CN101420455A - 反向http网关数据传输系统和/或方法及其网络 - Google Patents
反向http网关数据传输系统和/或方法及其网络 Download PDFInfo
- Publication number
- CN101420455A CN101420455A CNA2008102159002A CN200810215900A CN101420455A CN 101420455 A CN101420455 A CN 101420455A CN A2008102159002 A CNA2008102159002 A CN A2008102159002A CN 200810215900 A CN200810215900 A CN 200810215900A CN 101420455 A CN101420455 A CN 101420455A
- Authority
- CN
- China
- Prior art keywords
- network
- reverse
- server
- internal server
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种反向HTTP网关数据传输系统和/或方法及其网络。在所述网络中,反向HTTP网关位于DMZ内。隔离带位于公用(或外部)与专用(或内部)网络之间以在公用网络与专用网络间提供安全性。来自外部用户的请求通过多个连接或端口从外部网络进入内部网络,所述多个连接包括内部服务器与反向HTTP网关之间的实质持续反向连接。本发明典型实施例的反向HTTP网关架构消除了在位于DMZ内的反向HTTP网关与位于内部网络内的内部服务器之间执行的专有协议的需要。本发明具体实施例的反向HTTP网关充分利用HTTP1.1的特性。
Description
技术领域
本发明涉及网络,更具体地涉及一种具有反向超文本传输协议(HTTP,Hypertext Transfer Protocol)网关的网络。所述反向HTTP网关位于隔离带(DMZ,demilitarized zone)内,所述隔离带位于公用(或外部)与专用(或内部)网络之间以在所述公用网络与专用网络间提供安全性。来自外部用户的请求通过多个连接从所述外部网络进入所述内部网络。所述多个连接包括内部服务器与反向HTTP网关之间的实质持续反向连接。本发明典型实施例的所述反向HTTP网关架构消除了在位于所述DMZ内的所述反向HTTP网关与位于所述内部网络内的所述内部服务器之间执行的专有协议的需要。
背景技术
众所周知,网络环境需要安全。为了提供安全性,执行软件和/或硬件防火墙能根据特定的信任程度允许、拒绝和/或代理在客户端与服务器之间的数据。执行多重防火墙可以优化安全性。所述多重防火墙能在公用网络与专用网络之间创建一个DMZ。DMZ一般指的是藉由一个防火墙从而免受互联网影响的公司网络的一部分,所述DMZ包括一个或多个服务器并保护内部网络不受另一防火墙所阻止的攻击。事实上,所有公司都使用DMZ。网络传输数据通常是从所述互联网通过“外部”防火墙进入所述DMZ。在所述DMZ中,所述网络传输数据由一个或多个服务器进行处理。然后所述网络传输数据通过“内部”防火墙进入内部服务器。在所述内部服务中处理敏感操作或数据。
网络控制器希望适应入局的简单对象访问协议(SOAP,Simple ObjectAccess Protocal,用于实现应用软件在HTTP协议下交换信息的简单的以XML为基础的协议)请求,电子数据交换(EDI,Electronic Data Interchange,一般用于实现电子商务)请求,和/或其他的请求(例如来自互联网的请求)。特别地,网络控制器希望允许入局请求通过所述入局请求的DMZ进入所述入局请求的内部网络,却不允许从所述DMZ到所述内部网络的任何直接连接。
目前适应请求的一种解决方案包括在所述防火墙内创建一个入站“孔洞”以及如上所述的从所述DMZ到所述内部网络的直接连接。但是,在业界里这种设计方法的缺陷是非常明显和众所周知的。而且,值得注意的是,除了安全漏洞,隧道方法经常引起不必要的性能开销和大的文件处理局限性。
本发明申请人提供的另一种解决方案包括配置反向调用服务器以在DMZ内使用。通过分析,这种方法类似于下列情况:第一个人走向第二个人的房子并想进入门内,但是不允许所述第一个人敲门,按门铃或者使用电话向内呼叫并请求开门。上述分析中,所述反向调用方法就是让住在所述房子里的所述第二个人偶尔向窗子外面看。如果所述第二个人看到有人站在那里,就让他进来。
对于网络数据传输,这种概念大体上是一样的。也就是,位于DMZ内的反向调用服务器会周期性地或基本上不断地“轮询”工作(例如,多个用户配置的连接等待入局请求)。这种方法也类似于所述守望人等待不确定人群(例如,类似于大量的信息)的轮询,因此等待的人必须等待最后的一个人到达(例如,全部信息完全地缓存在存储单元里)才让整个人群进入(例如,把所述信息传达到所述内部服务器)。这种方法具有种种好处。例如,即使有人成功想出在DMZ内控制服务器的方法,但那个人仍不可能访问所述内部网络的服务器。
然而,上述基本技术还能进行进一步地增强。目前,在DMZ前后位置使用的通信协议是不同的。这种架构增加了网络的复杂性并往往要求执行至少一种专有协议(例如,在所述DMZ与所述内部服务器之间)。因此,所述整个输入信息,例如,待定协议和/或数据变换,必须至少临时保存(例如,在内存中)在DMZ服务器里。这种架构也存在信息大小的局限,例如,由于设置在DMZ里的计算资源可能有限。另外,这种架构还会产生延迟问题,因为一个信息基本上是先缓存在所述DMZ里然后再传给所述内部服务器。此外,在所述反向调用服务器的连续轮询之间也存在固有滞后。
因此,业界需要一种系统和/或方法来克服一个或多个缺陷和/或其他缺陷。同时,业界需要对基本的反向调用架构进行改进。
发明内容
本发明的实施例的一方面在于提供一种反向HTTP网关数据传输网络结构。
本发明的实施例的另一方面在于提供一种在DMZ的前后使用相同协议实现通信的方法。仅为例证但不仅限于此,所述协议可以是HTTP,并且,在网络的某些部分中,所述协议可以是HTTP1.1。虽然已经提供了特定版本和实现方式的协议,但值得注意的是本发明并不局限于上述实施例,也不局限于所述网络的所有部分中应用的具有特定版本和实现方式的协议的任何特定典型实施例。例如,在网络的一个或多个部分里实现的协议可以为一种或多种版本的HTTP和/或HTTPS(如,在安全套接字层协议(SSL,Security SocketLayer)上的HTTP)。
本发明实施例的又一方面在于提供在内部服务器与DMZ内的反向HTTP网关之间的实质持续反向连接。
本发明实施例提供了一种网络。DMZ设置在在外部防火墙和内部防火墙之间。内部网络设置在所述内部防火墙之后。外部网络设置在所述外部防火墙之前。所述内部网络连接至少一个内部服务器。所述每个内部服务器包括至少一个内部注册端口。所述DMZ内设置至少一个反向HTTP网关。所述每个反向HTTP网关包括反向代理端口和代理注册端口。所述反向代理端口用于与所述外部网络的客户端通信。所述代理注册端口用于通过所述各个反向HTTP网关与所述各个内部服务器之间的实质持续反向连接与所述至少一个内部服务器的一个或多个内部注册端口通信。所述DMZ的两侧均执行一种公共通信协议。所述外部网络的客户端与所述至少一个内部服务器之间的任何信息在所述外部网络的客户端与所述至少一个内部服务器之间充分直接地传输。
本发明另一实施例提供了一种用于DMZ的HTTP网关。所述DMZ位于网络的外部防火墙与内部防火墙之间。所述网络包括专用网络和公用网络。反向代理端口用于与所述外部网络的客户端通信。所述代理注册端口用于通过所述HTTP网关与所述各个内部服务器之间的实质持续反向连接与所述专用网络提供的至少一个内部服务器的一个或多个内部注册端口通信。所述DMZ的两侧均采用一种公共通信协议。所述外部网络的客户端与所述至少一个内部服务器之间的任何信息在所述外部网络的客户端与所述至少一个内部服务器之间充分直接地传输。
本发明再一实施例提供了一种网络配置方法。所述方法包括如下步骤:提供外部防火墙和内部防火墙从而在所述外部防火墙和内部防火墙之间界定一DMZ,其中内部网络设置在所述内部防火墙之后,外部网络设置在所述外部防火墙之前;把至少一个内部服务器连接到所述内部网络,其中所述每个内部服务器包括至少一个内部注册端口;在所述DMZ内设置至少一个反向HTTP网关,其中所述每个反向HTTP网关包括反向代理端口和代理注册端口,所述反向代理端口用于与外部网络的客户端通信,所述代理注册端口用于通过所述各个反向HTTP网关与所述各个内部服务器之间的实质持续反向连接与所述至少一个内部服务器的一个或多个内部注册端口通信;在所述DMZ的两侧均采用一种公有通信协议。本实施例的网络配置方法的所述外部网络的客户端与所述至少一个内部服务器之间的任何信息在所述外部网络的客户端与所述至少一个内部服务器之间充分直接地传输。
通过以下的描述并结合附图,本发明将变得更加清晰,这些附图用于解释本发明的实施例。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为典型的反向调用架构的示意图。
图2为图1所示反向调用架构的详细示意图,展示了所述反向调用架构的代理端口和注册端口的协作关系。
图3为已授权管理者对反向调用架构里的所述反向调用服务器和所述内部服务器执行管理职能的示意图。
图4为为适应附加通信协议而改进的反向调用架构的示意图。
图5为具有多重防火墙的混合反向调用架构的示意图。
图6为为适应集群而改进的反向调用架构的示意图。
图7为本发明反向HTTP网关架构的一个实施例的示意图。
具体实施方式
简言之,反向调用是一种特征,其允许来自因特网的请求打开通向DMZ服务器的连接,然后通过预先建立的从内部服务器到所述DMZ服务器的连接把所述请求发送所述内部服务器。如上所述,这种设计基本上消除了在所述内部防火墙设置一个“孔洞”的需求。所述反向调用特征与专有网络协议一起已得到了广泛应用。
然而,本发明实施例提供一种可选网络协议,所述可选网络协议能在所述DMZ前后充当一种公有的开放性协议。特别地,在本发明的典型实施例中,所述HTTP1.1协议的一种专门用途涉及协议方向切换从而确保安全。使用在所述DMZ两侧的HTTP1.1的这种新用途大为有利地提供了增强的安全性能,可允许信息在所述DMZ内传输,极大地减小信息大小的限制,并能实现在所述内部服务器与所述反向调用服务器(现在可被当作反向HTTP网关)之间的实质持续反向连接,从而基本上消除延迟(例如,典型地存在于目前的轮询方案中的延迟)。尽管本实施例提供了特定版本的协议,但值得注意的是,本发明并不局限与此,也不局限于在所述网络的所有部分使用的特定版本的协议的典型实施例。
现在将描述典型的反向调用架构。图1为典型的反向调用架构的示意图。在图1中,来自外部网络(例如互联网)102的数据流寻求到达内部服务器104。外部防火墙106和内部防火墙108之间界定DMZ 110。
为了使所述内部服务器104在所述DMZ 110到所述内部网络的连接断开的环境中运行,所述内部服务器104可用于与服务于反向调用架构中的另一个内部服务器通信。在这种架构中(例如如图1所示),所述内部服务器104仍位于所述内部防火墙108的后面,此种环境的外部客户端(例如在外部网络102的装置)完全不能访问所述内部服务器104。另一个内部服务器放置在所述DMZ 110内用以充当反向调用服务器112。所述反向调用服务器112担当所述互联网102与所述内部服务器104之间的中介体。所有或者基本上所有用户验证和事务处理可在内部执行和/或在所述DMZ 110内执行。
一般来说,外部客户端发送请求到所述反向调用服务器112,所述反向调用服务器112进一步把所述请求传送到所述内部服务器104。所述内部服务器104处理所述请求后,所述内部服务器104向所述反向调用服务器112发送响应,所述反向调用服务器112传回所述响应到所述外部客户端。
更具体地,仍参考图1,所述内部服务器104打开到所述反向调用服务器112(线1)的连接。所述外部网络102上的外部设备(例如贸易伙伴)发送文件到所述反向调用服务器112(线2)。所述反向调用服务器112通过所述打开的连接(线3)转发所述文件到所述内部服务器104。所述内部服务器104发送响应到所述反向调用服务器112(线4)。所述反向调用服务器112转发所述响应到所述贸易伙伴(线5)。
通过这种方式,反向调用基本上是一个为打开所述内部防火墙108的端口(例如隧道或孔洞)从而允许所述DMZ 110到所述内部网络的连接的替代结构。为了使反向调用能运行,所述内部防火墙108还必须允许所述内部服务器104到所述DMZ 110的连接(例如向外连接)。在本发明的实施例中,多个从所述内部服务器104到所述反向调用服务器112的这种连接可以被提供来发送数据。通过减少到仅由所述内部服务器104建立的连接,所述反向调用结构使攻击者更难直接进入所述内部网络,即使攻击者破坏了所述DMZ 110的系统。
除了把请求传送到所述外部客户端或传送所述外部客户端发送的请求,所述反向调用服务器112在把请求发送到所述内部服务器104之前也可以用于执行用户自定义功能。例如,部署在所述反向调用服务器112上的信息包可用来执行可扩展标记语言(XML,Extensible Markup Language)的验证。
典型的反向调用服务器对于用户是透明的,不像某些第三方代理服务器,无需修改用户。
反向调用支持或可被配置来支持常规内部服务器处理的几乎所有的请求,例如,保证传递。此外,包括IP地址和/或域名的筛选可以在所述DMZ112内执行,每次服务筛选可以由所述内部网络执行。这样的筛选有助于阻止恶意文件进入所述内部网络。
在本发明的实施例中,所述内部防火墙108可以被配置来拒绝所有入站连接从而,例如提供增强的安全性。
图2为图1所示反向调用架构的详细结构示意图,展示了所述反向调用架构的代理端口和注册端口的协作关系。当把普通内部服务器当作反向调用服务器112时,所述反向调用服务器112通常必须具有反向代理端口204(例如HTTP或HTTPS反向代理端口)和注册端口206(有时称为反向注册端口)。所述反向代理端口204用来监听外部客户端(例如伙伴)的请求。所述反向调用服务器112通过所述注册端口206维持到所述内部服务器104的连接208。如上所述,鉴于安全目的,所述内部服务器104发起到所述反向调用服务器112的所述连接。
以下将描述反向调用结构的典型防火墙规则。对于所述外部防火墙106来说,入站连接可自主地受限于通过任一端口进入的已知贸易伙伴的源地址。对于所述入站连接,所述目的地址是所述反向服务器112,所述端口是所述代理端口204。对于所述出站连接,所述源地址是来自任一端口的所述反向调用服务器112。可选择地,所述目的地址可受限于贸易伙伴。同样可选择地,所述端口可受限于所述贸易伙伴的内部服务器的所述端口号码。出站连接可仅仅受限于已建立的连接。
对于所述内部防火墙108的所述入站连接,所述源地址是通过任何端口出去的所述反向调用服务器112。所述目的地址也是通过任一端口出去的所述内部服务器104。入站连接可仅仅受限于已建立的连接。对于出站连接,所述源地址将是通过任一端口的所述内部服务器104。所述目的地址是所述反向调用服务器112,所述端口是所述注册端口206.
目前,所述内部服务器104使用专有异步通信协议连接到所述反向调用服务器112。这个特殊的协议使用两种传输协议:没有加密的并且使用简单的传输控制协议(TCP,Transfer Control Protocol)套接字的套接字安全性(socketsecurity,SOCKS)协议,及加密的并使用SSL套接字的安全套接层SOCKS协议(Secure socket Layer SOCKS,SSLSOCK)。通常所述连接基本上是持续的(例如尽可能持续的)。因此,从DMZ112到所述内部网络会发生协议改变。这个从DMZ112到所述内部网络的专有协议通常不太容易被攻击者知悉。
当选择一个到所述内部服务器104的连接时,假定已注册的连接满足阀值标准,则所述反向调用服务器112以循环的方式选择所述已注册的连接。特别地,所述反向调用服务器112选择未超过为未决请求(pending request)数量而设定的预定阀值的下一个连接。
仍参考图2,以下简要介绍如何在反向调用方案中处理外部客户端的请求。所述外部客户端202发送请求到所述反向调用服务器112。可选地,所述反向调用服务器112执行附加处理,例如,用户自定义XML验证。所述反向调用服务器112把所述请求变换成消息,并把所述消息发送到所述反向调用服务器112与所述内部服务器104之间预先建立的连接上的所述内部服务器104中。所述内部服务器104处理所述请求,然后发送响应到所述反向调用服务器112。所述反向调用服务器112发送所述响应到所述外部客户端202。
图3为已授权管理者302对反向调用体系架构里的所述反向调用服务器112和所述内部服务器104执行管理职能的示意图。标准HTTP或者HTTPS协议监听器304使所述管理者302能够管理所述反向调用服务器112。因此,所述管理者302可处于远离所述反向调用服务器112和所述内部服务器104两者或其中之一的地方。
相应地,较为理想的是允许已授权管理者302管理所述反向调用服务器112和/或所述内部服务器104的同时保护所述反向调用服务器112和所述内部服务器104免受对通信相关的管理模块的未授权袭击式访问。为了对所述反向调用服务器112和所述内部服务器104提供保护,所述反向调用服务器112和所述内部服务器104均设置了独立端口以便管理。仅为举例但不仅限于此,反向调用注册端口206可以通过端口1111与所述内部服务器104通信。位于所述外部网络102的外部客户端可以通过端口443与HTTP或HTTPS反向代理端口204通信。所述管理者302可以通过端口5555上的标准HTTP或HTTPS监听器304与所述反向调用服务器112通信。
另外,IP地址和/或域名限制用于独立端口的连接中以保护网络部件。值得注意的是,所述外部防火墙106为所述网络部件提供附加的较为固有的保护形式。
如上所述,反向调用支持或者被配置来支持由内部服务器处理的几乎所有的请求。图4为为适应附加的通信协议而改进的反向调用架构的示意图。详细地,图4展示了所述反向调用架构与FTP服务的协作关系。虽然FTP服务在图4进行了展示和描述,但其他服务,例如简单邮件传输协议(SMTP,SimpleMessage Transfer Protocol),可通过类似方式应用于本发明的其他实例中。为了使用FTP,可能需要创建接收请求的服务。因此,所述反向调用服务器112提供了FTP接收服务器404。在所述FTP接收服务器404接收从所述外部网络102传来的消息后,所述消息可能被重复提交到相同服务器上的HTTP或HTTPS反向代理端口204(或者适当配置的HTTP或HTTPS监听器)。在这种情况下,仅为本地主机配置所述HTTP或HTTPS反向代理端口代理204(或者HTTP或HTTPS监听器)是有利的从而,例如提供安全性(包括例如减少未授权的外部客户端访问所述反向调用服务器112的机会)。当所述消息在重复提交到所述HTTP或者HTTPS反向代理端口204(或者适当配置的HTTP或HTTPS监听器)之后,所述消息被正常地发送到所述反向调用注册端口206。
图5是具有多重防火墙的混合反向调用架构的示意图。图5与图1相似,不同之处在于图5的体系结构里之邻近外部防火墙106处引入了附加XML防火墙502。在本发明的某些典型实施例中,所述XML防火墙502甚至可以代替所述外部防火墙106。所述XML防火墙502可以作为硬件、软件、固件或者程序逻辑电路的任意适当组合进行应用。
在图5中,所述内部服务器104打开到所述反向调用服务器112(线1)的连接。与所述外部网络102连接的贸易伙伴发送文件到所述XML防火墙502(线2)(可选地,当实施架构包括外部防火墙106时,跨越所述外部防火墙106)。所述XML防火墙502把所述文件转发到所述反向调用服务器112(线3)。所述反向调用服务器112再把文件通过打开的连接(线4)转发到所述内部服务器104。所述内部服务器104向所述反向调用服务器112(线5)发送响应。所述反向调用服务器112把所述响应转发给所述XML防火墙502(线6)。所述XML防火墙502再把所述响应返回给所述贸易伙伴(线7)。因此,执行混合架构时应用通用反向调用技术是可行的。
同样,集群技术也可以用在反向调用架构中。图6为为适应集群改进的反向调用架构的示意图。集群602里有多个负载均衡的反向调用服务器112(例如使用负载均衡器,图未示)。另外,多个内部服务器104也可以组成集群(例如加入到内部网络集群604里)来提高实用性、可靠性和/或扩展性。所述反向调用服务器112可以被设置成反向调用服务器的真实群或者虚拟群。为了设置成为虚拟群,必须确定虚拟群的用户清单。这需要考虑到故障转移支持,所述虚拟群的故障转移支持与真实群中的故障转移支持类似。
反向调用配置比传统第三方代理服务器多出了许多优点。例如,反向调用可以使用持续的SSL套接字连接。这种连接能提供加密,同时减少(有时甚至消除)建立SSL连接的大量开销。同样地,对于反向调用,可以配置内部防火墙来拒绝所有入站连接,从而充分地把所述内部服务从所述DMZ中隔离开来。实现反向调用要求外部用户端没有相对应的变动。另外,如有需要,发送所述请求到所述内部服务器前在所述反向调用服务器上执行附加的处理,例如,用户自定义XML认证也是可能的。
反向调用服务器能处理HTTP和HTTPS请求。典型地,第三方代理服务器只能处理HTTP请求或HTTPS请求。这样,由于反向调用配置通常支持HTTP和HTTPS协议,因此在连接中可以提供各种形式的认证,例如可以提供HTTP或HTTPS上的用户名或密码认证。如果所述认证在反向调用服务器中执行,就会进行验证并视为“批准的”通过验证。如果所述认证在内部服务器中执行,就会不断发送消息以取得验证。
可选地或者附加地,基于证书的认证可在HTTPS上执行。如果所述认证是在反向调用服务器中执行,验证的执行是通过对用户映射一份证书并把所述证书视为“批准”而通过验证。如果所述认证是在内部服务器中执行,所述反向调用服务器审查匹配的专用密钥的证明、证书验证间隔以及所述证书是否由被信任的认证机构签字。经由SOCK/SSLSOCK连接,所述反向调用服务器可通过所述内部服务器的数证书到达所述内部服务器。所述内部服务器可把所述证书映射到用户ID或者拒绝所述证书。通常,所述反向调用服务器和所述内部服务器具有相同的可信任的权限定义。在本发明的实施例中,为了实现可选的更高级别的安全性,认证通常在所述内部服务器上执行,再在所述反向调用服务器中执行。
虽然省略了反向调用服务器的可选设置和配置的其他详细信息,但是,所述其他详细信息可以在例如webMethods集成服务器管理员指南中找到。所述webMethods集成服务器管理员指南的所有内容合并于此以作参考。值得注意的是,上述配置技术仅为举例并不限于此。此外,应该注意上述实例技术应用于目前可得到的能实现以上所述反向调用配置和相应特征的产品。
上述解决方案即便在商业上是成功的,但仍可做出进一步的改进。在DMZ之前或之后的通信协议是不同的。详细地,所述DMZ与所述内部服务器之间需要一个专有连接,这样在消息被转发前增加了网络的复杂性和附加的处理要求。例如,整个输入消息必须被保存在DMZ的服务器内的存储器中,因而限制了消息的大小并产生延迟。由于专有协议的存在,附加的硬件、软件和/或其他程序逻辑电路通常需要适应非HTTP请求。如上所述,在某些情况下,引进附加部件从而提供上述功能是可能的。然而,引入上述附加部件略为麻烦,至少增加了配置和管理的耗费和复杂度。而且,某些服务(如JSP、SOAP等等)根本不可能被提供,因为没有高效和/或有效方式在所述用户请求服务与所述专有协议之间进行转化。
与目前的反向调用技术不同,本发明的实施例的HTTP在DMZ的前后作协议使用。如上所述,HTTP目前不用于与DMZ建立反向调用过程。相反,HTTP通常用来与请求同时建立连接。本发明的实施例以一种非常规的方式应用HTTP:首先,打开来自内部服务器的连接;然后,发送来自DMZ的一侧的请求。
为了消除所述DMZ与所述内部服务器之间的专有协议的需求,当所述内部服务器第一次启动时,所述内部服务器通过HTTP与位于所述DMZ里的反向调用服务器建立了网络连接。当所述反调用服务器接收到来自外部的请求时,所述反调用服务器就会通过已打开的连接把所述请求发送到所述内部服务器。这样,所述反调用服务器就起到了反向HTTP网关的作用。
本发明的示范性实施例以一种独特的、非常好的方式使用HTTP1.1提供的服务。通常所述HTTP协议用于从网络连接的发送端到接收端的方向上。因此所述连接一般用于从所述内部服务器到所述反向调用服务器的方向上。在本发明的实施例中,实施例中描述的“反向调用”方法使所述内部服务器建立了所述网络连接。与传统的HTTP不同,本发明的示范性实施例中的请求是由所述反向HTTP网关发送到所述内部服务器的。
下面通过例证来分析。假想在一个电话系统中,某个人发起一个呼叫,并能够向接收者问所述接收者能回答的问题。在这样的系统中,如果接收者想问上述电话启动者问题,所述接收者必须回叫所述电话启动者从而在独立的对话中问所述电话启动者问题。上述模式说明了HTTP的常用操作方式。
然而,本发明的实施例采用了一种新颖的、非常好的HTTP的实现方案。在这种情况下,一方发起呼叫,另一方提问。本发明的示范性实施例中所提供的新方法仅发送请求,而不充当代理服务器。因此,本发明的示范性实施例中的“反向调用”架构被当作反向“HTTP”网关。
可能更特别地,不需要超出基本服务器配置的特殊方法就能实现这种特殊用法。这是因为本发明的示范性实施例提供了一种使用HTTP1.1的新方法从而提供安全机制。至少所述HTTP的部份使用方法是很特别的,因为安全服务通过运行在服务器上的附加辅助服务、附加或替代HTTP的开放性协议和/或附加或替代专有协议的方式被提供。本发明的实施例减少了(有时甚至消除)辅助服务、附加的开放性协议和/或附加替代专有协议的需求,尤其在所述DMZ内的反向HTTP网关与运行在所述内部网络的内部服务器之间上述需求的减少更明显。
专有协议的消除(以及HTTP1.1的相应取代)是很有好处且是很必要的。越来越多的客户全力支持用HTTP1.1部署系统,部分原因是通过全力支持HTTP1.1,内部服务器可以以完全对等方式与客户端系统相互配合。
同样,系统的重要性能也能得到改善。用HTTP1.1来替换所述专有调用协议之后,大量文件能充分直接地(例如尽可能直接的)转发到所述内部服务器。可以预料地,当转发文件到所述内部服务器时,在所述DMZ(或其他位置)中没有任何服务器保存存储器中的所述文件的重要部分的情况下,系统可支持大量文件以GB或更大数量级来转发。由于所述DMZ两侧的协议相同,HTTP1.1可大大增加直通率,另外,在基于内存的所有消息没有缓冲的情况下,利用HTTP1.1允许充分直接地消息传输。
尽管改变了所述基本反向调用架构的主要技术并增强了所述基本反向调用架构的性能,本发明的实施例中仍保留了由传统的反向调用架构支持的部分或全部安全性能。例如,保留了在所述内部服务器上认证用户的现有的反向调用功能,所述认证包括基本验证和基于证书的认证。
同样,本发明的实施例为贸易网络(TN,Trading Networks)(例如商业化地从webMethods购得的类型)和为其他协议提供第一次支持的多层面产品提供了不间断的支持。对于前者,大量企业对企业(B2B,Business to Business)的产物(例如将HTTP用作线协议的产物)包括:终端网络(Terminal Network,TN)接收、网际网路电子资料交换(EDIINTE1,ectronic Data Interchange-InternetIntegration)、RosettaNet执行构架(RNIF,RosettaNet ImplementationFramework)以及电子商务全球化标准(ebXLM,Electronic Business ExtensibleMarkup Language)协议(位于TN顶层)。本发明实施例的反向HTTP网关架构支持所述企业对企业的产物。对于后者,例如,本发明的典型实施例为Java服务器协议(JSP,Java Server protocol),简单对象访问协议(SOAP,SimpleObject Access Protocol),网络服务(WS,web service)和/或其它调用协议提供支持。
以下对HTTP1.1描述的特征可为本发明的示范性实施例中的反向HTTP网关架构提供更多支持。第一,根据兼容标准,HTTP1.1不仅可与使用现有HTTP版本(例如版本9、1.0、1.1)的代理服务器完全兼容,还可以简化多地址(multi-homed)用法和IP地址保存。
第二,对于端口配置来说,端口配置具有中断/恢复的功能,同样还具有延迟能力,通过引进特定的延迟可减小新连接的建立率。由于每个端口都有保持存活的特征(例如允许连接重复使用),因而还需要提供统一的HTTP/S体系结构。另外,需要设置缓冲队列(例如中断时)并提供专有的线程池(与诊断端口类似)。
第三,对于远程服务器的别名,HTTP1.1协议具有保持重复连接存活的功能,该功能就像配置最大限度保持不活动连接的服务一样。第四,对于反向HTTP网关,传统的HTTP隧道协议可完全被HTTP到HTTP直接数据传输技术取代。例如,大量文件的支持和性能的改善。同样,可为反向代理端口(例如用于客户访问)、反向注册端口(例如用于内部服务器访问)和/或内部服务器注册端口(例如用于连接代理服务器)提供新端口配置。
以下HTTP1.1特征的用例(use cases)有助于实现本发明实施例的反向HTTP网关的功能。当然,值得注意的是,其他的用例和手段也是可行的。同时,可理解地,以下规定的配置、限定以及步骤仅为举例但不限于此。
用例1:中断HTTP监听器
执行体:系统管理员、HTTP用户。
目的:系统管理员希望中断监听端口。
前提:系统管理员已经定义了一个HTTP或HTTPS端口,监听端口还未被中断。
结果:监听端口被中断,监听器将不接收任何连接且不能发送任何请求。
主要手段:系统管理员使用系统管理员工具。对HTTP用户而言,请求被设于被中断的监听端口上。若缓冲队列已被激活且没有满,连接将排队等待。若缓冲队列未被激活,连接将被拒绝。
频率:初始端口建立,服务器改变。
问题:一旦监听器被中断,若端口被删除或禁止,排队的连接将被释放。
用例2:恢复HTTP监听器
执行体:系统管理员、HTTP用户
目的:系统管理员希望恢复已被中断的监听端口。
前提:监听端口已被中断。
结果:已被中断的监听端口重新恢复使用。监听器可以重新接收连接并发送请求。
主要手段:系统管理员使用系统管理员工具。对HTTP用户而言,监听器可以接收连接并发送请求。
频率:初始端口建立。
用例3:建立HTTP端口延迟
执行体:系统管理员、HTTP用户
目的:系统管理员希望增加监听器接收新的用户连接前的等待时间。
前提:系统管理员已经定义了一个HTTP或HTTPS端口。
结果:监听器可以对新的用户连接延迟特定的时间。
主要手段:系统管理员使用系统管理员工具(例如以任何可接受的单位如毫秒、秒等来设置延迟)。对HTTP用户而言,请求被设于监听端口上。若延迟已确定,时间未耗尽,并且若缓冲队列已被激活且没有满,连接将排队等待。若延迟已确定,时间未耗尽,并且若缓冲队列未被激活,连接将被拒绝。
频率:基于运行环境。
注意:使用者能选择降低或提高新连接建立时的速度。
用例4:建立专有线程池
执行体:系统管理员、HTTP用户
目的:系统管理员希望为HTTP监听器配置一个专有线程池。
前提:系统管理员已经定义了一个HTTP或HTTPS端口。
结果:专有线程池用于分派新的HTTP请求。
主要手段:系统管理员使用系统管理员工具(例如,并选择性地改变线程池的最小值(min)、最大值(max)和优先级(priority))。对HTTP用户而言,若线程池未被激活,监听器可以使用全局线程池。若线程池已被激活,监听器则使用专有线程池。
频率:基于运行环境
注意:线程池的优先级是基于JAVA的线程优先级,并且会影响到服务器。线程池的最小值(min)不能大于线程池的最大值(max)。并且线程池的最大值(max)不能超过65535。
问题:若一个请求会产生另外的服务线程,这些线程将从全局池中调取,而不是从监听器的私有池中调取。
用例5:配置新的HTTP端口参数
执行体:系统管理员
目的:系统管理员希望配置新的端口参数,如专有线程池、监听地址,清单(backlog)和保持连接存活的超时时间。
前提:系统管理员已经定义了一个HTTP或HTTPS端口。
结果:系统管理员能成功配置端口参数。
主要手段:系统管理员使用系统管理员工具来(1)选择用于编辑的HTTP端口;(2)设定监听地址(如:具有监听某个机器上的具体IP地址的能力);(3)设置连接队列清单(如:当监听器被中断时,在拒绝新的连接请求之前,所述清单上的连接请求将被中止);(4)设定保持连接存活的超时时间;(5)激活专有线程池,并设定池的最大值(max)、最小值(min)和线程优先级。
频率:初始端口建立
用例6:配置高级HTTP端口的设置
执行体:系统管理员
目的:系统管理员希望配置高级HTTP端口的设置,例如可以中断或抑制监听器连接。
前提:系统管理员已经定义了一个HTTP或HTTPS端口。
结果:系统管理员能成功配置高级HTTP端口的设置。
主要手段:系统管理员使用系统管理员工具来选择HTTP端口,以用于编辑、中断、降低/提高新连接建立之前的速度,以及增加/减少专有线程池中的线程数。
频率:基于运行环境
用例7:在分别处于DMZ和安全层里的两个内部服务器之间建立HTTP网关
执行体:系统管理员
目的:系统管理员希望在安全层的内部服务器与DMZ的内部服务器之间建立HTTP网关。
结果:系统管理员能成功地在上述服务器之间配置HTTP网关。
主要手段:系统管理员使用DMZ服务器上的系统管理员工具来(1)添加新的HTTP或HTTPS端口;(2)选择反代理端口(例如针对入站请求的端口);(3)配置所述反代理端口并设定注册端口以转发所述入站请求,以及激活所述反代理端口;(4)添加另一个HTTP或HTTPS端口;(5)选择代理注册端口(例如接收内部服务器的连接的端口);(6)配置所述代理注册端口并设定代理端口为验证反向HTTP网关配置的端口,然后激活所述代理注册端口;(7)添加内部注册端口;(8)配置所述内部注册端口并设定代理主机和最大连接数,然后激活所述内部注册端口。
频率:初始HTTP网关建立
用例8:配置新远程服务器别名的参数
执行体:系统管理员
目的:系统管理员希望配置新远程服务器别名的参数。
前提:系统管理员事先定义了一个远程服务器别名。
结果:系统管理员者能成功配置别名参数。
主要手段:系统管理员使用系统管理员工具来设定保持连接存活的超时时间和用户连接的最大值(例如可保留以重复使用的连接)
频率:初始远程服务器别名建立
用例9:运行HTTP网关行为
执行体:用户系统
目的:用户系统希望通过HTTP传送文件或者调用服务到内部服务器/TN服务器,一个当作HTTP网关的内部服务器位于所述内部服务器/TN服务器之前。
前提:HTTP网关(例如如用例7中所定义的)已建立(例如如图7所示以及下面的细节所描述的)。
结果:用户能成功地在内部服务器/TN服务器上传送文件或者调用服务。
主要手段:(1)用户发送HTTP1.1请求(第一请求)到负载均衡器;(2)所述负载均衡器将第一请求转发给第一反向HTTP网关的反代理端口;(3)所述第一反向HTTP网关将所述请求传给第一内部服务器或者第二内部服务器,例如,基于具有可用连接最大数的服务器;(4)所述用户发送另一HTTP请求(第二请求)到所述负载均衡器;(5)所述负载均衡器将所述第二请求转发给第二反向HTTP网关的反代理端口;(6)所述第二反向HTTP网关将所述请求传给所述第一内部服务器或者所述第二内部服务器,例如,基于具有可用连接最大数的服务器。
扩展:所述用户可以发送任何HTTP请求(例如HTTP1.0请求)。所述用户请求不局限于任何特殊的有效载荷的大小(例如有效载荷大小可以是10k、100k、1MB、100MB、1GB、5GB等)。
频率:非常频繁
注意:要确保当发送大的文件(例如不管是通过HTTP1.0用户还是HTTP1.1用户)时,由于服务器还要传送请求,,Java虚拟机(Java VirtualMachine)堆在反向HTTP网关上不会被最大化。
图7为本发明一个实施例的反向HTTP网关架构的示意图。在传统方式中,外部防火墙106与内部防火墙108之间的区域为DMZ 110。DMZ内部具有负载均衡器702,所述负载均衡器702将来自外部网络的请求通过外部防火墙106发送到适当的反向HTTP网关112’上的反代理端口204’。所述请求可以是HTTP、JSP、SOAP或者其他的请求。所述代理注册端口206’用于通过HTTP1.1与内部服务器104的内部注册端口704a-b通信。接收所述请求的所述反向HTTP网关112’用于将请求传送给适当的内部服务器104。哪个内部服务器应该接收所述请求的决定部分基于可用连接的数量、未完成的请求数量和/或类似参数。
仅为举例但不仅限于此,本发明可以提供不同类型的端口数量。来自外部客户端的HTTP请求被发送到标准的HTTP端口80。因此,所述反向代理端口204’用于在所述端口80上处理请求。相反地,所述代理注册端口206’和所述内部注册端口704a-b可用于非标准的HTTP端口,例如,以使所述代理注册端口206’和所述内部注册端口704a-b较少受来自外界的攻击。这样,所述代理注册端口206’就可以通过端口180和/或端口280进行通信。所述内部注册端口704a可以通过所述端口180进行通信,所述内部注册端口704b可以通过所述端口280进行通信。由于包含了多个内部注册端口704a-b,所述内部注册端口704a-b均个操作都在不同的端口上,因此来自所述反向HTTP网关112’的请求可以被适当的轮换,例如,从而降低网络拥塞以及同时容纳更多的数据流。
尽管图7中描述了多个内部服务器104和多个反向HTTP网关112’,但值得注意的是,本发明并未限定所述内部服务器104或反向HTTP网关112’的具体数量。例如,一个单独的反向HTTP网关112’可以与一个单独的内部服务器104或一簇内部服务器104通信。类似地,一个单独的内部服务器104可以与一个单独的反向HTTP网关112或一簇反向HTTP网关112通信。另外,转发非HTTP请求(例如上面所描述的)的附加服务也可以提供给反向HTTP网关。
可理解地,本发明实施例中所揭露的内部服务器104可以是任意类型的,包括例如具有执行业务流程管理(Business Process Management,BMP)能力的集成服务器或者类似服务器。
值得注意的是,本发明实施例中所揭露的HTTP并不局限于特定版本或实现方式。例如,本申请使用的术语HTTP可以包括HTTP、HTTPS(例如在SSL上的HTTP)等。同样值得注意的是,本发明实施例的HTTP可以在外部使用,HTTPS可以在内部使用,反之亦然,或者外部和内部都使用HTTP,或是外部和内部都使用HTTPS。
以上揭露的为本发明的较佳实施例而已,不能以此限制本发明的权利范围。但是相反地,以本发明的实质所做的不同修改和同等变化,仍然属于本发明所涵盖的范围。
Claims (26)
1.一种网络,包括:
外部防火墙和内部防火墙,所述外部防火墙与所述内部防火墙之间设有隔离带;
位于所述内部防火墙之后的内部网络;
位于所述外部防火墙之前的外部网络;
连接所述内部网络的至少一个内部服务器,所述每个内部服务器均包括至少一个内部注册端口;以及
位于所述隔离带内的至少一个反向超文本传输协议网关,所述每个反向超文本传输协议网关包括:
配置成与所述外部网络的客户端通信的反向代理端口;以及
配置成通过所述各个反向超文本传输协议网关与所述各个内部服务器之间的实质持续反向连接与所述至少一个内部服务器的一个或多个内部注册端口通信的代理注册端口,
其中,所述隔离带的两侧均采用公共通信协议;以及
其中,所述外部网络的客户端与所述至少一个内部服务器之间的任何信息在所述外部网络的客户端与所述至少一个内部服务器之间充分直接地传输。
2.如权利要求1所述的网络,其特征在于:所述网络被配置成在所述外部网络的客户端与不受单独客户端配置限制的所述至少一个内部服务器之间充分直接地传输信息。
3.如权利要求1所述的网络,其特征在于:所述公共通信协议是超文本传输协议;以及
所述至少一个反向超文本传输协议网关与所述至少一个内部服务器之间的通信采用超文本传输协议1.1进行处理。
4.如权利要求1所述的网络,其特征在于:所述至少一个反向超文本传输协议网关被配置成适于简单对象访问协议请求和/或Java服务器协议请求。
5.如权利要求1所述的网络,其特征在于,进一步包括:一簇反向超文本传输协议网关以及一簇内部服务器。
6.如权利要求5所述的网络,其特征在于,进一步包括:位于所述隔离带内的负载均衡器,所述负载均衡器被配置成把消息发送到所述反向超文本传输协议网关,其特征在于:
所述每个反向超文本传输协议网关被配置成把消息选择性地发送到所述一簇内部服务器。
7.如权利要求6所述的网络,其特征在于:所述消息的发送取决于所述一簇内部服务器中的每个内部服务器对应的可用连接的数目和/或取决于消息的循环分配模式。
8.如权利要求1所述的网络,其特征在于:所述至少一个反向服务器和/或所述至少一个内部服务器被进一步配置成执行用户名/密码认证和/或基于证书的认证。
9.如权利要求1所述的网络,其特征在于:所述至少一个反向超文本传输协议网关提供附加服务从而通过一个或多个附加协议提供通信。
10.一种应用在隔离带的超文本传输协议网关,所述隔离带位于网络的外部防火墙与内部防火墙之间,所述网络包括专有网络和公有网络,所述超文本传输协议网关包括:
配置成与所述公有网络的客户端通信的反向代理端口;以及
配置成通过所述反向超文本传输协议网关与所述各个内部服务器之间的实质持续反向连接与为所述专有网络提供的至少一个内部服务器的一个或多个内部注册端口通信的代理注册端口,
其中,所述隔离带的两侧均采用公共通信协议;以及
其中,所述公有网络的客户端与所述至少一个内部服务器之间的任何信息在所述公有网络的客户端与所述至少一个内部服务器之间充分直接地传输。
11.如权利要求10所述的超文本传输协议网关,其特征在于:所述公共通信协议是超文本传输协议;以及
所述反向超文本传输协议网关与所述至少一个内部服务器之间的通信采用超文本传输协议1.1进行处理。
12.如权利要求10所述的超文本传输协议网关,其特征在于:所述反向超文本传输协议网关被配置成适于简单对象访问协议请求和/或Java服务器协议请求。
13.如权利要求10所述的超文本传输协议网关,其特征在于,进一步包括:一簇内部服务器。
14.如权利要求10所述的超文本传输协议网关,其特征在于:所述反向服务器和/或所述至少一个内部服务器被进一步配置成执行用户名/密码认证和/或基于证书的认证。
15.如权利要求10所述的反向超文本传输协议网关,其特征在于,进一步包括:附加服务,所述附加服务通过一个或多个附加协议提供通信。
16.一种包括至少两个如权利要求10所述的超文本传输协议网关的集群,包括:
位于所述隔离带内的负载均衡器,所述负载均衡器被配置成把消息发送到所述反向超文本传输协议网关,
其中,所述每个反向超文本传输协议网关被配置成把消息选择性地发送到一簇内部服务器。
17.如权利要求16所述的集群,其特征在于:所述消息的发送取决于所述一簇内部服务器中的每个内部服务器对应的可用连接数目和/或取决于消息的循环分配模式。
18.一种配置网络的方法,包括如下步骤:
提供外部防火墙和内部防火墙从而在所述外部防火墙与所述内部防火墙之间界定一隔离带,一内部网络设置在所述内部防火墙之后,一外部网络设置在所述外部防火墙之前;
把至少一个内部服务器连接到所述内部网络,其中所述每个内部服务器包括至少一个内部注册端口;
在所述隔离带内设置至少一个反向超文本传输协议网关,其中所述每个反向超文本传输协议网关包括反向代理端口和代理注册端口,所述反向代理端口用于与外部网络的客户端通信,所述代理注册端口用于通过所述各个反向超文本传输协议网关与所述各个内部服务器之间的实质持续反向连接与所述至少一个内部服务器的一个或多个内部注册端口通信;以及
在所述隔离带的两侧均采用一种公有通信协议,
其中,所述外部网络的客户端与所述至少一个内部服务器之间的任何信息在所述外部网络的客户端与所述至少一个内部服务器之间充分直接地传输。
19.如权利要求18所述的配置网络的方法,其特征在于,进一步包括:使在所述外部网络的客户端与所述至少一个内部服务器之间的信息的充分直接传输不受单独客户端配置的限制。
20.如权利要求18所述的配置网络的方法,其特征在于,进一步包括:采用超文本传输协议1.1处理所述至少一个反向超文本传输协议网关与所述至少一个内部服务器之间的通信。
21.如权利要求18所述的配置网络的方法,其特征在于,进一步包括:提供简单对象访问协议请求和/或Java服务器协议请求。
22.如权利要求18所述的配置网络的方法,其特征在于,进一步包括:形成两个或多个反向超文本传输协议网关集群;形成两个或多个内部服务器集群。
23.如权利要求22所述的配置网络的方法,其特征在于,进一步包括:通过位于所述隔离带内的负载均衡器把消息发送到所述反向超文本传输协议网关;以及
通过位于所述反向超文本传输协议网关集群中的反向超文本传输协议网关把消息选择性地发送到所述内部服务器集群。
24.如权利要求23所述的配置网络的方法,其特征在于:所述消息的发送取决于所述一簇内部服务器中的每个内部服务器对应的可用连接数目和/或取决于消息的循环分配模式。
25.如权利要求18所述的配置网络的方法,其特征在于,进一步包括:通过所述至少一个反向服务器和/或所述至少一个内部服务器执行用户名/密码认证和/或基于证书的认证。
26.如权利要求18所述的配置网络的方法,其特征在于,进一步包括:为所述至少一个反向超文本传输协议网关提供附加服务从而通过一个或多个附加协议提供通信。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/896,313 | 2007-08-30 | ||
| US11/896,313 US8181238B2 (en) | 2007-08-30 | 2007-08-30 | Systems and/or methods for streaming reverse HTTP gateway, and network including the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101420455A true CN101420455A (zh) | 2009-04-29 |
Family
ID=38720333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008102159002A Pending CN101420455A (zh) | 2007-08-30 | 2008-09-01 | 反向http网关数据传输系统和/或方法及其网络 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8181238B2 (zh) |
| EP (1) | EP2031817B1 (zh) |
| CN (1) | CN101420455A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997817A (zh) * | 2009-08-12 | 2011-03-30 | 升东网络科技发展(上海)有限公司 | 一种用于提高应用程序网络穿透能力的系统和方法 |
| CN103281408A (zh) * | 2013-05-14 | 2013-09-04 | 福建星网锐捷安防科技有限公司 | 一种反向注册穿透网络的方法 |
| CN103312533A (zh) * | 2012-03-14 | 2013-09-18 | 富士施乐株式会社 | 信息处理系统、信息处理设备、设备、以及信息处理方法 |
| CN104333573A (zh) * | 2012-06-29 | 2015-02-04 | 北京奇虎科技有限公司 | 一种大并发量请求的处理方法及处理系统 |
| CN104412558A (zh) * | 2012-02-19 | 2015-03-11 | 埃米尔·密扎尔 | 用于确保前端应用和其它应用安全的反向接入方法 |
| CN105187416A (zh) * | 2015-08-24 | 2015-12-23 | 国网北京市电力公司 | 应用于充电系统的安全防护方法、装置及系统 |
| CN108093015A (zh) * | 2016-11-21 | 2018-05-29 | 北京京东尚科信息技术有限公司 | 文件传输系统 |
| CN108093086A (zh) * | 2018-01-22 | 2018-05-29 | 微梦创科网络科技(中国)有限公司 | 一种服务网关的数据传输方法及系统 |
| CN108134816A (zh) * | 2016-12-01 | 2018-06-08 | 埃森哲环球解决方案有限公司 | 对远程设备上的数据的访问 |
| CN108540467A (zh) * | 2018-04-02 | 2018-09-14 | 广东能龙教育股份有限公司 | 一种基于防火墙系统的安全隔离方法 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN110740187A (zh) * | 2019-10-25 | 2020-01-31 | 家乡互动(厦门)网络科技有限公司 | 一种微服务架构的实现方法 |
| CN114466065A (zh) * | 2022-01-25 | 2022-05-10 | 网易(杭州)网络有限公司 | 网关的代理方法及装置、电子设备、存储介质 |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458338B2 (en) * | 2007-06-15 | 2013-06-04 | Nec Corporation | Address translation device and address translation method |
| US8181238B2 (en) * | 2007-08-30 | 2012-05-15 | Software Ag | Systems and/or methods for streaming reverse HTTP gateway, and network including the same |
| US8291086B2 (en) * | 2008-01-18 | 2012-10-16 | General Electric Company | Method and system for accessing data in an enterprise information system |
| US8412932B2 (en) * | 2008-02-28 | 2013-04-02 | Red Hat, Inc. | Collecting account access statistics from information provided by presence of client certificates |
| US8825854B2 (en) * | 2008-11-24 | 2014-09-02 | Sap Ag | DMZ framework |
| US8572719B2 (en) * | 2010-05-28 | 2013-10-29 | Commvault Systems, Inc. | Firewall proxy systems and methods in a backup environment |
| US20130144935A1 (en) * | 2010-12-13 | 2013-06-06 | Vertical Computer Systems, Inc. | System and Method for Running an Internet Server Behind a Closed Firewall |
| US8954587B2 (en) * | 2011-07-27 | 2015-02-10 | Salesforce.Com, Inc. | Mechanism for facilitating dynamic load balancing at application servers in an on-demand services environment |
| US9100369B1 (en) * | 2012-08-27 | 2015-08-04 | Kaazing Corporation | Secure reverse connectivity to private network servers |
| US9270621B1 (en) | 2013-02-25 | 2016-02-23 | Ca, Inc. | Securely providing messages from the cloud |
| US10318911B1 (en) | 2013-03-14 | 2019-06-11 | Jpmorgan Chase Bank, N.A. | Persistenceless business process management system and method |
| US9288189B2 (en) | 2014-01-06 | 2016-03-15 | International Business Machines Corporation | Retrieving both sensitive and non-sensitive content in a secure manner |
| US10369461B2 (en) * | 2014-01-24 | 2019-08-06 | Nvidia Corporation | Cloud gaming system and method of initiating a gaming session |
| US10491467B2 (en) | 2014-05-23 | 2019-11-26 | Nant Holdings Ip, Llc | Fabric-based virtual air gap provisioning, systems and methods |
| US9288272B2 (en) | 2014-07-10 | 2016-03-15 | Real Innovations International Llc | System and method for secure real-time cloud services |
| US9100424B1 (en) * | 2014-07-10 | 2015-08-04 | Real Innovations International Llc | System and method for secure real-time cloud services |
| CN105323125B (zh) * | 2014-07-25 | 2020-03-31 | 中兴通讯股份有限公司 | 一种跨家庭网络的处理方法及http网关、dlna设备 |
| WO2016029126A1 (en) * | 2014-08-21 | 2016-02-25 | Verasynth Inc. | Secure integration of web and mobile applications with enterprise application servers |
| US20160065552A1 (en) | 2014-08-28 | 2016-03-03 | Drfirst.Com, Inc. | Method and system for interoperable identity and interoperable credentials |
| US9961070B2 (en) | 2015-09-11 | 2018-05-01 | Drfirst.Com, Inc. | Strong authentication with feeder robot in a federated identity web environment |
| CN105554060A (zh) * | 2015-11-27 | 2016-05-04 | 深圳市美贝壳科技有限公司 | 一种快速搭建个人网络站点的方法 |
| US10521775B2 (en) | 2016-04-18 | 2019-12-31 | R3 Ltd. | Secure processing of electronic transactions by a decentralized, distributed ledger system |
| US10803190B2 (en) | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
| US10491567B2 (en) * | 2017-03-17 | 2019-11-26 | Verizon Patent And Licensing Inc. | Dynamic firewall configuration based on proxy container deployment |
| US10291602B1 (en) * | 2017-04-12 | 2019-05-14 | BlueTalon, Inc. | Yarn rest API protection |
| US11106631B2 (en) | 2017-12-12 | 2021-08-31 | International Business Machines Corporation | Cookie exclusion protocols |
| US11263605B2 (en) | 2018-03-22 | 2022-03-01 | R3 Llc | Weighted multiple authorizations |
| US10728219B2 (en) * | 2018-04-13 | 2020-07-28 | R3 Ltd. | Enhancing security of communications during execution of protocol flows |
| US11863528B1 (en) * | 2018-06-07 | 2024-01-02 | Amazon Technologies, Inc. | Glue layer that abstracts dynamic endpoints to static endpoints |
| DE102018123692A1 (de) | 2018-09-26 | 2020-03-26 | Cordaware GmbH Informationslogistik | System und Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich |
| US11870692B2 (en) * | 2019-11-20 | 2024-01-09 | Arris Enterprises Llc | Dynamic port forwarding |
| CN110971680B (zh) * | 2019-11-22 | 2022-01-28 | 拉扎斯网络科技(上海)有限公司 | 通信方法、装置、系统、电子设备及可读存储介质 |
| CN111092911B (zh) * | 2019-12-31 | 2021-11-02 | 成都科来网络技术有限公司 | 一种增强安全性的网络代理实现方法 |
| US11223535B2 (en) | 2019-12-31 | 2022-01-11 | Commvault Systems, Inc. | Smart network topology systems and methods |
| CN113328892B (zh) * | 2021-06-09 | 2022-07-08 | 北京八分量信息科技有限公司 | 一种高性能的http和反向代理服务器网络特性分析方法 |
| CN113923202B (zh) * | 2021-10-18 | 2023-10-13 | 成都安恒信息技术有限公司 | 一种基于http集群服务器的负载均衡方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050262357A1 (en) * | 2004-03-11 | 2005-11-24 | Aep Networks | Network access using reverse proxy |
| US20060248189A1 (en) * | 2005-04-28 | 2006-11-02 | International Business Machines Corporation | Reverse proxy system and method |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7657450B2 (en) | 2000-12-08 | 2010-02-02 | Microsoft Corporation | Reliable, secure and scalable infrastructure for event registration and propagation in a distributed enterprise |
| AU2002355575A1 (en) | 2001-08-08 | 2003-02-24 | Trivium Systems Inc. | Scalable messaging platform for the integration of business software components |
| US7661129B2 (en) * | 2002-02-26 | 2010-02-09 | Citrix Systems, Inc. | Secure traversal of network components |
| US8719436B2 (en) * | 2003-10-06 | 2014-05-06 | International Business Machines Corporation | Tunneling non-HTTP traffic through a reverse proxy |
| US7287066B2 (en) | 2003-10-31 | 2007-10-23 | Sap Aktiengesellschaft | Publish-subscribe system having a reliability mechanism |
| US20050154886A1 (en) * | 2004-01-12 | 2005-07-14 | International Business Machines Corporation | Declarative trust model between reverse proxy server and websphere application server |
| US8181238B2 (en) * | 2007-08-30 | 2012-05-15 | Software Ag | Systems and/or methods for streaming reverse HTTP gateway, and network including the same |
-
2007
- 2007-08-30 US US11/896,313 patent/US8181238B2/en active Active
- 2007-09-12 EP EP07017864A patent/EP2031817B1/en active Active
-
2008
- 2008-09-01 CN CNA2008102159002A patent/CN101420455A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050262357A1 (en) * | 2004-03-11 | 2005-11-24 | Aep Networks | Network access using reverse proxy |
| US20060248189A1 (en) * | 2005-04-28 | 2006-11-02 | International Business Machines Corporation | Reverse proxy system and method |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997817A (zh) * | 2009-08-12 | 2011-03-30 | 升东网络科技发展(上海)有限公司 | 一种用于提高应用程序网络穿透能力的系统和方法 |
| CN101997817B (zh) * | 2009-08-12 | 2014-06-25 | 升东网络科技发展(上海)有限公司 | 一种用于提高应用程序网络穿透能力的系统和方法 |
| CN104412558A (zh) * | 2012-02-19 | 2015-03-11 | 埃米尔·密扎尔 | 用于确保前端应用和其它应用安全的反向接入方法 |
| CN104412558B (zh) * | 2012-02-19 | 2019-01-29 | 安全科技数据有限公司 | 用于确保前端应用和其它应用安全的反向接入方法 |
| CN103312533A (zh) * | 2012-03-14 | 2013-09-18 | 富士施乐株式会社 | 信息处理系统、信息处理设备、设备、以及信息处理方法 |
| CN104333573A (zh) * | 2012-06-29 | 2015-02-04 | 北京奇虎科技有限公司 | 一种大并发量请求的处理方法及处理系统 |
| CN104333573B (zh) * | 2012-06-29 | 2018-04-17 | 北京奇虎科技有限公司 | 一种大并发量请求的处理方法及处理系统 |
| CN103281408A (zh) * | 2013-05-14 | 2013-09-04 | 福建星网锐捷安防科技有限公司 | 一种反向注册穿透网络的方法 |
| CN103281408B (zh) * | 2013-05-14 | 2016-06-22 | 福建星网锐捷安防科技有限公司 | 一种反向注册穿透网络的方法 |
| CN105187416A (zh) * | 2015-08-24 | 2015-12-23 | 国网北京市电力公司 | 应用于充电系统的安全防护方法、装置及系统 |
| CN108093015A (zh) * | 2016-11-21 | 2018-05-29 | 北京京东尚科信息技术有限公司 | 文件传输系统 |
| CN108093015B (zh) * | 2016-11-21 | 2020-09-01 | 北京京东尚科信息技术有限公司 | 文件传输系统 |
| CN108134816A (zh) * | 2016-12-01 | 2018-06-08 | 埃森哲环球解决方案有限公司 | 对远程设备上的数据的访问 |
| CN108093086A (zh) * | 2018-01-22 | 2018-05-29 | 微梦创科网络科技(中国)有限公司 | 一种服务网关的数据传输方法及系统 |
| CN108093086B (zh) * | 2018-01-22 | 2021-03-23 | 微梦创科网络科技(中国)有限公司 | 一种服务网关的数据传输方法及系统 |
| CN108540467A (zh) * | 2018-04-02 | 2018-09-14 | 广东能龙教育股份有限公司 | 一种基于防火墙系统的安全隔离方法 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN110740187A (zh) * | 2019-10-25 | 2020-01-31 | 家乡互动(厦门)网络科技有限公司 | 一种微服务架构的实现方法 |
| CN110740187B (zh) * | 2019-10-25 | 2021-12-28 | 家乡互动(厦门)网络科技有限公司 | 一种微服务架构的实现方法 |
| CN114466065A (zh) * | 2022-01-25 | 2022-05-10 | 网易(杭州)网络有限公司 | 网关的代理方法及装置、电子设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2031817B1 (en) | 2012-11-07 |
| US20090064307A1 (en) | 2009-03-05 |
| EP2031817A1 (en) | 2009-03-04 |
| US8181238B2 (en) | 2012-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
| JP3262689B2 (ja) | 遠隔操作システム | |
| US8332464B2 (en) | System and method for remote network access | |
| EP1658700B1 (en) | Personal remote firewall | |
| US6003084A (en) | Secure network proxy for connecting entities | |
| US7174378B2 (en) | Co-location service system equipped with global load balancing (GLB) function among dispersed IDCS | |
| EP2264956B1 (en) | Method for securing remote access to private networks | |
| US6718388B1 (en) | Secured session sequencing proxy system and method therefor | |
| EP1413094B1 (en) | Distributed server functionality for emulated lan | |
| US8073949B2 (en) | Secure multiapplication proxy | |
| US20030167403A1 (en) | Secure user-level tunnels on the internet | |
| JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
| EP1444775A2 (en) | Method and apparatus to manage address translation for secure connections | |
| EP1775903B1 (en) | A dynamic tunnel construction method for secure access to a private LAN and apparatus therefor | |
| MX2007010921A (es) | Metodo para comunicacion entre una aplicacion y un cliente. | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| JP2001036561A (ja) | Tcp/ipネットワークシステム | |
| JP2006277752A (ja) | コンピュータ遠隔管理方法 | |
| JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 | |
| EP1413095B1 (en) | System and method for providing services in virtual private networks | |
| JP3810998B2 (ja) | コンピュータ遠隔管理方法 | |
| JPH1132088A (ja) | ネットワークシステム | |
| JP4390965B2 (ja) | インターネット環境下のネットワーク接続管理システム | |
| JP2001306676A (ja) | Sohoシステム | |
| Chalk et al. | Networked systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20090429 |