CN102769618B - Web访问处理方法、网络设备及通信系统 - Google Patents
Web访问处理方法、网络设备及通信系统 Download PDFInfo
- Publication number
- CN102769618B CN102769618B CN201210248800.6A CN201210248800A CN102769618B CN 102769618 B CN102769618 B CN 102769618B CN 201210248800 A CN201210248800 A CN 201210248800A CN 102769618 B CN102769618 B CN 102769618B
- Authority
- CN
- China
- Prior art keywords
- web resource
- web
- resource
- access
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供WEB访问处理方法、网络设备及通信系统。该方法包括:接收用户设备发送的WEB资源访问请求;根据该请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;若不属于,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与WEB资源访问请求对应的WEB服务器进行通信;若属于,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种WEB访问处理方法、网络设备及通信系统,属于通信技术领域。
背景技术
安全套接层虚拟专用网技术(Security Socket Layer Virtual PrivateNetwork,SSL VPN)是指基于安全套接层(Security Socket Layer,SSL)建立远程安全访问通道的虚拟专用网(Virtual Private Network,VPN)技术,其应用随着网页(Website,简称为WEB,指网络互联网等技术领域)的普及和电子商务、远程办公的兴起而发展迅速。WEB访问是SSLVPN的一个非常重要的功能,用户可以通过WEB访问企业内网的WEB资源,因此,目前越来越多的企业为员工提供了SSL VPN来安全访问企业内网。
图1为基于SSL VPN的WEB访问原理示意图。如图1所示,当用户通过客户端输入需要访问的网址时,例如为统一资源定位符(Uniform ResourceLocator,URL),用户所输入的URL由客户端进行转换,例如:原始URL为“https://www.site1.com”,将其自动转换为“https://gateway/www.site1.com”。客户端主机的浏览器根据转换后的URL构造超文本传输协议(hypertexttransport protocol,HTTP)请求,由于转换后的URL的主机部分为gateway(网关)的IP地址或域名,这个请求将被加密并走SSL VPN隧道发送给SSLVPN网关设备。
SSL VPN网关设备首先需要对发送过来的加密报文进行解密,解密后还原出客户端的原始请求,并将该请求进行改写后发送给与客户端的原始请求对应的WEB服务器,等待WEB服务器的回复。当接收到WEB服务器的回复内容后,需要对回复内容进行修改,特别是回复网页中所包括的链接,需要将它们转换成另一种形式,以保证用户点击回复网页所包括的链接后,用户的请求先通过SSL VPN隧道发送给SSL VPN网关设备,然后再由SSLVPN网关设备与相应的WEB服务器进行通信。SSL VPN网关设备将修改之后的回复内容加密发送回客户端。
通过上述流程,可以看出,当客户端连接上SSL VPN网关设备后,通过客户端所进行的所有WEB访问都会走SSL VPN隧道,并由SSL VPN网关设备进行改写等,虽然针对需要保护的内网WEB资源,有效实现了保护,但对于无需进行保护的大量外网资源进行上述处理时,则会导致SSL VPN网关设备资源的无谓消耗,同时也会浪费SSLVPN网关设备的有限带宽资源。
发明内容
针对现有技术中存在的缺陷,本发明提供一种WEB访问处理方法、网络设备及通信系统,用以减少SSL VPN网关设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
一方面,本发明提供一种WEB访问处理方法,包括:
接收用户设备发送的WEB资源访问请求;
根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;
若判断获知所述用户请求访问的WEB资源不属于受保护WEB资源,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使所述用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与所述WEB资源访问请求对应的WEB服务器进行通信;
若判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
一方面,本发明提供一种网络设备,包括:
接收模块,用于接收用户设备发送的WEB资源访问请求;
判断模块,用于根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;
重定向模块,用于若判断获知所述用户请求访问的WEB资源不属于受保护WEB资源,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使所述用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与所述WEB资源访问请求对应的WEB服务器进行通信;
WEB访问模块,用于若判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
一方面,本发明提供一种通信系统,包括本发明提供的网络设备,以及与所述网络设备连接的用户设备和WEB服务器
根据本发明提供的WEB访问处理方法、网络设备及通信系统,由于在接收到用户设备发送的WEB资源访问请求后,若判断获知用户请求访问的WEB资源是否属于受保护WEB资源,则向用户设备返回包括未经改写的URL链接的重定向页面,使得用户设备可根据该重定向页面中的URL链接,与相应的WEB服务器直接进行通信,即SSL VPN网关设备无需参与用户设备与WEB服务器之间的后续通信,从而极大地缩减了SSL VPN网关设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
附图说明
图1为基于SSL VPN的WEB访问原理示意图;
图2为本发明一个实施例的WEB访问处理方法的流程示意图;
图3为本发明另一个实施例的WEB访问处理方法的流程示意图;
图4为本发明一个实施例中对受保护资源列表进行定期维护的流程示意图;
图5为本发明一个实施例的网络设备的结构示意图。
具体实施方式
实施例一
本实施例提供的WEB访问处理方法例如由图1中所示的SSL VPN网关设备来执行。下面从SSL VPN网关设备的角度,对本实施例的WEB访问处理方法进行详细说明。
图2为本发明一个实施例的WEB访问处理方法的流程示意图。如图2所示,该WEB访问处理方法包括:
步骤201,接收用户设备发送的WEB资源访问请求;
步骤202,根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;
步骤203,若判断获知所述用户请求访问的WEB资源不属于受保护WEB资源,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使所述用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与所述WEB资源访问请求对应的WEB服务器进行通信;
步骤204,若判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
其中,用户设备例如为通过SSL VPN网关设备的URL,远程访问至SSLVPN网关设备的主页的任意远程访问客户端。
具体地,使用远程访问客户端的用户例如通过“https://gateway”访问到SSL VPN网关设备的主页上,在主页的URL地址栏中输入自己想要访问的网址“http://www.host1.com”,其中,该网址既可以内网网址,也可以是外网网址。用户输入的网址被主页上的脚本进行URL改写,改写成“https://gateway/www.host1.com”,该改写后的访问页面被指向了SSL VPN网关设备。用户对“http://www.host1.com”对应的WEB资源的访问被发送给SSL VPN网关。其中,SSL VPN网关设备的主页可采用现有技术中任意的改写方法对URL进行改写,故此处不再赘述。
SSL VPN网关设备收到远程访问客户端发送过来的改写后的WEB资源访问请求后,首先将WEB资源访问请求改写回“http://www.host1.com”,然后再判断该WEB资源访问请求对应的WEB资源为内网资源或外网资源。
更为具体地,SSL VPN网关设备通常以双臂模式部署在网络当中,SSLVPN网关设备上具有内网口(Inside port)和外网口(outside port),其中,内网口和内网资源互联,外网口和外网资源相连。并且,SSL VPN网关设备根据预设的路径计算方法,可自动生成并维护SSL VPN网关设备路由表,该SSL VPN网关设备路由表中存储有对各互联网协议(Internet Protocol,IP)地址进行访问时,对应的下一跳出接口。SSL VPN网关设备通过对WEB资源访问请求的URL进行解析,获取该URL对应的IP地址,并根据路由表中与该IP地址对应的下一跳出接口为内网口或外网口,来判断该WEB资源访问请求对应的WEB资源是否为内网资源。通常地,内网资源即为受保护WEB资源,外网资源即为不受保护WEB资源,因此,通过上述方式,即可判断获知用户通过远程访问客户端发送的WEB资源访问请求是否对应于受保护WEB资源。此外,也可采取任意其它方式来判断WEB资源访问请求是否对应于受保护WEB资源,本发明中不做限制。
在完成上述判断后,若判断结果为受保护WEB资源,则SSL VPN网关设备按照现有技术中的WEB访问处理方法,对所述WEB资源访问请求进行改写,发送至所述WEB资源访问请求对应的WEB服务器,并接收WEB服务器的回复内容后,对回复内容进行修改等操作,以保证用户与WEB服务器相关的全部通信均经由SSL VPN网关设备进行处理。
若判断结果为不受保护WEB资源,则SSL VPN网关设备生成一个包括有WEB资源访问请求对应的URL链接的重定向页面,即例如包括“http://www.host1.com”的链接,并将该重定向页面发送回远程访问客户端。若用户点击重定向页面中的“http://www.host1.com”链接,由于该链接直接指向对应的WEB服务器,所以可实现用户对WEB服务器的直接访问,并且在用户与该WEB服务器的后续通信过程中,均无需SSL VPN网关设备参与。
根据上述实施例的WEB访问处理方法,由于在接收到用户设备发送的WEB资源访问请求后,若判断获知用户请求访问的WEB资源是否属于受保护WEB资源,则向用户设备返回包括未经改写的URL链接的重定向页面,使得用户设备可根据该重定向页面中的URL链接,与相应的WEB服务器直接进行通信,即SSL VPN网关设备无需参与用户设备与WEB服务器之间的后续通信,从而极大地缩减了SSL VPN网关设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
实施例二
进一步地,在上述实施例的WEB访问处理方法中,所述重定向页面还包括与所述用户请求访问的WEB资源对应的改写为指向SSL VPN网关设备的链接地址;
相应地,将所述重定向页面返回给所述用户设备之后,还包括:
若接收到所述用户设备发送的携带有所述指向SSLVPN网关设备的链接地址的WEB资源访问请求,则对所述携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
具体地,重定向页面除包括上述实施例一中的未经改写的URL链接,还可包括经过改写的URL链接,该经过改写的URL链接用于使用户在针对外网资源进行访问的情况下,根据实际需求,可选择地通过SSL VPN网关设备进行WEB访问。当用户在远程访问客户端接收到重定向页面时,若点击经改写的URL链接,由于该URL链接指向SSL VPN网关设备,则用户的WEB资源访问请求被发送给SSL VPN网关。为避免SSL VPN网关设备对此种情况下接收到的WEB资源访问请求,再次执行上述实施例中步骤201的判断过程,该重定向页面中所包括的经过改写的URL链接可以与SSL VPN网关设备的主页所执行的改写有所区别,即在重定向页面中所包括的经过改写的URL链接中携带用于指示已执行受保护WEB资源判断的标识,其中该标识可以为任意字符或字符串,此处不作限制。例如,重定向页面中所携带的经过改写的URL链接为“https://gateway/retry/www.host1.com”,由于相对于SSLVPN网关设备的主页所改写的“https://gateway/www.host1.com”增加了“/retry”,所以SSL VPN网关设备在接收到远程访问客户端基于重定向页面发起的WEB资源访问请求后,根据“/retry”,获知已执行对相应WEB资源的受保护WEB资源判断,不再执行判断,直接按照现有技术中的WEB访问处理方法,对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
根据本实施例的WEB访问处理方法,由于当判断获知用户请求访问的WEB资源为不受保护WEB资源时,向用户返回包括两个链接的重定向页面,以使用户可根据需求,灵活决定是否利用SSL VPN网络设备完成该次WEB资源访问,所以既能够充分满足用户需求,又能够一定程度地减少SSL VPN网关设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
实施例三
在上述实施例的基础上,本实施例中,对SSL VPN网关设备根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源的过程进行扩展说明。
图3为本发明另一个实施例的WEB访问处理方法的流程示意图。如图3所示,包括以下流程:
步骤301,远程访问客户端在SSL VPN网关设备的主页的URL地址栏中输入要访问的域名,以向SSL VPN网关设备发送相应的WEB资源访问请求;
步骤302,SSL VPN网关设备接收到WEB资源访问请求后,查询要访问的域名是否在保护资源列表中;若是,则执行步骤303,若否,则执行步骤304;
其中,SSL VPN网关设备维护有一个受保护资源列表。该受保护资源列表既可以由SSL VPN网关设备自动生成,也可以由用户手工配置,该受保护资源列表中存储有受保护资源的域名和IP地址之间的映射关系。由用户手工配置时,可选地,用户只需要配置受保护资源的域名,即需要通过SSL VPN网关设备访问的WEB资源的域名,并由SSL VPN网关设备自动获取与各域名对应的IP地址。由SSL VPN网关设备自动生成时,初始状态下受保护资源列表为空,当SSL VPN网关设备每次根据域名对应的IP地址判断出对应的WEB资源为受保护资源时,若受保护资源列表中未存储该域名和IP地址的映射关系,则将其添加至受保护资源列表当中(例如参见下述步骤308)。当再次对该域名进行WEB资源访问时,由于保护资源列表中已存储有对应的表项,能够直接确定属于受保护资源,则无需再次进行域名解析,提高了处理效率,并节约域名解析所需资源。
步骤303,直接进行URL改写,并发送至对应的内网WEB服务器;
步骤304,查找域名系统(Domain Name System,DNS)缓存,判决是否缓存有与该域名对应的IP地址;若否,则执行步骤305,若是,则执行步骤306;
步骤305,到DNS服务器进行DNS查询,以获取通过解析该域名获取的IP地址;
步骤306,判断域名所对应的IP地址是否在受保护资源网段内;若否,则执行步骤307,若是,则执行步骤308;
其中,受保护资源网段是由SSL VPN网关设备根据SSL VPN网关设备路由表生成的,具体地,SSL VPN网关设备根据路由表中,下一跳出接口为内网口的IP网段,生成并维护受保护网段列表。
步骤307,SSLVPN网关设备不进行URL改写,直接重定向给远程访问客户端一个新的页面,该页面包括两个链接,其中一个链接是未经改写的URL链接,以提供用户直接访问外网,另一个链接是经过改写的URL链接,以提供用户使用SSL VPN隧道进行访问;之后执行步骤309;
步骤308,对该WEB资源访问请求进行URL改写,发送至相应的内网WEB服务器,处理后续用户对WEB资源的访问,并将该域名记录在受保护资源列表中;至此,完成本次处理,直至接收到WEB服务器返回的相应信息后,再执行将其改写并发送至用户等操作(图3中未示出)。
步骤309,若用户点击未经改写的URL链接,则不通过SSL VPN隧道直接访问相应的外网WEB服务器;若用户点击经过改写的URL链接,则通过SSL VPN隧道,由SSL VPN网关设备参与完成对外网WEB服务器的访问。
根据上述实施例的WEB访问处理方法,通过由SSL VPN网关设备生成并维护受保护资源列表和受保护资源网段列表,提供了更为灵活、高效的用于判断是否为受保护资源的方式,有效提高了WEB访问处理的效率。
上述实施例中仅以同时维护受保护资源列表和受保护资源网段列表作为示例,本领域的技术人员能够理解,仅维护受保护资源网段列表或采用任意其它方式判断是否为受保护资源,均能够用于实现本发明的技术方案。例如:仅维护受保护资源网段列表时,与图3所示的流程的区别仅在于:执行上述步骤301后,不执行302,直接执行步骤303-309,并且在步骤308中,无需执行将域名记录在受保护资源列表中的操作。
进一步地,当维护有包括受保护WEB资源的域名和IP地址的映射关系的受保护资源列表时,由于域名与IP地址的映射存在可变性,所以还包括如下对受保护资源列表中映射关系进行定期维护的流程:
按照预设周期,重新获取所述受保护WEB资源的域名对应的IP地址;若所述重新获取的IP地址,与所述受保护资源列表中,所述受保护WEB资源的域名所映射的IP地址不相同,则判断所述重新获取的IP地址是否位于所述受保护网段列表中,若是,则更新所述受保护资源列表中,所述受保护WEB资源的域名和IP地址的映射关系,若否,则删除所述受保护资源列表中的相应表项。
具体地,图4为本发明一个实施例中对受保护资源列表进行定期维护的流程示意图。如图4所示,包括以下流程:
步骤401,预设定时器超时,执行402;
具体地,周期的设置例如是通过一个定时器来实现的,该定时器例如为SSL VPN网关设备中,DNS缓存的定时器,即每当DNS缓存超时时,执行步骤402。
步骤402,向DNS服务器发送DNS解析请求,以重新获取域名对应的IP地址;
步骤403,比较新解析出来的IP地址是否和列表中该域名对应的IP地址相同;若是,则执行步骤404,若否,则执行步骤405;
步骤404,继续保持受保护资源列表中的表项不变,重新启动定时器;
步骤405,判断新解析出来的IP地址是否在受保护资源网段列表中;若是,则执行步骤406,若否,则执行步骤407;
步骤406,更新受保护资源列表中的相应表项,并更新DNS缓存中的相应条目,重新启动定时器;
步骤407,将受保护资源列表中的相应表项删除,更新DNS缓存中的相应条目,重新启动定时器。
实施例四
本发明实施例还提供一种用于执行上述实施例的WEB访问处理方法的网络设备。该网络设备例如为SSL VPN网关设备。
图5为本发明一个实施例的网络设备的结构示意图。如图5所示,该网络设备包括:
接收模块51,用于接收用户设备发送的WEB资源访问请求;
判断模块52,用于根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;
重定向模块53,用于若判断获知所述用户请求访问的WEB资源不属于受保护WEB资源,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使所述用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与所述WEB资源访问请求对应的WEB服务器进行通信;
WEB访问模块54,用于若判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
上述实施例的网络设备执行WEB访问处理的具体流程与上述任意实施例的WEB访问处理方法相同,故此处不再赘述。
根据本实施例的网络设备,由于在接收到用户设备发送的WEB资源访问请求后,若判断获知用户请求访问的WEB资源是否属于受保护WEB资源,则向用户设备返回包括未经改写的URL链接的重定向页面,使得用户设备可根据该重定向页面中的URL链接,与相应的WEB服务器直接进行通信,即SSL VPN网关设备无需参与用户设备与WEB服务器之间的后续通信,从而极大地缩减了SSL VPN网关设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
进一步地,在上述实施例的网络设备中,所述重定向页面还包括与所述用户请求访问的WEB资源对应的改写为指向SSL VPN网关设备的链接地址,所述指向SSL VPN网关设备的链接地址携带有用于指示已执行受保护WEB资源判断的标识;
相应地,所述接收模块还用于若接收到所述用户设备发送的携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求,则控制所述WEB访问模块执行操作;
所述WEB访问模块还用于对所述携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
根据上述实施例的网络设备,由于当判断获知用户请求访问的WEB资源为不受保护WEB资源时,向用户返回包括两个链接的重定向页面,以使用户可根据需求,灵活决定是否利用SSL VPN网络设备完成该次WEB资源访问,所以既能够充分满足用户需求,又能够一定程度地减少SSL VPN网关设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
进一步地,在上述实施例的网络设备中,所述判断模块包括:
域名解析单元,用于对所述WEB资源访问请求携带的域名进行解析,获取所述域名对应的互联网协议IP地址;
网段判断单元,用于判断所述域名对应的IP地址是否包括在本地维护的受保护网段列表中,若否,则判断获知所述用户请求访问的WEB资源不属于受保护WEB资源;若是,则判断获知所述用户请求访问的WEB资源属于受保护WEB资源。
进一步地,在上述实施例的网络设备中,所述判断模块还包括:
受保护网段列表维护单元,与所述网段判断单元连接,用于根据本地路由表中,下一跳出接口为内网口的IP网段,生成并维护所述受保护网段列表。
进一步地,在上述实施例的网络设备中,所述判断模块还包括:
域名判断单元,用于判断所述WEB资源访问请求携带的域名,是否包括在本地维护的受保护资源列表中,若是,则判断获知所述用户请求访问的WEB资源属于受保护WEB资源;若否,则执行对所述WEB资源访问请求携带的域名进行解析的步骤;
受保护资源列表维护单元,与所述域名判断单元和所述网段判断单元连接,用于若所述网段判断单元根据所述域名对应的IP地址判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则将所述域名添加至所述受保护资源列表。
根据上述实施例的网络设备,通过由SSL VPN网关设备生成并维护受保护资源列表和受保护资源网段列表,提供了更为灵活、高效的用于判断是否为受保护资源的方式,有效提高了WEB访问处理的效率。
进一步地,在上述实施例的网络设备中,所述受保护资源列表包括受保护WEB资源的域名和IP地址的映射关系;
相应地,所述受保护资源列表维护单元还用于:按照预设周期,重新获取所述受保护WEB资源的域名对应的IP地址;若所述重新获取的IP地址,与所述受保护资源列表中,所述受保护WEB资源的域名所映射的IP地址不相同,则判断所述重新获取的IP地址是否位于所述受保护网段列表中,若是,则更新所述受保护资源列表中,所述受保护WEB资源的域名和IP地址的映射关系,若否,则删除所述受保护资源列表中的相应表项。
根据上述实施例的网络设备,使得当域名与IP地址的映射发生变化时,保障了受保护资源列表的有效性。
实施例五
本发明实施例还提供一种通信系统,包括上述实施例的网络设备,以及与网络设备连接的用户设备和WEB服务器。
本实施例的通信系统执行WEB访问处理的流程与上述任一实施例的WEB访问处理方法相同,故此处不再赘述。
根据本实施例的通信系统,由于网络设备在接收到用户设备发送的WEB资源访问请求后,若判断获知用户请求访问的WEB资源是否属于受保护WEB资源,则向用户设备返回包括未经改写的URL链接的重定向页面,使得用户设备可根据该重定向页面中的URL链接,与相应的WEB服务器直接进行通信,即网络设备无需参与用户设备与WEB服务器之间的后续通信,从而极大地缩减了网络设备由于处理大量针对无需保护资源的WEB访问,所导致的资源和带宽消耗。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (11)
1.一种WEB访问处理方法,其特征在于,包括:
接收用户设备发送的WEB资源访问请求;
根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;
若判断获知所述用户请求访问的WEB资源不属于受保护WEB资源,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使所述用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与所述WEB资源访问请求对应的WEB服务器进行通信;
若判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器;
所述重定向页面还包括与所述用户请求访问的WEB资源对应的改写为指向SSL VPN网关设备的链接地址,所述指向SSL VPN网关设备的链接地址携带有用于指示已执行受保护WEB资源判断的标识;
相应地,将所述重定向页面返回给所述用户设备之后,还包括:
若接收到所述用户设备发送的携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求,则对所述携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
2.根据权利要求1所述的WEB访问处理方法,其特征在于,所述根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源的步骤,具体包括:
对所述WEB资源访问请求携带的域名进行解析,获取所述域名对应的互联网协议IP地址;
判断所述域名对应的IP地址是否包括在本地维护的受保护网段列表中,若否,则判断获知所述用户请求访问的WEB资源不属于受保护WEB资源;若是,则判断获知所述用户请求访问的WEB资源属于受保护WEB资源。
3.根据权利要求2所述的WEB访问处理方法,其特征在于,还包括:根据本地路由表中,下一跳出接口为内网口的IP网段,生成并维护所述受保护网段列表。
4.根据权利要求2所述的WEB访问处理方法,其特征在于,对所述WEB资源访问请求携带的域名进行解析的步骤之前,还包括:
判断所述WEB资源访问请求携带的域名,是否包括在本地维护的受保护资源列表中,若是,则判断获知所述用户请求访问的WEB资源属于受保护WEB资源;若否,则执行对所述WEB资源访问请求携带的域名进行解析的步骤;
相应地,若根据所述域名对应的IP地址判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则将所述域名添加至所述受保护资源列表中。
5.根据权利要求4所述的WEB访问处理方法,其特征在于,所述受保护资源列表包括受保护WEB资源的域名和IP地址的映射关系;
相应地,还包括:
按照预设周期,重新获取所述受保护WEB资源的域名对应的IP地址;若所述重新获取的IP地址,与所述受保护资源列表中,所述受保护WEB资源的域名所映射的IP地址不相同,则判断所述重新获取的IP地址是否位于所述受保护网段列表中,若是,则更新所述受保护资源列表中,所述受保护WEB资源的域名和IP地址的映射关系,若否,则删除所述受保护资源列表中的相应表项。
6.一种网络设备,其特征在于,包括:
接收模块,用于接收用户设备发送的WEB资源访问请求;
判断模块,用于根据所述WEB资源访问请求,判断用户请求访问的WEB资源是否属于受保护WEB资源;
重定向模块,用于若判断获知所述用户请求访问的WEB资源不属于受保护WEB资源,则生成重定向页面,所述重定向页面包括指向所述用户请求访问的WEB资源的链接地址,并将所述重定向页面返回给所述用户设备,以使所述用户通过点击所述指向所述用户请求访问的WEB资源的链接地址,不经由安全套接层虚拟专用网技术SSL VPN网关设备,与所述WEB资源访问请求对应的WEB服务器进行通信;
WEB访问模块,用于若判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则对所述WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器;
所述重定向页面还包括与所述用户请求访问的WEB资源对应的改写为指向SSL VPN网关设备的链接地址,所述指向SSL VPN网关设备的链接地址携带有用于指示已执行受保护WEB资源判断的标识;
相应地,所述接收模块还用于若接收到所述用户设备发送的携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求,则控制所述WEB访问模块执行操作;
所述WEB访问模块还用于对所述携带有所述指向SSL VPN网关设备的链接地址的WEB资源访问请求进行改写,并发送至所述WEB资源访问请求对应的WEB服务器。
7.根据权利要求6所述的网络设备,其特征在于,所述判断模块包括:
域名解析单元,用于对所述WEB资源访问请求携带的域名进行解析,获取所述域名对应的互联网协议IP地址;
网段判断单元,用于判断所述域名对应的IP地址是否包括在本地维护的受保护网段列表中,若否,则判断获知所述用户请求访问的WEB资源不属于受保护WEB资源;若是,则判断获知所述用户请求访问的WEB资源属于受保护WEB资源。
8.根据权利要求7所述的网络设备,其特征在于,所述判断模块还包括:
受保护网段列表维护单元,与所述网段判断单元连接,用于根据本地路由表中,下一跳出接口为内网口的IP网段,生成并维护所述受保护网段列表。
9.根据权利要求7所述的网络设备,其特征在于,所述判断模块还包括:
域名判断单元,用于判断所述WEB资源访问请求携带的域名,是否包括在本地维护的受保护资源列表中,若是,则判断获知所述用户请求访问的WEB资源属于受保护WEB资源;若否,则执行对所述WEB资源访问请求携带的域名进行解析的步骤;
受保护资源列表维护单元,与所述域名判断单元和所述网段判断单元连接,用于若所述网段判断单元根据所述域名对应的IP地址判断获知所述用户请求访问的WEB资源属于受保护WEB资源,则将所述域名添加至所述受保护资源列表。
10.根据权利要求9所述的网络设备,其特征在于,所述受保护资源列表包括受保护WEB资源的域名和IP地址的映射关系;
相应地,所述受保护资源列表维护单元还用于:按照预设周期,重新获取所述受保护WEB资源的域名对应的IP地址;若所述重新获取的IP地址,与所述受保护资源列表中,所述受保护WEB资源的域名所映射的IP地址不相同,则判断所述重新获取的IP地址是否位于所述受保护网段列表中,若是,则更新所述受保护资源列表中,所述受保护WEB资源的域名和IP地址的映射关系,若否,则删除所述受保护资源列表中的相应表项。
11.一种通信系统,其特征在于,包括权利要求6-10任一所述的网络设备,以及与所述网络设备连接的用户设备和WEB服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210248800.6A CN102769618B (zh) | 2012-07-18 | 2012-07-18 | Web访问处理方法、网络设备及通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210248800.6A CN102769618B (zh) | 2012-07-18 | 2012-07-18 | Web访问处理方法、网络设备及通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102769618A CN102769618A (zh) | 2012-11-07 |
| CN102769618B true CN102769618B (zh) | 2015-03-11 |
Family
ID=47096868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210248800.6A Active CN102769618B (zh) | 2012-07-18 | 2012-07-18 | Web访问处理方法、网络设备及通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102769618B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997494B (zh) * | 2014-05-22 | 2018-02-06 | 北京京东尚科信息技术有限公司 | 一种抵御黑客攻击的方法和系统 |
| CN104333548B (zh) * | 2014-10-27 | 2018-05-04 | 百度在线网络技术(北京)有限公司 | 在https网页中访问本地服务的方法及系统 |
| CN105338072A (zh) * | 2015-10-20 | 2016-02-17 | 上海斐讯数据通信技术有限公司 | 一种http重定向方法及路由设备 |
| CN106055603B (zh) * | 2016-05-24 | 2019-05-31 | 北京奇虎科技有限公司 | 基于vpn的浏览器访问网址推荐方法、客户端及系统 |
| CN107067181A (zh) * | 2017-04-25 | 2017-08-18 | 莆田市涵江区依吨多层电路有限公司 | 一种线路板生产管理系统及方法 |
| CN107276979B (zh) * | 2017-04-26 | 2021-03-05 | 浙江远望信息股份有限公司 | 一种自动检测终端设备内外网互联行为的方法 |
| CN109412925B (zh) * | 2018-09-30 | 2021-06-18 | 锐捷网络股份有限公司 | 基于vtep的转发表项更新方法及vtep |
| CN109525478B (zh) * | 2018-12-17 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种ssl vpn连接方法及装置 |
| CN111224949A (zh) * | 2019-11-29 | 2020-06-02 | 云深互联(北京)科技有限公司 | 一种enterport整体流量控制方法和装置 |
| CN110995564B (zh) * | 2019-12-31 | 2021-11-12 | 北京天融信网络安全技术有限公司 | 一种报文传输方法、装置及安全网络系统 |
| CN111970371B (zh) * | 2020-08-26 | 2022-08-16 | 支付宝(杭州)信息技术有限公司 | 用于在专线环境下获取外网资源的方法及装置 |
| CN112272158A (zh) * | 2020-09-16 | 2021-01-26 | 厦门网宿有限公司 | 一种数据代理方法、系统及代理服务器 |
| CN112235271B (zh) * | 2020-09-29 | 2023-05-02 | 新浪技术(中国)有限公司 | 内容分发网络cdn设备及其自适应安全回源方法 |
| CN112667932A (zh) * | 2020-12-25 | 2021-04-16 | 浙江蓝卓工业互联网信息技术有限公司 | 一种微服务架构下的动态重定向方法及装置 |
| CN112953920B (zh) * | 2021-02-01 | 2022-07-01 | 福建多多云科技有限公司 | 一种基于云手机的监控管理方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989909A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的访问链接改写方法 |
-
2012
- 2012-07-18 CN CN201210248800.6A patent/CN102769618B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989909A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的访问链接改写方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102769618A (zh) | 2012-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102769618B (zh) | Web访问处理方法、网络设备及通信系统 | |
| CN101132420B (zh) | 一种基于ssl vpn的链接改写方法和设备 | |
| US8577992B1 (en) | Request routing management based on network components | |
| US7114180B1 (en) | Method and system for authenticating and authorizing requestors interacting with content servers | |
| CN112272158A (zh) | 一种数据代理方法、系统及代理服务器 | |
| CN100463452C (zh) | 一种vpn数据转发方法及用于数据转发的vpn设备 | |
| CN104270379A (zh) | 基于传输控制协议的https 代理转发方法及装置 | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CN101119274A (zh) | 一种提高ssl网关处理效率的方法及ssl网关 | |
| CN101136834B (zh) | 一种基于ssl vpn的链接改写方法和设备 | |
| CN102739811B (zh) | 域名解析的方法和设备 | |
| CN109862130B (zh) | 一种访问IPv4外链方法、装置、设备及计算机介质 | |
| US11659058B2 (en) | Provider network connectivity management for provider network substrate extensions | |
| US8201238B1 (en) | Remote directory browsing through a secure gateway of a virtual private network | |
| CN111917900B (zh) | 一种域名代理的请求处理方法及装置 | |
| CN105338072A (zh) | 一种http重定向方法及路由设备 | |
| CN105141621A (zh) | 网络访问的监控方法及装置 | |
| CN102783119A (zh) | 访问控制方法、系统及接入终端 | |
| CN101989909A (zh) | 一种ssl vpn的访问链接改写方法 | |
| CN104967590A (zh) | 一种传输通信消息的方法、装置和系统 | |
| CN106470191A (zh) | 过滤https传输内容的系统、方法及装置 | |
| CN107613036A (zh) | 实现https透明代理的方法和系统 | |
| CN104079683A (zh) | 一种授权域名服务器直接响应的域名解析方法及系统 | |
| JP4914479B2 (ja) | リモートアクセス装置、リモートアクセスプログラム、リモートアクセス方法及びリモートアクセスシステム | |
| CN112039888B (zh) | 一种域名访问控制的接入方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |