基于HTTPS协议,是则进入步骤A2;否则拒绝该Web请求;
步骤A2. 针对该Web请求进行SSL卸载处理,更新为基于HTTP协议的Web请求,然后进入步骤A3;
步骤A3. 针对该Web请求的URL进行文根解析,获得该Web请求所对应的业务类别文根信息,并判断该业务类别文根信息、是否属于公网应用***和内网应用***之间预设各业务类别文根集合,是则进入步骤A4;否则拒绝该Web请求;
步骤A4. 根据该Web请求所对应的业务类别文根信息,应用公网应用***和内网应用***之间预设各数字签名证书中的相应数字签名证书,针对该Web请求中消息体的业务报文进行解密,获得解密后的业务报文,并进行验证数字签名处理,用于验证Web请求发起方的身份、以及业务数据的完整性,若验证通过,则进入步骤A5;若验证不通过,则拒绝该Web请求;
步骤A5. 根据语义分析和预设匹配规则的联合检测技术,针对该Web请求中的消息头和消息体进行流量异常检测,若不存在异常,则进入步骤A6;若存在异常,则将该Web请求发起方的IP地址加入预设不允许通过IP地址的黑名单中,并过滤掉该Web请求;
步骤A6. 判断该Web请求发起方的IP地址、是否属于公网应用***和内网应用***之间预设允许通过IP地址的白名单,是则进入步骤A7;否则不允许该Web请求转发,并拒绝该Web请求;
步骤A7. 判断该Web请求发起方的IP地址、是否属于黑名单,是则不允许该Web请求转发,并拒绝该Web请求;否则允许该Web请求转发,并进入步骤A8;
步骤A8. 根据该Web请求所对应的业务类别文根信息,构建路由转发规则,并针对该Web请求中的消息体,发起新Web请求,并转发至内网应用***,实现代理转发处理。
作为本发明的一种优选技术方案:还包括内网应用***向公网应用***的访问方法,如下步骤:
步骤B1. 针对内网应用***向公网应用***所发出的Web请求,判断该Web请求是否基于HTTP协议,是则进入步骤B2;否则拒绝该Web请求;
步骤B2. 针对该Web请求的URL进行文根解析,获得该Web请求所对应的业务类别文根信息,并判断该业务类别文根信息、是否属于公网应用***和内网应用***之间预设各业务类别文根集合,是则进入步骤B3;否则拒绝该Web请求;
步骤B3. 根据该Web请求所对应的业务类别文根信息,应用公网应用***和内网应用***之间预设各数字签名证书中的相应数字签名证书,针对该Web请求中消息体的业务报文进行加密,获得加密后的业务报文,并进行数字签名处理,用于验证Web请求发起方的身份、以及业务数据的完整性,若数字签名成功,则进入步骤B4;若数字签名不成功,则拒绝该Web请求;
步骤B4. 针对该Web请求进行SSL加载处理,更新为基于HTTPS协议的Web请求,然后进入步骤B5;
步骤B5. 根据该Web请求所对应的业务类别文根信息,构建路由转发规则,并针对该Web请求中的消息体,发起新Web请求,并转发至公网应用***,实现代理转发处理。
与上述相对应,本发明所要解决的技术问题是提供一种应用公网应用***与内网应用***间双向访问方法的***,通过多检测模块一体化协作工作,能够有效解决公网应用***与内网应用***之间访问接入的安全问题,保证业务数据传输的安全性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种应用公网应用***与内网应用***间双向访问方法的***,包括互联网前置***,置于公网应用***与内网应用***之间的通信链路上,用于执行步骤A1至步骤A8,实现公网应用***向内网应用***的访问方法;以及用于执行步骤B1至步骤B5,实现公网应用***向内网应用***的访问方法。
作为本发明的一种优选技术方案:所述互联网前置***包括代理模块、安全模块、日志模块、用户管理模块和高可用性模块;其中,代理模块用于实现内网应用***与公网应用***之间双向通信的代理;安全模块用于实现所述双向访问方法中的白名单机制、白名单机制、报文验签、以及流量异常检测功能;日志模块用于实现代理模块的业务日志、安全模块的业务日志、以及互联网前置***的配置操作日志。
作为本发明的一种优选技术方案:所述互联网前置***还包括图形化***配置模块,图形化***配置模块用于实现对互联网前置中各模块***参数和功能参数的图形化配置功能。
作为本发明的一种优选技术方案:用户管理模块用于实现互联网前置***的用户账号和权限的管理功能。
作为本发明的一种优选技术方案:高可用性模块用于实现互联网前置***的集群功能。
本发明所述一种公网应用***与内网应用***间双向访问方法及***,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计公网应用***与内网应用***间双向访问方法,融合代理技术、文根解析技术、SSL技术、验签技术、白名单/黑名单技术、异常流量告警技术,实现多检测技术于一体进行协作工作,并以此设计互联网前置***,互联网前置***的应用使网络策略的开放更加便捷,公网应用***只需开启到互联网前置***的网络策略即可,如此提供给公网应用***的是互联网前置***的入口IP,避免了内网应用***暴露在公网上的风险,并通过互联网前置***所集成设计的上述一系列安全技术,对非正常网络请求进行拦截,更好的提高了内网应用***的安全;相应互联网前置***到内网应用***的网络策略,由内网应用***来提供开启策略即可;相比传统的应用访问接入方法,本发明设计方法与***可以对所要接入的公网应用***进行细粒度的控制,并且互联网前置***支持指定接入端口上接入多路公网应用,实际应用中,互联网前置***还提供了能够快速管理的图形化***配置功能,使得操作人员无需操作复杂的linux操作命令,即可更加方便的操作方法,大大的提高了操作人员的工作效率,综合有效解决公网应用***与内网应用***之间访问接入的安全问题,保证业务数据传输的安全性。
附图说明
图1是本发明设计中公网应用***向内网应用***访问方法的流程示意图;
图2是本发明设计中内网应用***向公网应用***访问方法的流程示意图;
图3是本发明设计应用公网应用***与内网应用***间双向访问方法的***中互联网前置***的模块架构示意图;
图4是本发明设计应用实施例中互联网前置***的部署架构示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种公网应用***与内网应用***间双向访问方法,包括公网应用***向内网应用***的访问方法,实际应用当中,如图1所示,具体执行如下步骤A1至步骤A8。
步骤A1. 针对公网应用***向内网应用***所发出的Web请求,判断该Web请求是否基于HTTPS协议,是则进入步骤A2;否则拒绝该Web请求。
步骤A2. 采用指定的SSL证书,针对该Web请求进行SSL卸载处理,更新为基于HTTP协议的Web请求,然后进入步骤A3。
步骤A3. 针对该Web请求的URL进行文根解析,获得该Web请求所对应的业务类别文根信息,业务类别文根信息是指约定的代表特定业务类别的关键词,位于URL中用于区分不同的业务,以etc业务为例,该业务类别文根信息为etc,其典型的URL为:https://xxx.xxx.xxx.xxx/etc/;然后判断该业务类别文根信息、是否属于公网应用***和内网应用***之间预设各业务类别文根集合,是则进入步骤A4;否则拒绝该Web请求。
步骤A4. 根据该Web请求所对应的业务类别文根信息,应用公网应用***和内网应用***之间预设各数字签名证书中的相应数字签名证书,针对该Web请求中消息体的业务报文进行解密,获得解密后的业务报文,并进行验证数字签名处理,用于验证Web请求发起方的身份、以及业务数据的完整性,若验证通过,则进入步骤A5;若验证不通过,则拒绝该Web请求。
步骤A5. 根据语义分析和预设匹配规则的联合检测技术,针对该Web请求中的消息头和消息体进行流量异常检测,诸如疑似SQL注入、XSS等常见类别安全威胁均属于异常,若不存在异常,则进入步骤A6;若存在异常,则将该Web请求发起方的IP地址加入预设不允许通过IP地址的黑名单中,并过滤掉该Web请求。
步骤A6. 判断该Web请求发起方的IP地址、是否属于公网应用***和内网应用***之间预设允许通过IP地址的白名单,是则进入步骤A7;否则不允许该Web请求转发,并拒绝该Web请求。
步骤A7. 判断该Web请求发起方的IP地址、是否属于黑名单,是则不允许该Web请求转发,并拒绝该Web请求;否则允许该Web请求转发,并进入步骤A8。
步骤A8. 根据该Web请求所对应的业务类别文根信息,构建路由转发规则,并针对该Web请求中的消息体,发起新Web请求,并转发至内网应用***,实现代理转发处理,实际应用中,这里的代理转发还可以支持多级转发。
与上述相对应,本发明还设计了内网应用***向公网应用***访问方法,实际应用当中,如图2所示,具体执行如下步骤B1至步骤B5。
步骤B1. 针对内网应用***向公网应用***所发出的Web请求,判断该Web请求是否基于HTTP协议,是则进入步骤B2;否则拒绝该Web请求。
步骤B2. 针对该Web请求的URL进行文根解析,获得该Web请求所对应的业务类别文根信息,并判断该业务类别文根信息、是否属于公网应用***和内网应用***之间预设各业务类别文根集合,是则进入步骤B3;否则拒绝该Web请求。
步骤B3. 根据该Web请求所对应的业务类别文根信息,应用公网应用***和内网应用***之间预设各数字签名证书中的相应数字签名证书,针对该Web请求中消息体的业务报文进行加密,获得加密后的业务报文,并进行数字签名处理,用于验证Web请求发起方的身份、以及业务数据的完整性,若数字签名成功,则进入步骤B4;若数字签名不成功,则拒绝该Web请求。
步骤B4. 针对该Web请求进行SSL加载处理,更新为基于HTTPS协议的Web请求,然后进入步骤B5。
步骤B5. 根据该Web请求所对应的业务类别文根信息,构建路由转发规则,并针对该Web请求中的消息体,发起新Web请求,并转发至公网应用***,实现代理转发处理。
针对上述所设计公网应用***与内网应用***间双向访问方法,本发明进一步设计了应用此方法的***,包括互联网前置***,置于公网应用***与内网应用***之间的通信链路上,用于执行步骤A1至步骤A8,实现公网应用***向内网应用***的访问方法;以及用于执行步骤B1至步骤B5,实现公网应用***向内网应用***的访问方法。
对于互联网前置***,实际应用当中,如图3所示,具体包括代理模块、安全模块、日志模块、用户管理模块、高可用性模块、图形化***配置模块、用户管理模块、高可用性模块;其中,代理模块用于实现内网应用***与公网应用***之间双向通信的代理;安全模块用于实现所述双向访问方法中的白名单机制、白名单机制、报文验签、以及流量异常检测功能;日志模块用于实现代理模块的业务日志、安全模块的业务日志、以及互联网前置***的配置操作日志;图形化***配置模块用于实现对互联网前置中各模块***参数和功能参数的图形化配置功能;用户管理模块用于实现互联网前置***的用户账号和权限的管理功能;高可用性模块用于实现互联网前置***的集群功能。
具体实际应用中,互联网前置***中的代理模块实现对内网业务应用的代理以及第三方响应***的代理,包括实现内网应用***与公网应用***之间双向通信的代理,同时支持http、https和socket等代理方式,实际应用中,代理模块针对公网应用***向内网应用***访问方向的代理配置如下所示。
server {
listen 8090;
location /xxhaiguan {
proxy_pass https://www.xxhaiguan.org.cn/haiguanyewu;
}
}
互联网前置***中的安全模块具体应用中,流量异常检测采用基于语义分析的检测技术,即通过语义分析得到输入数据的识别特征(或者指纹),然后通过快速查找算法,在特征库中进行匹配,从而识别出有安全威胁的Web请求,并进行过滤。
互联网前置***中的图形化***配置模块在实际应用中,通过图形化***配置功能,安全管理人员可以在其权限范围内通过浏览器远程配置互联网前置的各项功能参数,包括调整代理、安全防护以及高可用性的功能参数。
互联网前置***中的日志模块在实际应用中,采用日志文件的方式记录日志,出于性能的考虑,互联网前置***并不进行具体的日志处理和分析等高级功能,其他日志分析***可以通过日志文件采集功能获取互联网前置的详细日志,并进行复杂的分析,诸如流量统计、故障定位等。
互联网前置***中的用户管理模块在实际应用中,仅支持中间业务平台的安全管理人员的账号和密码管理。高可用性模块在实际应用中,基于VRRP(Virtual RouterRedundancy Protocol,虚拟路由器冗余协议)协议实现集群节点的管理,在集群模式下,互联网前置***包含一台主服务器和多台备份服务器,在主服务器和备份服务器上面部署相同的服务配置,使用一个虚拟IP地址对外提供服务,当主服务器出现故障时,虚拟IP地址会自动漂移到备份服务器。
实际应用当中,互联网前置***可根据用户的实际需求进行差异化部署,如图4所示为一种典型互联网前置***的部署架构。在DMZ区集群部署互联网前置***,该***负责接入来自互联网的第三方响应***的业务流量,并转发到内网区的互联网前置***。在内网区集群部署互联网前置***,该***负责将业务流量路由到相应的内网业务应用***。内网区互联网前置***同时对来自第三方业务流量进行必要的安全处理,包括报文验签、白名单流控以及web请求安全过滤。
上述技术方案所设计公网应用***与内网应用***间双向访问方法,融合代理技术、文根解析技术、SSL技术、验签技术、白名单/黑名单技术、异常流量告警技术,实现多检测技术于一体进行协作工作,并以此设计互联网前置***,互联网前置***的应用使网络策略的开放更加便捷,公网应用***只需开启到互联网前置***的网络策略即可,如此提供给公网应用***的是互联网前置***的入口IP,避免了内网应用***暴露在公网上的风险,并通过互联网前置***所集成设计的上述一系列安全技术,对非正常网络请求进行拦截,更好的提高了内网应用***的安全;相应互联网前置***到内网应用***的网络策略,由内网应用***来提供开启策略即可;相比传统的应用访问接入方法,本发明设计方法与***可以对所要接入的公网应用***进行细粒度的控制,并且互联网前置***支持指定接入端口上接入多路公网应用,实际应用中,互联网前置***还提供了能够快速管理的图形化***配置功能,使得操作人员无需操作复杂的linux操作命令,即可更加方便的操作方法,大大的提高了操作人员的工作效率,综合有效解决公网应用***与内网应用***之间访问接入的安全问题,保证业务数据传输的安全性。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (7)

1.一种公网应用***与内网应用***间双向访问方法,其特征在于:包括公网应用***向内网应用***的访问方法,如下步骤:
步骤A1. 针对公网应用***向内网应用***所发出的Web请求,判断该Web请求是否基于HTTPS协议,是则进入步骤A2;否则拒绝该Web请求;
步骤A2. 针对该Web请求进行SSL卸载处理,更新为基于HTTP协议的Web请求,然后进入步骤A3;
步骤A3. 针对该Web请求的URL进行文根解析,获得该Web请求所对应的业务类别文根信息,并判断该业务类别文根信息、是否属于公网应用***和内网应用***之间预设各业务类别文根集合,是则进入步骤A4;否则拒绝该Web请求;
步骤A4. 根据该Web请求所对应的业务类别文根信息,应用公网应用***和内网应用***之间预设各数字签名证书中的相应数字签名证书,针对该Web请求中消息体的业务报文进行解密,获得解密后的业务报文,并进行验证数字签名处理,用于验证Web请求发起方的身份、以及业务数据的完整性,若验证通过,则进入步骤A5;若验证不通过,则拒绝该Web请求;
步骤A5. 根据语义分析和预设匹配规则的联合检测技术,针对该Web请求中的消息头和消息体进行流量异常检测,若不存在异常,则进入步骤A6;若存在异常,则将该Web请求发起方的IP地址加入预设不允许通过IP地址的黑名单中,并过滤掉该Web请求;
步骤A6. 判断该Web请求发起方的IP地址、是否属于公网应用***和内网应用***之间预设允许通过IP地址的白名单,是则进入步骤A7;否则不允许该Web请求转发,并拒绝该Web请求;
步骤A7. 判断该Web请求发起方的IP地址、是否属于黑名单,是则不允许该Web请求转发,并拒绝该Web请求;否则允许该Web请求转发,并进入步骤A8;
步骤A8. 根据该Web请求所对应的业务类别文根信息,构建路由转发规则,并针对该Web请求中的消息体,发起新Web请求,并转发至内网应用***,实现代理转发处理。
2.根据权利要求1所述一种公网应用***与内网应用***间双向访问方法,其特征在于:还包括内网应用***向公网应用***的访问方法,如下步骤:
步骤B1. 针对内网应用***向公网应用***所发出的Web请求,判断该Web请求是否基于HTTP协议,是则进入步骤B2;否则拒绝该Web请求;
步骤B2. 针对该Web请求的URL进行文根解析,获得该Web请求所对应的业务类别文根信息,并判断该业务类别文根信息、是否属于公网应用***和内网应用***之间预设各业务类别文根集合,是则进入步骤B3;否则拒绝该Web请求;
步骤B3. 根据该Web请求所对应的业务类别文根信息,应用公网应用***和内网应用***之间预设各数字签名证书中的相应数字签名证书,针对该Web请求中消息体的业务报文进行加密,获得加密后的业务报文,并进行数字签名处理,用于验证Web请求发起方的身份、以及业务数据的完整性,若数字签名成功,则进入步骤B4;若数字签名不成功,则拒绝该Web请求;
步骤B4. 针对该Web请求进行SSL加载处理,更新为基于HTTPS协议的Web请求,然后进入步骤B5;
步骤B5. 根据该Web请求所对应的业务类别文根信息,构建路由转发规则,并针对该Web请求中的消息体,发起新Web请求,并转发至公网应用***,实现代理转发处理。
3.一种应用权利要求1或2所述一种公网应用***与内网应用***间双向访问方法的***,其特征在于:包括互联网前置***,置于公网应用***与内网应用***之间的通信链路上,用于执行步骤A1至步骤A8,实现公网应用***向内网应用***的访问方法;以及用于执行步骤B1至步骤B5,实现公网应用***向内网应用***的访问方法。
4.根据权利要求3所述一种应用公网应用***与内网应用***间双向访问方法的***,其特征在于:所述互联网前置***包括代理模块、安全模块、日志模块、用户管理模块和高可用性模块;其中,代理模块用于实现内网应用***与公网应用***之间双向通信的代理;安全模块用于实现所述双向访问方法中的白名单机制、白名单机制、报文验签、以及流量异常检测功能;日志模块用于实现代理模块的业务日志、安全模块的业务日志、以及互联网前置***的配置操作日志。
5.根据权利要求4所述一种应用公网应用***与内网应用***间双向访问方法的***,其特征在于:所述互联网前置***还包括图形化***配置模块,图形化***配置模块用于实现对互联网前置中各模块***参数和功能参数的图形化配置功能。
6.根据权利要求5所述一种应用公网应用***与内网应用***间双向访问方法的***,其特征在于:用户管理模块用于实现互联网前置***的用户账号和权限的管理功能。
7.根据权利要求6所述一种应用公网应用***与内网应用***间双向访问方法的***,其特征在于:高可用性模块用于实现互联网前置***的集群功能。
CN202010141250.2A 2020-03-04 2020-03-04 一种公网应用***与内网应用***间双向访问方法及*** Pending CN110971622A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010141250.2A CN110971622A (zh) 2020-03-04 2020-03-04 一种公网应用***与内网应用***间双向访问方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010141250.2A CN110971622A (zh) 2020-03-04 2020-03-04 一种公网应用***与内网应用***间双向访问方法及***

Publications (1)

Publication Number Publication Date
CN110971622A true CN110971622A (zh) 2020-04-07

Family

ID=70038261

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010141250.2A Pending CN110971622A (zh) 2020-03-04 2020-03-04 一种公网应用***与内网应用***间双向访问方法及***

Country Status (1)

Country Link
CN (1) CN110971622A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112055032A (zh) * 2020-09-21 2020-12-08 迈普通信技术股份有限公司 一种报文处理方法、装置、电子设备及存储介质
CN113645091A (zh) * 2021-07-02 2021-11-12 国能智深控制技术有限公司 一种光伏电站的通信***
CN114338204A (zh) * 2021-12-30 2022-04-12 中国电信股份有限公司 在内网用公网通讯平台登录验证的方法、电子设备和介质
CN114500111A (zh) * 2022-04-12 2022-05-13 国网浙江省电力有限公司 基于多平台的自动工程审价审计数据处理方法及***
CN117319093A (zh) * 2023-11-30 2023-12-29 国网江苏省电力有限公司 一种基于隔离装置的数据访问服务方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060122941A1 (en) * 1996-02-26 2006-06-08 Coley Christopher D Licensing system using a firewall gateway for protecting and licensing computers
CN1863093A (zh) * 2006-04-06 2006-11-15 华为技术有限公司 一种策略执行点及其与入侵检测***联动的方法
CN105338020A (zh) * 2014-07-02 2016-02-17 华为技术有限公司 一种业务访问方法及装置
CN105610874A (zh) * 2016-03-23 2016-05-25 四川九鼎智远知识产权运营有限公司 一种局域网安全管理***
CN106856468A (zh) * 2015-12-08 2017-06-16 中国科学院声学研究所 一种部署在云存储服务端的安全代理装置与安全代理方法
CN107426184A (zh) * 2017-06-22 2017-12-01 国网浙江海盐县供电公司 电力***移动应用信息安全***及其传输方法
CN109309649A (zh) * 2017-07-27 2019-02-05 苏宁云商集团股份有限公司 一种攻击预警方法及***
CN109963320A (zh) * 2012-10-26 2019-07-02 华为技术有限公司 业务接入的控制方法及设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060122941A1 (en) * 1996-02-26 2006-06-08 Coley Christopher D Licensing system using a firewall gateway for protecting and licensing computers
CN1863093A (zh) * 2006-04-06 2006-11-15 华为技术有限公司 一种策略执行点及其与入侵检测***联动的方法
CN109963320A (zh) * 2012-10-26 2019-07-02 华为技术有限公司 业务接入的控制方法及设备
CN105338020A (zh) * 2014-07-02 2016-02-17 华为技术有限公司 一种业务访问方法及装置
CN106856468A (zh) * 2015-12-08 2017-06-16 中国科学院声学研究所 一种部署在云存储服务端的安全代理装置与安全代理方法
CN105610874A (zh) * 2016-03-23 2016-05-25 四川九鼎智远知识产权运营有限公司 一种局域网安全管理***
CN107426184A (zh) * 2017-06-22 2017-12-01 国网浙江海盐县供电公司 电力***移动应用信息安全***及其传输方法
CN109309649A (zh) * 2017-07-27 2019-02-05 苏宁云商集团股份有限公司 一种攻击预警方法及***

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112055032A (zh) * 2020-09-21 2020-12-08 迈普通信技术股份有限公司 一种报文处理方法、装置、电子设备及存储介质
CN112055032B (zh) * 2020-09-21 2022-05-17 迈普通信技术股份有限公司 一种报文处理方法、装置、电子设备及存储介质
CN113645091A (zh) * 2021-07-02 2021-11-12 国能智深控制技术有限公司 一种光伏电站的通信***
CN114338204A (zh) * 2021-12-30 2022-04-12 中国电信股份有限公司 在内网用公网通讯平台登录验证的方法、电子设备和介质
CN114338204B (zh) * 2021-12-30 2024-05-03 中国电信股份有限公司 在内网用公网通讯平台登录验证的方法、电子设备和介质
CN114500111A (zh) * 2022-04-12 2022-05-13 国网浙江省电力有限公司 基于多平台的自动工程审价审计数据处理方法及***
CN114500111B (zh) * 2022-04-12 2022-07-15 国网浙江省电力有限公司 基于多平台的自动工程审价审计数据处理方法及***
CN117319093A (zh) * 2023-11-30 2023-12-29 国网江苏省电力有限公司 一种基于隔离装置的数据访问服务方法

Similar Documents

Publication Publication Date Title
US10425387B2 (en) Credentials enforcement using a firewall
CN111034150B (zh) 选择性地解密ssl/tls通信的方法和装置
CN110971622A (zh) 一种公网应用***与内网应用***间双向访问方法及***
US11647003B2 (en) Concealing internal applications that are accessed over a network
US20180332079A1 (en) Efficient and secure user credential store for credentials enforcement using a firewall
US7900240B2 (en) Multilayer access control security system
US8856869B1 (en) Enforcement of same origin policy for sensitive data
EP1701510B1 (en) Secure remote access to non-public private web servers
US11792008B2 (en) Actively monitoring encrypted traffic by inspecting logs
US20090313682A1 (en) Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus
US20090126002A1 (en) System and method for safeguarding and processing confidential information
US20170026184A1 (en) Detection of fraudulent digital certificates
CN112016073B (zh) 一种服务器零信任连接架构的构建方法
US20230267234A1 (en) Blockchain auditing system and method
CN117118703A (zh) 一种基于互联网的移动办公安全架构
CN116248405A (zh) 一种基于零信任的网络安全访问控制方法及采用该方法的网关***、存储介质
CN116633725A (zh) 一种全渠道接入网关
Jadhav et al. Detection and mitigation of arp spoofing attack
Dincer et al. Big data security: Requirements, challenges and preservation of private data inside mobile operators
Rudraraju et al. Dynamic design and implementation of security intelligence for industry
Koujalagi Network Security Intelligence for Small and Medium Scale Industry 4.0: Design and Implementation
Yutanto Security Intelligence For Industry 4.0.: Design and Implementation
Wu et al. Security Analysis of Public Security Terminal Network and Its Peripheral Equipment
Onah IP-Spoofing Vulnerability Protection Software for Data Communication Network Operators.
CN116132160A (zh) 针对企业Web浏览器或小程序网络安全保护方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200407