CN102970291A - 一种穿越单边防火墙建立tcp连接的方法及装置 - Google Patents
一种穿越单边防火墙建立tcp连接的方法及装置 Download PDFInfo
- Publication number
- CN102970291A CN102970291A CN2012104683520A CN201210468352A CN102970291A CN 102970291 A CN102970291 A CN 102970291A CN 2012104683520 A CN2012104683520 A CN 2012104683520A CN 201210468352 A CN201210468352 A CN 201210468352A CN 102970291 A CN102970291 A CN 102970291A
- Authority
- CN
- China
- Prior art keywords
- data
- client
- agent
- connect
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种穿越单边防火墙建立TCP连接的方法及装置,包括以下步骤:分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;在第一代理客户端和第二的代理之间建立消息连接;在客户端与第一代理客户端的空闲端口之间建立第一数据连接;第一代理客户端通过消息连接向第二代理客户端发送通知;第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接和第三数据连接;经过从客户端经过第一数据连接,第二数据连接和第三数据连接到服务器,进行双向数据的转发。本发明能够实现在两个单向防火墙未许可的情况下,从内部网络到外部应用服务端口的数据转发。
Description
技术领域
本发明涉及一种数据转发方法,特别涉及一种穿越单边防火墙建立TCP连接的方法及装置。
背景技术
在附图1的网络结构下,在未经管理员的许可,想要向外发布web应用程序,常规的途径下是不可能完成的任务:部署在服务器S2上的web应用程序,想要在“外部网络”区域访问到,常规的做法是:向管理员申请要求放开防火墙的访问策略,并在S1服务器上部署一个WEB代理服务器,打通一条从“外部网络”到S2的通道,完成发布。但如果情况不是那么顺利,不能获得管理员在防火墙上的授权,要实现这个目标将阻碍重重。
首先,这个特定的网络结构下,淡绿色区域是在一个LAN中,但该LAN中划定了不同的区域,S1所处的区域为DMZ区,这个区域的服务器是优先级最低的,它不能直接访问内部和外部网络,除非防火墙的指定授权;而S2区域为完全的内部网络。通常这样结构的目的是S1映射了WAN的IP,可以通过Internet来访问其上的特定端口应用(在F1上配置授权),而S1上的应用也会给有限的授权访问内部网络中的特定端口提供的服务,但不包括S2主机上的任何端口。
同时S2在F2的策略中优先级高于S1,因此S2可以访问S1上的任意端口,另外在F1上放开的S1端口P1~P4,其中P4为预留,并未使用。
在以上的网络结构和防火墙策略下,常规方法难以实现通过S1的P4端口访问S2服务器上发布的端口Px下的应用。
发明内容
本发明所要解决的技术问题是提供一种在防火墙未许可的情况下从内部网络向外部服务器端口的穿越单边防火墙建立TCP连接的方法及装置。
本发明解决上述技术问题的技术方案如下:一种穿越单边防火墙建立TCP连接的方法,其特征在于,包括以下步骤:
步骤1:分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;
步骤2:在第一代理客户端和第二的代理之间建立消息连接;
步骤3:在客户端与第一代理客户端的空闲端口之间建立第一数据连接;
步骤4:第一代理客户端通过消息连接向第二代理客户端发送通知;
步骤5:第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接和第三数据连接;
步骤6:从客户端到服务器,经过第一数据连接,第二数据连接和第三数据连接,进行双向数据的转发。
本发明的有益效果是:在建立第一数据连接,第二数据连接和第三数据连接的双向传递通道后,实现了在双边单向防火墙未许可的情况下,进行数据的双向传递。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述第一数据连接,第二数据连接和第三数据连接为TCP连接。
采用上述进一步方案的有益效果是采用TCP连接,在进行数据传输之前就建立连接,提供了数据传输的通道。
进一步,所述消息连接通过包头数据进行标识。
采用上述进一步方案的有益效果是采用包头数据进行标识,。
进一步,在进行所述步骤5中双向数据的转发时,所述第一数据连接,第二数据连接和第三数据连接均作为数据的透明传输层,并不处理转发的数据。
采用上述进一步方案的有益效果是放置传输内容遭到破坏。
一种穿越单边防火墙建立TCP连接的装置,其特征在于:包括建立代理模块,建立消息连接模块,单向连接模块,通知模块,双向连接模块和数据转发模块;
建立代理模块,分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;
建立消息连接模块,在第一代理客户端和第二的代理之间建立消息连接;
单向连接模块,在客户端与第一代理客户端的空闲端口之间建立第一数据连接;
通知模块,第一代理客户端通过消息连接向第二代理客户端发送通知;
双向连接模块,第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接和第三数据连接;
数据转发模块,从客户端到服务器,经过第一数据连接,第二数据连接和第三数据连接,进行双向数据的转发。
采用上述进一步方案的有益效果是在建立第一数据连接,第二数据连接和第三数据连接的双向传递通道后,实现了在双边单向防火墙未许可的情况下,进行数据的双向传递。
进一步,所述单向模块建立的第一数据连接、双向连接模块建立的第二数据连接和第三数据连接均为TCP连接。
采用上述进一步方案的有益效果是采用TCP连接,在进行数据传输之前先建立稳定的数据传输通道。
进一步,所述建立消息连接模块建立的消息连接,通过包头数据进行标识。
采用上述进一步方案的有益效果是采用包头数据进行标识,利于获取消息连接所携带的自身属性信息。
进一步,所述数据转发模块进行双向数据的转发时,所述第一数据连接,第二数据连接和第三数据连接均作为数据的透明传输层,并不处理转发的数据。
采用上述进一步方案的有益效果是防止传输的数据受到破坏。
附图说明
图1为现有技术中双边单向防火墙网络结构;
图2为本发明程序步骤流程图;
图3为本发明装置结构图。
附图中,各标号所代表的部件列表如下:
1、建立代理模块,2、建立消息连接模块,3、单向连接模块,4、通知模块,5、双向连接模块,6、数据转发模块。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图2所示,为本发明程序步骤流程图;图3为本发明装置结构图。
实施例1
一种穿越单边防火墙建立TCP连接的方法,包括以下步骤:
步骤1:分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;
步骤2:在第一代理客户端和第二的代理之间建立消息连接Lm;
步骤3:在客户端与第一代理客户端的空闲端口之间建立第一数据连接L1;
步骤4:第一代理客户端通过消息连接Lm向第二代理客户端发送通知;
步骤5:第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接L2和第三数据连接L3;
步骤6:经过从客户端经过第一数据连接L1,第二数据连接L2和第三数据连接L3到服务器,进行双向数据的转发。
所述第一数据连接L1,第二数据连接L2和第三数据连接L 3为TCP连接。所述消息连接通过包头数据进行标识。
在进行所述步骤5中双向数据的转发时,所述第一数据连接L1,第二数据连接L2和第三数据连接L3均作为数据的透明传输层,并不处理转发的数据。
包括建立代理模块1,建立消息连接模块2,单向连接模块3,通知模块4,双向连接模块5和数据转发模块6;
建立代理模块1,分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;
建立消息连接模块2,在第一代理客户端和第二的代理之间建立消息连接Lm;
单向连接模块3,在客户端与第一代理客户端的空闲端口之间建立第一数据连接L1;
通知模块4,第一代理客户端通过消息连接Lm向第二代理客户端发送通知;
双向连接模块5,第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接L2和第三数据连接L3;
数据转发模块6,经过从客户端经过第一数据连接L1,第二数据连接L2和第三数据连接L3到服务器,进行双向数据的转发。
所述单向模块3建立的第一数据连接L1、双向连接模块建立的第二数据连接L2和第三数据连接L3均为TCP连接。
所述建立消息连接模块2建立的消息连接,通过包头数据进行标识。
所述数据转发模块6进行双向数据的转发时,所述第一数据连接L1,第二数据连接L2和第三数据连接L3均作为数据的透明传输层,并不处理转发的数据。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种穿越单边防火墙建立TCP连接的方法,其特征在于,包括以下步骤:
步骤1:分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;
步骤2:在第一代理客户端和第二代理客户端之间建立消息连接(Lm);
步骤3:在客户端与第一代理客户端的空闲端口之间建立第一数据连接(L1);
步骤4:第一代理客户端通过消息连接(Lm)向第二代理客户端发送通知;
步骤5:第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接(L2)和第三数据连接(L3);
步骤6:从客户端到服务器,经过第一数据连接(L1),第二数据连接(L2)和第三数据连接(L3)进行双向数据的转发。
2.根据权利要求1所述的穿越单边防火墙建立TCP连接的方法,其特征在于:所述第一数据连接(L1),第二数据连接(L2)和第三数据连接(L 3)为TCP连接。
3.根据权利要求1所述的穿越单边防火墙建立TCP连接的方法,其特征在于:所述消息连接(Lm)通过包头数据进行标识。
4.根据权利要求1所述的穿越单边防火墙建立TCP连接的方法,其特征在于:在进行所述步骤5中双向数据的转发时,所述第一数据连接(L1),第二数据连接(L2)和第三数据连接(L3)均作为数据的透明传输层,并不处理转发的数据。
5.一种穿越单边防火墙建立TCP连接的装置,其特征在于:包括建立代理模块(1),建立消息连接模块(2),单向连接模块(3),通知模块(4),双向连接模块(5)和数据转发模块(6);
建立代理模块(1),分别在同一局域网内部低优先级服务器和高优先级服务器上运行代理程序分别建立第一代理客户端和第二代理客户端;
建立消息连接模块(2),在第一代理客户端和第二的代理之间建立消息连接(Lm);
单向连接模块(3),在客户端与第一代理客户端的空闲端口之间建立第一数据连接(L1);
通知模块(4),第一代理客户端通过消息连接(Lm)向第二代理客户端发送通知;
双向连接模块(5),第二代理客户端接收到通知后,分别向第一代理客户端和局域网外部的服务器建立第二数据连接(L2)和第三数据连接(L3);
数据转发模块(6),从客户端到服务器,经过第一数据连接(L1),第二数据连接(L2)和第三数据连接(L3),进行双向数据的转发。
6.根据权利要求5所述的穿越单边防火墙建立TCP连接的装置,其特征在于:所述单向模块(3)建立的第一数据连接(L1)、双向连接模块建立的第二数据连接(L2)和第三数据连接(L3)均为TCP连接。
7.根据权利要求5所述的穿越单边防火墙建立TCP连接的装置,其特征在于:所述建立消息连接模块(2)建立的消息连接(Lm),通过包头数据进行标识。
8.根据权利要求5所述的穿越单边防火墙建立TCP连接的装置,其特征在于:所述数据转发模块(6)进行双向数据的转发时,所述第一数据连接(L1),第二数据连接(L2)和第三数据连接(L3)均作为数据的透明传输层,并不处理转发的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210468352.0A CN102970291B (zh) | 2012-11-19 | 2012-11-19 | 一种穿越单边防火墙建立tcp连接的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210468352.0A CN102970291B (zh) | 2012-11-19 | 2012-11-19 | 一种穿越单边防火墙建立tcp连接的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102970291A true CN102970291A (zh) | 2013-03-13 |
| CN102970291B CN102970291B (zh) | 2016-01-06 |
Family
ID=47800177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210468352.0A Active CN102970291B (zh) | 2012-11-19 | 2012-11-19 | 一种穿越单边防火墙建立tcp连接的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102970291B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109361784A (zh) * | 2018-12-07 | 2019-02-19 | 成都知道创宇信息技术有限公司 | 一种在四层代理网络环境下获取客户端真实ip的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895559A (zh) * | 2010-08-09 | 2010-11-24 | 北京中创信测科技股份有限公司 | 一种代理穿越网络及防火墙的方法 |
| CN102035904A (zh) * | 2010-12-10 | 2011-04-27 | 北京中科大洋科技发展股份有限公司 | 一种将tcp网络通信服务端转换为客户端的方法 |
| CN102739612A (zh) * | 2011-04-12 | 2012-10-17 | 深圳市金蝶中间件有限公司 | 远程控制方法及中介服务器 |
-
2012
- 2012-11-19 CN CN201210468352.0A patent/CN102970291B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895559A (zh) * | 2010-08-09 | 2010-11-24 | 北京中创信测科技股份有限公司 | 一种代理穿越网络及防火墙的方法 |
| CN102035904A (zh) * | 2010-12-10 | 2011-04-27 | 北京中科大洋科技发展股份有限公司 | 一种将tcp网络通信服务端转换为客户端的方法 |
| CN102739612A (zh) * | 2011-04-12 | 2012-10-17 | 深圳市金蝶中间件有限公司 | 远程控制方法及中介服务器 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109361784A (zh) * | 2018-12-07 | 2019-02-19 | 成都知道创宇信息技术有限公司 | 一种在四层代理网络环境下获取客户端真实ip的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102970291B (zh) | 2016-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN104104561A (zh) | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 | |
| CN102137005B (zh) | 一种通信系统中的数据转发方法、装置和系统 | |
| US20170223104A1 (en) | Automated Mirroring And Remote Switch Port Analyzer (RSPAN)/ Encapsulated Remote Switch Port Analyzer (ERSPAN) Functions Using Fabric Attach (FA) Signaling | |
| CN111083671B (zh) | 基于确定性网络架构的车路云协同组网架构及方法 | |
| CN105654699A (zh) | 一种用于智慧城市体系的多对多物联网智能燃气表系统 | |
| CN104993979A (zh) | 网络连接监测方法、终端设备及通信系统 | |
| CN101510882A (zh) | 一种媒体访问控制地址学习方法和装置 | |
| CN105553853A (zh) | 一种nvr管理ipc的方法、装置和系统 | |
| CN105429799A (zh) | 服务器备份方法及装置 | |
| CN103067956B (zh) | 3G网络环境中IPSec隧道备份及切换方法和设备 | |
| CN108234305B (zh) | 一种跨机框链路冗余保护的控制方法及设备 | |
| CN104253739A (zh) | 一种永远在线业务的实现方法、系统和设备 | |
| CN102932251B (zh) | 实现本地三层终结的方法及设备 | |
| CN102970291A (zh) | 一种穿越单边防火墙建立tcp连接的方法及装置 | |
| CN115885502A (zh) | 对中间网络节点进行诊断 | |
| CN104703296A (zh) | 无线通信多跳网络链状及树状拓扑结构的链路休眠方法 | |
| CN105281929A (zh) | 一种服务网口状态检测和容错的装置及其方法 | |
| CN111787078A (zh) | 一种基于电梯物联网的信令控制系统及通讯方法 | |
| CN108270593A (zh) | 一种双机热备份方法和系统 | |
| CN107040507A (zh) | 网络封锁方法及设备 | |
| CN106302432A (zh) | 一种基于车联网的通信装置及控制方法 | |
| CN108337162B (zh) | 一种支持双归属保护的系统及方法 | |
| CN103313425B (zh) | 建立业务链接的实现方法、装置及系统 | |
| CN113660198B (zh) | 一种网关安全通道自适应方法、管理单元和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |