CN106790161A - 一种保障服务器安全并减轻防火墙压力的通信系统和方法 - Google Patents
一种保障服务器安全并减轻防火墙压力的通信系统和方法 Download PDFInfo
- Publication number
- CN106790161A CN106790161A CN201611246759.3A CN201611246759A CN106790161A CN 106790161 A CN106790161 A CN 106790161A CN 201611246759 A CN201611246759 A CN 201611246759A CN 106790161 A CN106790161 A CN 106790161A
- Authority
- CN
- China
- Prior art keywords
- reverse proxy
- fire wall
- client
- server
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Abstract
本发明公开了一种保障服务器安全并减轻防火墙压力的通信系统和方法,所述系统包括:客户端、第一反向代理服务器、第二反向代理服务器、第一防火墙、第二防火墙和应用服务器。所述方法包括:第一防火墙和第二防火墙分别设置允许第一反向代理服务器访问第二反向代理服务器的防火墙规则;客户端发送访问请求到第一反向代理服务器;第一反向代理服务器转发访问请求到第二反向代理服务器;第二反向代理服务器将访问请求转发到应用服务器;应用服务器根据接收到的访问请求,生成响应信息,并将响应信息依次通过第二反向代理服务器以及第一反向代理服务器发送到对应的客户端中。通过上述系统和方法能避免服务器暴露,同时减轻了防火墙压力。
Description
技术领域
本发明涉及应用服务器安全的方法及网络架构技术领域,尤其涉及一种保障服务器安全并减轻防火墙压力的通信系统和方法。
背景技术
在跨地区的集团企业中,基于方便业务交互的考虑,一般会建立起异地间的通信网络,而为了保障服务器的安全以及出于保密的考虑,需要在两地甚至多地站点之间配置不同的防火墙规则。
一般企业内部应用访问方式是作为客户端的一方直接访问作为服务器的另一方,而以这种方式进行访问要求服务器的防火墙开通每一个客户端的IP地址对服务器IP地址的访问权限以及每一个客户端的防火墙都要各自开通服务器的IP地址对客户端的IP地址的访问权限,这不仅仅使得防火墙的配置规则变得复杂、防火墙的压力变大,还会将应用服务器暴露给整个异地网段,增加了应用服务器的安全风险。
发明内容
鉴于现有技术的不足,本发明提供了一种保障服务器安全并减轻防火墙压力的系统和方法,以解决异地通信中服务器的安全隐患以及防火墙配置规则复杂的问题。
为了实现上述目的,本发明采用了如下的技术方案:
一种保障服务器安全并减轻防火墙压力的通信系统,包括:客户端、第一反向代理服务器、第二反向代理服务器、第一防火墙、第二防火墙以及应用服务器,其中,所述客户端与所述第一反向代理服务器建立连接;所述应用服务器与所述第二反向代理服务器建立连接;所述客户端和所述第一反向代理服务器在第一防火墙的保护范围内;所述应用服务和所述第二反向代理服务器在第二防火墙的保护范围内;所述第一防火墙和所述第二防火墙配置的防火墙规则中设置有允许所述第一反向代理服务器访问所述第二反向代理服务器的规则。
优选地,所述客户端和所述第一反向代理服务器在同一局域网内。
优选地,所述客户端的数量为多个。
优选地,所述应用服务器和所述第二反向代理服务器在同一局域网内。
优选地,所述应用服务器的数量为多个,多个所述应用服务器配置有一个所述第二反向代理服务器或者是每个所述应用服务器一一对应地配置有一个所述第二反向代理服务器。
优选地,所述客户端和所述应用服务器分属于不同的局域网。
一种保障服务器安全并减轻防火墙压力的通信系统的通信方法,应用于上述保障服务器安全并减轻防火墙压力的通信系统,其包括以下步骤:第一防火墙和第二防火墙分别设置允许第一反向代理服务器访问第二反向代理服务器的防火墙规则;客户端发送访问请求到第一反向代理服务器;第一反向代理服务器转发客户端发送的访问请求到第二反向代理服务器中;第二反向代理服务器将访问请求转发到应用服务器;应用服务器根据接收到访问请求,生成响应信息,并将请求响应依次通过第二反向代理服务器以及第一反向代理服务器发送到对应客户端中。
优选地,所述第一防火墙禁止没有访问权限的IP地址对所述客户端或第一反向代理服务器进行访问;所述第二防火墙禁止没有访问权限的IP地址对所述应用服务器或第二反向代理服务器进行访问。
优选地,所述客户端和所述第一反向代理服务器在同一局域网内,所述应用服务器和所述第二反向代理服务器在同一局域网内。
优选地,所述客户端和所述应用服务器分属于不同的局域网。
相比于现有技术,本发明实施例提供的一种保障服务器安全并减轻防火墙压力的通信系统和方法,通过在客户端和应用服务器之间设置两个反向代理服务器,令两个反向代理服务器对应的防火墙只开通第一反向代理服务器对第二反向代理服务器的IP地址访问权限,以此简化应用服务器的防火墙架构,减轻防火墙压力,并且通过反向代理服务器进行通信能避免应用服务器暴露在整个异地网段,保障了应用服务器安全。
附图说明
图1是本发明实施例提供的一种保障服务器安全并减轻防火墙压力的通信系统的结构示意图;
图2是本发明实施例提供的一种保障服务器安全并减轻防火墙压力的通信方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明的具体实施方式进行详细说明。这些优选实施方式的示例在附图中进行了例示。附图中所示和根据附图描述的本发明的实施方式仅仅是示例性的,并且本发明并不限于这些实施方式。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
本发明实施例提供了一种保障服务器安全并减轻防火墙压力的通信系统和方法。图1示出了上述通信系统的结构示意图。其中,如图1所示,所述通信系统包括客户端1、第一反向代理服务器21、第二反向代理服务器22、第一防火墙31、第二防火墙32以及应用服务器4。
其中,所述客户端1与所述第一反向代理服务器21建立连接;所述应用服务器4与所述第二反向代理服务器22建立连接;所述客户端1和所述第一反向代理服务器21在第一防火墙31的保护范围内;所述应用服务器4和所述第二反向代理服务器22在第二防火墙32的保护范围内。这样,所述客户端1与所述第一反向代理服务器21相互访问时便不会受到防火墙的阻拦,同样的,所述应用服务器4与所述第二反向代理服务器22相互访问时也不会受到阻拦。
一般,防火墙设置规则包括入站规则和出站规则。具体地,在本实施例中,所述第一防火墙31配置的出站规则设置有允许所述第一反向代理服务器21访问所述第二反向代理服务器22的规则,所述第二防火墙32配置的入站规则中设置有允许所述第一反向代理服务器21访问所述第二反向代理服务器22的规则。其中,第一反向代理服务器21和第二反向代理服务器22没有保存真实数据,真实数据则保存在应用服务器4中,因此,对第一反向代理服务器21和第二反向代理服务器22的攻击并不会使得网页信息、文件等遭到破坏,增加了安全性。
在本实施例中,客户端1发送访问请求所述第一反向代理服务器21,第一反向代理服务器21通过所述第二反向代理服务器22将所述应用服务器4生成的响应信息返回到所述客户端1中,对于所述客户端1而言,此时第一反向代理服务器21对外就表现为一个原始的应用服务器,所述客户端1的用户并未得知响应信息来自所述应用服务器4而非直接来自所述第一反向代理服务器21,因此,所述应用服务器4不会暴露给所述客户端1,同样的,所述应用服务器4也不会暴露给所述第一反向代理服务器21。
具体地,所述客户端1和所述第一反向代理服务器21在同一局域网内。所述应用服务器4和所述第二反向代理服务器22在同一局域网内。
进一步地,所述客户端1的数量可以为多个,每一客户端1分别与所述第一反向代理服务器21建立连接。其中,多个客户端1可依靠上述系统,分别通过所述第一反向代理服务器21与异地的应用服务器4进行通信,而无需为多个客户端1的各自IP地址一一开通访问应用服务器4的IP地址的权限。
所述应用服务器4的数量为多个,多个所述应用服务器4配置有一个所述第二反向代理服务器22或者是每个所述应用服务器4一一对应地配置有一个所述第二反向代理服务器22。
如图2所示,如上实施例提供的一种保障服务器安全并减轻防火墙压力的通信系统的通信方法包括以下步骤:
A.第一防火墙31和第二防火墙32分别设置允许第一反向代理服务器21访问第二反向代理服务器22的防火墙规则。
B.客户端1发送访问请求到第一反向代理服务器21。
C.第一反向代理服务器转发客户端1发送的访问请求到第二反向代理服务器22中。
D.第二反向代理服务器22将访问请求转发到应用服务器4。
E.应用服务器4根据接收到的访问请求,生成响应信息,并将响应信息依次通过第二反向代理服务器22以及第一反向代理服务器21发送到对应的客户端1中。
具体地,所述第一防火墙31禁止没有访问权限的IP地址对所述客户端1或第一反向代理服务器21进行访问;所述第二防火墙32禁止没有访问权限的IP地址对所述应用服务器4或第二反向代理服务器22进行访问。其中,防火墙禁止没有访问权限的IP地址对客户端1、应用服务器4以及对应的反向代理服务器进行访问,只允许反向代理服务器之间进行异地访问,能极大提高服务器和客户端在进行异地通信时的安全。
具体地,在如上实施例提供的保障服务器安全并减轻防火墙压力的通信系统的通信方法中,所述客户端1和所述应用服务器4分属于不同的局域网。
在本实施例中,所述第一反向代理服务器21根据访问请求中包括的内容进行判断寻找并将访问请求转发至可提供客户端1所需数据的一方,访问请求中一般包括如请求方法、URL、协议/版本、请求头(Request Header)以及请求正文等信息,所述第一反向代理服务器21通过转发访问请求到所述第二反向代理服务器22,所述第二反向代理服务器22同样根据访问请求内容判断后转发访问请求到所述应用服务器4,所述应用服务器4对所述访问请求进行处理,生成响应信息依次通过所述第二反向代理服务器22以及所述第一反向代理服务器21进行转发返回到对应的所述客户端1。此时,对于所述客户端1而言,响应信息由所述第一反向代理服务器21返回,所述客户端1无法获知所述应用服务器4的信息,避免了所述应用服务器4的暴露。
上述本发明实施例中提供的一种保障服务器安全并减轻防火墙压力的系统和方法,通过在客户端1和应用服务器4之间设置两个反向代理服务器,令两个反向代理服务器对应的防火墙只开通第一反向代理服务器21对第二反向代理服务器22的IP地址访问权限,以此简化应用服务器4的防火墙架构,减轻防火墙压力,并且通过反向代理服务器进行通信能避免应用服务器4暴露在整个异地网段,保障了应用服务器4安全。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种保障服务器安全并减轻防火墙压力的通信系统,其特征在于,包括:客户端(1)、第一反向代理服务器(21)、第二反向代理服务器(22)、第一防火墙(31)、第二防火墙(32)以及应用服务器(4),其中,
所述客户端(1)与所述第一反向代理服务器(21)建立连接;
所述应用服务器(4)与所述第二反向代理服务器(22)建立连接;
所述客户端(1)和所述第一反向代理服务器(21)在第一防火墙(31)的保护范围内;
所述应用服务器(4)和所述第二反向代理服务器(22)在第二防火墙(32)的保护范围内;
所述第一防火墙(31)和所述第二防火墙(32)配置的防火墙规则中设置有允许所述第一反向代理服务器(21)访问所述第二反向代理服务器(22)的规则。
2.根据权利要求1所述的通信系统,其特征在于,所述客户端(1)和所述第一反向代理服务器(21)在同一局域网内。
3.根据权利要求1所述的通信系统,其特征在于,所述客户端(1)的数量为多个。
4.根据权利要求1所述的通信系统,其特征在于,所述应用服务器(4)和所述第二反向代理服务器(22)在同一局域网内。
5.根据权利要求4所述的通信系统,其特征在于,所述应用服务器(4)的数量为多个,多个所述应用服务器(4)配置有一个所述第二反向代理服务器(22)或者是每个所述应用服务器(4)一一对应地配置有一个所述第二反向代理服务器(22)。
6.根据权利要求1-5任一所述的通信系统,其特征在于,所述客户端(1)和所述应用服务器(4)分属于不同的局域网。
7.一种保障服务器安全并减轻防火墙压力的通信系统的通信方法,应用于上述权利要求1至6任一项所述的保障服务器安全并减轻防火墙压力的通信系统,其特征在于,包括以下步骤:
第一防火墙(31)和第二防火墙(32)分别设置允许第一反向代理服务器(21)访问第二反向代理服务器(22)的防火墙规则;
客户端(1)发送访问请求到第一反向代理服务器(21);
第一反向代理服务器将客户端(1)的访问请求转发到第二反向代理服务器(22)中;
第二反向代理服务器(22)将访问请求转发到应用服务器(4);
应用服务器(4)根据接收到的访问请求,生成响应信息,并将响应信息依次通过第二反向代理服务器(22)以及第一反向代理服务器(21)发送到对应的客户端(1)中。
8.根据权利要求7所述的通信方法,其特征在于,所述第一防火墙(31)禁止没有访问权限的IP地址对所述客户端(1)或第一反向代理服务器(21)进行访问;所述第二防火墙(32)禁止没有访问权限的IP地址对所述应用服务器(4)或第二反向代理服务器(22)进行访问。
9.根据权利要求7所述的通信方法,其特征在于,所述客户端(1)和所述第一反向代理服务器(21)在同一局域网内;所述应用服务器(4)和所述第二反向代理服务器(22)在同一局域网内。
10.根据权利要求7-9任一所述的通信方法,其特征在于,所述客户端(1)和所述应用服务器(4)分属于不同的局域网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611246759.3A CN106790161A (zh) | 2016-12-29 | 2016-12-29 | 一种保障服务器安全并减轻防火墙压力的通信系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611246759.3A CN106790161A (zh) | 2016-12-29 | 2016-12-29 | 一种保障服务器安全并减轻防火墙压力的通信系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106790161A true CN106790161A (zh) | 2017-05-31 |
Family
ID=58929105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611246759.3A Pending CN106790161A (zh) | 2016-12-29 | 2016-12-29 | 一种保障服务器安全并减轻防火墙压力的通信系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106790161A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107819856A (zh) * | 2017-11-14 | 2018-03-20 | 广西巨玖文化产业有限公司 | 基于soa架构的文化创意产业服务平台 |
| CN109194716A (zh) * | 2018-08-06 | 2019-01-11 | 深圳市华讯方舟太赫兹科技有限公司 | 一种处理请求的方法、系统、服务器及存储装置 |
| CN110247935A (zh) * | 2019-07-30 | 2019-09-17 | 四川虹魔方网络科技有限公司 | 一种基于反向代理实现局域网访问加速的方法 |
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| CN112911010A (zh) * | 2021-02-05 | 2021-06-04 | 上海锐伟电子科技有限公司 | 一种适用于多种设备端连接的管理方法及系统 |
| CN114826754A (zh) * | 2022-05-06 | 2022-07-29 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
| CN115315926A (zh) * | 2020-03-24 | 2022-11-08 | 微软技术许可有限责任公司 | 用于实现基于应用层和基于传输层的安全规则的反向代理服务器 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102090032A (zh) * | 2008-06-24 | 2011-06-08 | 微软公司 | 用于管理中继服务器之间的通信的技术 |
| CN103563301A (zh) * | 2011-03-31 | 2014-02-05 | 奥林奇公司 | 反向代理上的流入重定向机制 |
| CN104618400A (zh) * | 2015-03-09 | 2015-05-13 | 深圳市茁壮网络股份有限公司 | 一种局域网的访问方法及装置 |
| CN105516121A (zh) * | 2015-12-03 | 2016-04-20 | 迈普通信技术股份有限公司 | 无线局域网中ac与ap通信的方法及系统 |
| US20160226825A1 (en) * | 2015-01-30 | 2016-08-04 | Aruba Networks, Inc. | Dynamic detection and application-based policy enforcement of proxy connections |
-
2016
- 2016-12-29 CN CN201611246759.3A patent/CN106790161A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102090032A (zh) * | 2008-06-24 | 2011-06-08 | 微软公司 | 用于管理中继服务器之间的通信的技术 |
| CN103563301A (zh) * | 2011-03-31 | 2014-02-05 | 奥林奇公司 | 反向代理上的流入重定向机制 |
| US20160226825A1 (en) * | 2015-01-30 | 2016-08-04 | Aruba Networks, Inc. | Dynamic detection and application-based policy enforcement of proxy connections |
| CN104618400A (zh) * | 2015-03-09 | 2015-05-13 | 深圳市茁壮网络股份有限公司 | 一种局域网的访问方法及装置 |
| CN105516121A (zh) * | 2015-12-03 | 2016-04-20 | 迈普通信技术股份有限公司 | 无线局域网中ac与ap通信的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张航进: "利用双代理系统访问内部WEB服务器", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| CN111095862B (zh) * | 2017-09-12 | 2021-10-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| CN107819856A (zh) * | 2017-11-14 | 2018-03-20 | 广西巨玖文化产业有限公司 | 基于soa架构的文化创意产业服务平台 |
| CN109194716A (zh) * | 2018-08-06 | 2019-01-11 | 深圳市华讯方舟太赫兹科技有限公司 | 一种处理请求的方法、系统、服务器及存储装置 |
| CN110247935A (zh) * | 2019-07-30 | 2019-09-17 | 四川虹魔方网络科技有限公司 | 一种基于反向代理实现局域网访问加速的方法 |
| CN115315926A (zh) * | 2020-03-24 | 2022-11-08 | 微软技术许可有限责任公司 | 用于实现基于应用层和基于传输层的安全规则的反向代理服务器 |
| CN112911010A (zh) * | 2021-02-05 | 2021-06-04 | 上海锐伟电子科技有限公司 | 一种适用于多种设备端连接的管理方法及系统 |
| CN114826754A (zh) * | 2022-05-06 | 2022-07-29 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790161A (zh) | 一种保障服务器安全并减轻防火墙压力的通信系统和方法 | |
| US8909792B2 (en) | Method, system, and computer program product for identifying and tracking social identities | |
| US20120180120A1 (en) | System for data leak prevention from networks using context sensitive firewall | |
| US8869237B2 (en) | Method and system for propagating network policy | |
| US20140344915A1 (en) | Secure Network Communications for Meters | |
| US20040054741A1 (en) | System and method for automatically limiting unwanted and/or unsolicited communication through verification | |
| US20050228984A1 (en) | Web service gateway filtering | |
| US20190081952A1 (en) | System and Method for Blocking of DNS Tunnels | |
| USRE48159E1 (en) | Method and system for propagating network policy | |
| DE112012006217T5 (de) | Techniken zur Überwachung von Verbindungspfaden bei vernetzten Geräten | |
| JP6067046B2 (ja) | 私設ネットワークにおける公開botの管理のためのシステム、方法、およびコンピュータ・プログラム(私設ネットワークにおける公開bot管理) | |
| US11496594B1 (en) | Regulation methods for proxy services | |
| US11363062B1 (en) | System and method for decentralized internet traffic filtering policy reporting | |
| CN114402567A (zh) | 算法生成的域的在线检测 | |
| Yan et al. | The road to DNS privacy | |
| JP4550145B2 (ja) | アクセス制御のための方法、装置、およびコンピュータ・プログラム | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| CN105282107B (zh) | Xmpp系统访问外部数据的授权方法及通信网络 | |
| CN109672744A (zh) | 一种用户无感知的图像堡垒机方法及系统 | |
| CN106453399B (zh) | 一种面向用户隐私保护的域名解析服务方法和系统 | |
| US11063959B2 (en) | Secure and seamless remote access to enterprise applications with zero user intervention | |
| DE112004000125T5 (de) | Gesichertes Client-Server-Datenübertragungssystem | |
| US11064544B2 (en) | Mobile communication system and pre-authentication filters | |
| CN112671776A (zh) | 一种基于vpn移动端数据的转发方法 | |
| US20110202771A1 (en) | Method for governing the ability of computing devices to communicate |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170531 |
|
| WD01 | Invention patent application deemed withdrawn after publication |