CN104412558B - 用于确保前端应用和其它应用安全的反向接入方法 - Google Patents

用于确保前端应用和其它应用安全的反向接入方法 Download PDF

Info

Publication number
CN104412558B
CN104412558B CN201380020710.4A CN201380020710A CN104412558B CN 104412558 B CN104412558 B CN 104412558B CN 201380020710 A CN201380020710 A CN 201380020710A CN 104412558 B CN104412558 B CN 104412558B
Authority
CN
China
Prior art keywords
lan
dmz
server
service
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201380020710.4A
Other languages
English (en)
Other versions
CN104412558A (zh
Inventor
埃米尔·密扎尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Safety Technology Data Co Ltd
Original Assignee
Safety Technology Data Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=46467095&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN104412558(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Safety Technology Data Co Ltd filed Critical Safety Technology Data Co Ltd
Publication of CN104412558A publication Critical patent/CN104412558A/zh
Application granted granted Critical
Publication of CN104412558B publication Critical patent/CN104412558B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Abstract

一种提供在LAN上的服务器和在WAN上的客户端之间的安全连接的系统,该系统包括:LAN(包括LAN服务、LAN服务器和LAN控制器)和DMZ(包括DMZ服务器和DMZ堆栈池服务);其中当客户端请求到达DMZ服务器时,所述DMZ服务器将所述客户端请求存储在DMZ堆栈池服务中;并且所述LAN控制器建立至DMZ堆栈池服务的基于TCP的输出连接;其中所述DMZ堆栈池服务将所述客户端连接信息经由所述LAN控制器传递至LAN服务器。然后所述LAN服务器生成在所述服务和所述DMZ服务器之间的连接。

Description

用于确保前端应用和其它应用安全的反向接入方法
技术领域
本发明涉及一种用于确保电子存储数据、数据所在的计算机以及计算机及其计算机网络的通信安全的发明。
背景技术
众所周知,向机构外用户提供服务的在机构内部网络(也称为局域网或LAN)中的计算机非常易于受到外部黑客或恶意代码的攻击。由于该风险,在实践中,通常通过将面向外部的计算机放到隔离式子网络中来保护LAN,并且由此在攻击发生时保护网络的其余部分。该子网络通常被称为DMZ(或隔离区)。可以将向机构内部网络外的用户提供服务的任何计算机运行程序放置在DMZ上。最常用的计算机类型是网络服务器、电子邮件服务器、FTP服务器和VoIP服务器。
对更大的不信任网络(通常是因特网)来讲,DMZ是包含了机构外部服务的子网络,所以潜在的黑客和恶意代码可能接入DMZ,但是他们很少接入LAN。在DMZ上的计算机有限连接至在LAN上的计算机,并且通常由控制DMZ计算机和LAN计算机之间通信量的防火墙分开。DMZ可以视为LAN的附加安全层。
具有能够与公众经由因特网通信的因特网入口的机构易受来自外部渗入的攻击。因此,许多机构建立DMZ以保护它们的敏感数据并且抑制黑客渗入LAN的能力。DMZ工作的方式和方法对于本领域的专家是已知的,因此没有必要进一步详细描述。
建立DMZ需要相关数据和计算机程序的复制使得它们能够位于DMZ计算机上和LAN计算机上。
该数据和计算机程序的复制存在一些缺点。购买在LAN和DMZ上安装的相同的计算机程序的多个实例所需的额外许可费用可能昂贵。在LAN上以及在DMZ上支持并且管理重复的计算机程序和数据会费用昂贵并且困难。此外,由于DMZ与外部系统连接,在DMZ上的数据易受黑客攻击和外部恶意代码攻击。
本发明旨在克服这些缺点并且提供保护LAN上的数据的有效系统。
附图说明
本申请的附图不是为了限制本发明和本发明申请的范围。附图只是为了说明本发明,并且附图仅构成本发明多种可能的实施方式中的一种。
图1描述了包括LAN(30)、DMZ(20)和WAN(10)以及这些部件之间的连接的系统,其中LAN(30)包括服务(33)、LAN服务器(31)和LAN控制器(32);DMZ(20)包括DMZ服务器(21)、DMZ堆栈池服务(22)。
具体实施方式
如上所述,非常需要能使用户与LAN通信同时保护LAN免受外部威胁的计算机系统。本发明为上述问题提供有效的解决方案。
本发明提供一种保护LAN中数据的系统和位于LAN中并且同时能使用户与LAN以安全的方式通信的主机。
为了清楚和简化系统的说明,使用如下术语:WAN(10):广域网;DMZ(20):隔离区;LAN(30):局域网;LAN服务器(31):在LAN中运行的服务器;DMZ服务器(21):在DMZ中运行的服务器;DMZ堆栈池服务(22):在DMZ中存储和处理客户端的请求;客户端请求:HTTP/HTTPS(网络浏览器)/SSH/SFTP/FTP/FTPS/RDP/SMTP/TLS,以及任何其它基于TCP/IP的协议;客户端连接信息:在LAN内的相关目标服务的IP地址/端口号;LAN控制器(32):在LAN中运行的管理客户端连接信息的控制器;连接器:在两个TCP/IP接口之间的交握;服务:HTTP/HTTPS/(网络服务器)/SSH/SFTP/FTP/FTPS/RDP/SMTP/TLS,以及任何其它基于TCP/IP的服务。
本发明的目的是提供一种在LAN中的服务器和在WAN中的客户端之间的安全连接。
图1描述了系统的主要部件。包括服务(33)、LAN服务器(31)和LAN控制器(32)的LAN(30);包括DMZ服务器(21)、DMZ堆栈池服务(22)的DMZ(20);和WAN(10),其实质上包括客户端和“外部”世界。另外,图1描述了在系统部件之间的连接。
在描述系统流时将描述在系统部件之间的连接。系统的连接流如下。
第一步:(客户端(11)的)客户端请求到达DMZ服务器(21)。第二步:DMZ服务器(21)将客户端请求存储在DMZ堆栈池服务(22)中。第三步:LAN控制器(32)建立至DMZ堆栈池服务(22)的基于TCP的输出连接(41)。所述系统的一个创造性的方面在于LAN控制器(32)连续地和/或基于预设的时间检查存储在DMZ堆栈池服务(22)中的客户端请求。第四步:然后DMZ堆栈池服务(22)经由LAN控制器(32)将客户端连接信息传递至LAN服务器(31)。
第五步:然后LAN服务器(31)生成两个TCP/IP连接:其中一个连接是基于客户端的连接信息连接至服务(33),该服务是目标服务。第二个连接是连接至DMZ服务器(21)的输出连接(42)。另外,LAN服务器(31)在LAN服务器中形成在服务(33)和输出连接(42)之间的连接器。第六步:然后DMZ服务器(21)在DMZ服务器中形成在(DMZ堆栈池服务(22)中存储的)进入的客户端请求和来自LAN服务器(31)的输出连接(42)之间的连接器,至此完成客户端请求的路径。
一旦在DMZ服务器中的连接器将客户端请求和来自LAN服务器的输出连接(42)相连,那么客户端请求经由DMZ服务器和LAN服务器在整个系统中传输,然后客户端请求数据从服务(33)传输至客户端(11)。
根据上述本发明,LAN服务器在LAN(30)和DMZ(20)上初始安装和设置之后,在LAN服务器(31)中不需要行政管理来建立或维持通信。LAN控制器(32)永久地或定期地为进入的客户端请求查询DMZ堆栈池服务(22)。DMZ服务器(20)将接受所有客户端请求并且将它们发送至LAN服务器(31)而不改变客户端请求所包含的数据。例如,如果客户端请求使用HTTPS连接协议,那么将在系统中传输HTTPS连接协议,如同使用如SSH/SFTP/FTP/FTPS/RDP/SMTP/TLS/的任何其它公共协议或任何其它基于TCP/IP协议的一样。

Claims (7)

1.一种反向接入系统,所述系统包括:
隔离区(DMZ)堆栈池服务,其位于隔离区,DMZ堆栈池服务设置为存储从客户端接收的请求,其中所述请求存储在TCP/IP层;
局域网(LAN)控制器,其被配置为检查所述DMZ堆栈服务中是否存在所述请求,其中所述检查在TCP/IP层执行,并且所述LAN控制器位于LAN中;以及
DMZ服务器,其配置为从所述LAN的LAN服务器接收所请求的数据并将所述请求的数据发送至所述客户端,其中所述DMZ服务器的接收和发送在TCP/IP层进行;
其中所述DMZ堆栈池服务、所述LAN控制器和所述DMZ服务器不改变所述请求的数据,并且在初始安装和配置之后系统不需要行政管理;并且
其中所述LAN控制器连续地和/或基于预设的时间检查存储在所述DMZ堆栈池服务中的客户端请求。
2.根据权利要求1所述的系统,其中所述LAN服务器的计算机程序和敏感数据只位于LAN中。
3.一种反向接入方法,所述方法包括:
存储从客户端收到的请求,其中所述请求存储在隔离区(DMZ)堆栈池服务中且存储在TCP/IP层,其中所述DMZ堆栈池服务位于隔离区;
在TCP/IP层中,检查所述DMZ堆栈服务中是否存在所述请求,其中所述检查由位于LAN中的局域网(LAN)控制器执行;并且
从所述LAN的LAN服务器接收所请求的数据并将所述请求的数据发送至所述客户端;
其中所述接收和发送在TCP/IP层执行,并且所述接收和发送不改变所述请求的数据;
其中所述方法在初始安装和配置之后不需要LAN服务器的行政管理;并且
其中所述LAN控制器连续地和/或基于预设的时间检查存储在所述DMZ堆栈池服务中的客户端请求。
4.根据权利要求3所述的方法,其中所述LAN服务器的计算机程序和敏感数据只位于LAN中。
5.一种用于通过隔离区(DMZ)提供在局域网(LAN)上的服务器和广域网(WAN)上的客户端之间安全连接的方法,
其中所述LAN包括服务、LAN服务器和LAN控制器,并且所述DMZ包括DMZ服务器和DMZ堆栈池服务,所述方法包括:
在所述DMZ堆栈池服务中存储到达所述DMZ服务器的客户端请求;
由所述LAN控制器建立至所述DMZ堆栈池服务的输出TCP连接;
由所述DMZ堆栈池服务将所述客户端连接信息经由所述LAN控制器传递至所述LAN服务器;
由所述LAN服务器生成两个TCP/IP连接,第一TCP/IP连接是连接至所述服务并且第二TCP/IP连接是连接至所述DMZ服务器的输出连接,并且其中所述LAN服务器在所述LAN服务器中形成在所述服务和所述输出连接之间的连接器;
由所述DMZ服务器在所述DMZ服务器中形成将进入的客户端请求和来自LAN服务器的输出连接相连的连接器,以完成所述客户端请求的发送;
通过所述DMZ服务器和LAN服务器传输所述客户端请求;并且
将所述客户端请求数据从所述服务传输到所述客户端。
6.根据权利要求5所述的方法,还包括由LAN控制器定期检查存储在DMZ堆栈池服务中的客户端请求。
7.根据权利要求5所述的方法,还包括由所述LAN控制器按照预设的时间表对存储在DMZ堆栈池服务中的客户端请求进行检查。
CN201380020710.4A 2012-02-19 2013-02-13 用于确保前端应用和其它应用安全的反向接入方法 Active CN104412558B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IL218185A IL218185B (en) 2012-02-19 2012-02-19 Internal server intrusion protection system
IL218185 2012-02-19
PCT/IL2013/000017 WO2013121410A1 (en) 2012-02-19 2013-02-13 Reveres access method for securing front-end applications and others

Publications (2)

Publication Number Publication Date
CN104412558A CN104412558A (zh) 2015-03-11
CN104412558B true CN104412558B (zh) 2019-01-29

Family

ID=46467095

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380020710.4A Active CN104412558B (zh) 2012-02-19 2013-02-13 用于确保前端应用和其它应用安全的反向接入方法

Country Status (7)

Country Link
US (2) US9935958B2 (zh)
EP (1) EP2815554B1 (zh)
CN (1) CN104412558B (zh)
ES (1) ES2609457T3 (zh)
HK (1) HK1207766A1 (zh)
IL (1) IL218185B (zh)
WO (1) WO2013121410A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560604B2 (en) 2009-10-08 2013-10-15 Hola Networks Ltd. System and method for providing faster and more efficient data communication
US9241044B2 (en) 2013-08-28 2016-01-19 Hola Networks, Ltd. System and method for improving internet communication by using intermediate nodes
US11057446B2 (en) 2015-05-14 2021-07-06 Bright Data Ltd. System and method for streaming content from multiple servers
EP3998538A1 (en) 2017-08-28 2022-05-18 Bright Data Ltd. Mobile tunnel device for improving web content fetching while on idle state
EP4220441A1 (en) 2019-02-25 2023-08-02 Bright Data Ltd. System and method for url fetching retry mechanism
US11411922B2 (en) 2019-04-02 2022-08-09 Bright Data Ltd. System and method for managing non-direct URL fetching service
US11190489B2 (en) 2019-06-04 2021-11-30 OPSWAT, Inc. Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
CN113141402B (zh) * 2021-04-20 2022-11-29 中国建设银行股份有限公司 一种食堂自动化用户同步方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1731786A (zh) * 2004-08-04 2006-02-08 富士施乐株式会社 网络系统、内部服务器、终端设备、存储介质和分组中继方法
CN101110693A (zh) * 2006-07-17 2008-01-23 上海华虹Nec电子有限公司 一种互联网网站安全架构系统
CN101420455A (zh) * 2007-08-30 2009-04-29 软件Ag公司 反向http网关数据传输系统和/或方法及其网络

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4639275A (en) 1982-04-22 1987-01-27 The Board Of Trustees Of The University Of Illinois Forming disordered layer by controlled diffusion in heterojunction III-V semiconductor
US4843033A (en) 1985-09-27 1989-06-27 Texas Instruments Incorporated Method for outdiffusion of zinc into III-V substrates using zinc tungsten silicide as dopant source
US4824798A (en) * 1987-11-05 1989-04-25 Xerox Corporation Method of introducing impurity species into a semiconductor structure from a deposited source
US4927773A (en) 1989-06-05 1990-05-22 Santa Barbara Research Center Method of minimizing implant-related damage to a group II-VI semiconductor material
US6470386B1 (en) * 1997-09-26 2002-10-22 Worldcom, Inc. Integrated proxy interface for web based telecommunications management tools
US20170118214A1 (en) * 2001-12-12 2017-04-27 Pervasive Security Systems, Inc. Method and architecture for providing access to secured data from non-secured clients
US7506058B2 (en) * 2001-12-28 2009-03-17 International Business Machines Corporation Method for transmitting information across firewalls
US20030204602A1 (en) * 2002-04-26 2003-10-30 Hudson Michael D. Mediated multi-source peer content delivery network architecture
US7181493B2 (en) 2003-12-23 2007-02-20 Unisys Corporation Platform independent model-based framework for exchanging information in the justice system
US7444505B2 (en) * 2004-04-22 2008-10-28 At&T Intellectual Property I, L.P. Method, system and software for maintaining network access and security
US20050251855A1 (en) * 2004-05-04 2005-11-10 Hob Gmbh & Co. Kg Client-server-communication system
US8701175B2 (en) * 2005-03-01 2014-04-15 Tavve Software Company Methods, devices, systems and computer program products for providing secure communications between managed devices in firewall protected areas and networks segregated therefrom
US8296837B2 (en) * 2005-03-18 2012-10-23 Barclays Capital Inc. VoIP proxy server
GB0508624D0 (en) * 2005-04-28 2005-06-08 Ibm Reverse proxy system and method
US20070180512A1 (en) * 2005-10-21 2007-08-02 Hewlett-Packard Development Company, L.P. Methods of setting up and operating a reverse channel across a firewall
US8272045B2 (en) * 2005-12-15 2012-09-18 Barclays Capital Inc. System and method for secure remote desktop access
US8479275B1 (en) * 2006-02-01 2013-07-02 Cisco Technology, Inc. Secure high-throughput data-center network employing routed firewalls
US8825854B2 (en) * 2008-11-24 2014-09-02 Sap Ag DMZ framework
US8413241B2 (en) * 2009-09-17 2013-04-02 Oracle America, Inc. Integrated intrusion deflection, detection and introspection
US9059962B2 (en) * 2013-03-13 2015-06-16 Route1 Inc. Secure access to applications behind firewall

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1731786A (zh) * 2004-08-04 2006-02-08 富士施乐株式会社 网络系统、内部服务器、终端设备、存储介质和分组中继方法
CN101110693A (zh) * 2006-07-17 2008-01-23 上海华虹Nec电子有限公司 一种互联网网站安全架构系统
CN101420455A (zh) * 2007-08-30 2009-04-29 软件Ag公司 反向http网关数据传输系统和/或方法及其网络

Also Published As

Publication number Publication date
EP2815554A1 (en) 2014-12-24
US20150020161A1 (en) 2015-01-15
HK1207766A1 (zh) 2016-02-05
EP2815554B1 (en) 2016-10-05
US9935958B2 (en) 2018-04-03
IL218185B (en) 2018-12-31
CN104412558A (zh) 2015-03-11
IL218185A0 (en) 2012-06-28
WO2013121410A1 (en) 2013-08-22
EP2815554A4 (en) 2015-12-23
US20180176225A1 (en) 2018-06-21
ES2609457T3 (es) 2017-04-20
US10110606B2 (en) 2018-10-23

Similar Documents

Publication Publication Date Title
CN104412558B (zh) 用于确保前端应用和其它应用安全的反向接入方法
US10630645B1 (en) Private network request forwarding
KR102075228B1 (ko) 시큐리티 시스템 및 통신 제어 방법
US10212130B1 (en) Browser extension firewall
CA2951173C (en) Secured network bridge
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
US9742732B2 (en) Distributed TCP SYN flood protection
CN109479056B (zh) 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统
CN104767748A (zh) Opc服务器安全防护系统
CN105743878A (zh) 使用蜜罐的动态服务处理
KR101286015B1 (ko) 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법
CN103067384A (zh) 威胁处理方法及系统、联动客户端、安全设备及主机
Kugisaki et al. Bot detection based on traffic analysis
US20130262652A1 (en) Articles of manufacture, service provider computing methods, and computing service systems
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
CN104079563A (zh) 一种抗ddos攻击的控制方法和装置
Dandamudi et al. Firewalls implementation in computer networks and their role in network security
Sharma et al. Firewalls: A Study and Its Classification.
Heo et al. Development of unidirectional security gateway appliance using intel 82580EB NIC interface
CN109005182A (zh) 一种计算机网络管理系统
US9208311B2 (en) Detection of a threat in a communications network
Conklin State Based Network Isolation for Critical Infrastructure Systems Security
KR101526471B1 (ko) 호스트 보안 장치
KR20140136272A (ko) 해킹위험을 방지한 클라이언트환경용 통신접속장치
KR20110006566A (ko) 네트워크 상의 응용 계층 보호 방법 및 장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1207766

Country of ref document: HK

TA01 Transfer of patent application right

Effective date of registration: 20180223

Address after: Israel herzliyya

Applicant after: RSACCESS Co., Ltd.

Address before: Israel moding

Applicant before: MIZHAR AMIR

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20180329

Address after: Israel herzliyya

Applicant after: Safety technology data Co., Ltd.

Address before: Israel herzliyya

Applicant before: RSACCESS Co., Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant