CN109688100B - Nat穿透方法、装置、设备及存储介质 - Google Patents

Nat穿透方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN109688100B
CN109688100B CN201811053357.0A CN201811053357A CN109688100B CN 109688100 B CN109688100 B CN 109688100B CN 201811053357 A CN201811053357 A CN 201811053357A CN 109688100 B CN109688100 B CN 109688100B
Authority
CN
China
Prior art keywords
address
external network
data packet
intranet
extranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811053357.0A
Other languages
English (en)
Other versions
CN109688100A (zh
Inventor
刘明东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201811053357.0A priority Critical patent/CN109688100B/zh
Publication of CN109688100A publication Critical patent/CN109688100A/zh
Application granted granted Critical
Publication of CN109688100B publication Critical patent/CN109688100B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种NAT穿透方法、装置、设备及存储介质,该方法包括:当接收到内网系统PC端发送的请求数据包时,获取内网系统PC端的内网IP地址和待访问外网IP地址;对于具有访问权限的内网IP地址,则触发NAT穿透策略,将内网IP地址转换成预设的第一外网IP地址;通过第一外网IP地址向外网网络服务器转发请求数据包,外网网络服务器根据预设的访问权限列表判断第一外网IP地址的访问权限,发送与所述请求数据包对应的应答数据包;并将外网服务器返回的应答数据包转发至请求数据包对应的内网系统PC端。本发明通过NAT穿透方法进行数据安全治理,建设数据安全体系,提高了内网系统中PC端与特定外网通讯的安全性。

Description

NAT穿透方法、装置、设备及存储介质
技术领域
本发明涉及网络连接技术领域,尤其涉及一种NAT穿透方法、装置、设备及存储介质。
背景技术
一些机关单位,例如银行、教育、国防、国家高科技研究中心的PC端都存储有大量机密信息,因此内网系统需要与外网系统隔离,以防操作系统感染病毒和被黑客攻击。但是当系统内需要访问外网时,往往被隔离无法实现与外网的通讯。
目前,借助于NAT(Network Address Translation,网络地址转换)穿透,可以将内网IP(Internet Protocol,网络协议)地址转化为外网IP地址,通过外网IP地址来访问外网。然而,对于内网系统与外网系统隔离的机关单位来说,一般的NAT穿透方法依然不够安全。
发明内容
本发明提供一种NAT穿透方法、装置、设备及存储介质,旨在提高内网系统PC端与特定外网通讯的安全性。
为实现上述目的,本发明提供一种NAT穿透方法,所述方法应用于NAT穿透设备,所述NAT穿透设备与外网网络服务器通讯连接,所述方法包括:
当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
可选地,所述当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址的步骤之前还包括:
预先配置访问权限,生成内网IP地址与特定外网IP地址的权限映射关系表,其中,所述内网IP地址对应于一个或多个特定外网IP地址,所述特定外网IP地址对应于一个或多个内网IP地址。
可选地,所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址发送与所述请求数据包对应的应答数据包的步骤包括:
所述外网网络服务器预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;
当接收到NAT穿透设备发送的请求数据包时,根据所述请求数据包获取对应的第一外网IP地址;
判断所述第一外网IP地址是否为所述访问权限列表中一个或多个第二外网IP地址的一个;
若所述第一外网IP地址是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送与请求数据包对应的应答数据包;
若所述第一外网IP地址不是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送不具有访问权限的提示。
可选地,所述外网网络服务器是为所述NAT穿透设备对应的内网系统提供服务的平台的外网网络服务器,所述外网网络服务器预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表的步骤包括:
根据服务协议预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;
当有一个或多个新的第二外网IP地址加入时,将所述一个或多个新的第二外网IP地址加入所述访问权限列表;或者
当与所述一个或多个第二外网IP地址的服务协议到期或终止所述服务协议时,将与所述服务协议到期或终止所述服务协议对应的一个或多个外网IP地址从所述访问权限列表中移除。
可选地,所述根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限的步骤之后还包括:
若所述内网IP地址不具有访问所述待访问外网IP地址的权限,则向发送所述请求数据包对应的内网系统PC端发送不具有访问权限的提示。
可选地,根据预设的权限映射关系判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限的步骤包括:
从所述权限映射关系表中查询所述内网IP地址和所述待访问外网IP地址的映射关系;
若所述内网IP地址和所述待访问外网IP地址的关系是相互映射,则认为所述内网IP地址具有访问所述待访问外网IP地址的权限;
若所述内网IP地址和所述待访问外网IP地址的关系不是相互映射,则认为所述内网IP地址不具有访问所述待访问外网IP地址的权限。
可选地,所述NAT穿透策略采用端口多路复用的方式,利用所述端口多路复用的方式进行地址转换的步骤包括:
设置NAT穿透设备的外部端口和内部端口;
定义用于访问的外网网络服务器的一个或多个第一外网IP地址;
设置与所述一个或多个第一外网IP地址对应的一个或多个内部IP地址,形成IP地址关系转换关联表;
当收到NAT请求时,根据所述IP地址关系转换关联表,将内部IP地址转换成对应的第一外网IP地址。
此外,为实现上述目的,本发明还提供一种NAT穿透装置,所述NAT穿透装置包括:
获取模块,用于当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
判断模块,用于根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
NAT穿透模块,用于若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
转发模块,用于通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
接收模块,用于接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
此外,为实现上述目的,本发明还提供一种NAT穿透设备,其特征在于,所述NAT穿透设备包括处理器,存储器以及存储在所述存储器中的NAT穿透程序,所述NAT穿透程序被所述处理器运行时,实现如上所述的NAT穿透方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有NAT穿透程序,所述NAT穿透程序被处理器运行时实现如上所述的NAT穿透方法的步骤。
本发明提供一种NAT穿透方法、装置、设备及存储介质,当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端,由此,通过NAT穿透方法进行数据安全治理,建设数据安全体系,提高了内网系统中PC端与特定外网通讯的安全性。
附图说明
图1是本发明各实施例涉及的NAT穿透设备的硬件结构示意图;
图2是本发明NAT穿透方法第一实施例的流程示意图;
图3是本发明NAT穿透方法第二实施例的流程示意图;
图4是本发明NAT穿透方法第三实施例的流程示意图;
图5是本发明NAT穿透装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例主要涉及的NAT穿透设备是指能够实现网络连接的网络连接设备,所述NAT穿透设备可以是路由器、防火墙或者单独的NAT穿透设备。
参照图1,图1为本发明实施例方案中涉及的NAT穿透设备的硬件结构示意图。本发明实施例中,NAT穿透设备可以包括处理器1001(例如中央处理器Central ProcessingUnit、CPU),通信总线1002,输入端口1003,输出端口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信;输入端口1003用于数据输入;输出端口1004用于数据输出,存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器,存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解,图1中示出的硬件结构并不构成对本发明的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
继续参照图1,图1中作为一种可读存储介质的存储器1005可以包括操作系统、网络通信模块、应用程序模块以及NAT穿透程序。在图1中,网络通信模块主要用于连接服务器,与服务器进行数据通信;而处理器1001可以调用存储器1005中存储的NAT穿透程序,并执行本发明实施例提供的NAT穿透方法。
本发明实施例提供了一种NAT穿透方法。
参照图2,图2是本发明NAT穿透方法第一实施例的流程示意图。
本实施例中,所述NAT穿透方法应用于NAT穿透设备,所述NAT穿透设备与外网网络服务器通讯连接,所述方法包括:
步骤S101,当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
步骤S102,根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
步骤S103,若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
步骤S104,通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
步骤S105,接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
借助于NAT穿透策略,可以将内网IP地址转化为外网IP地址,通过外网IP地址来访问外网。然而,对于内网系统与外网系统隔离的需要信息保密的机关单位来说,一般的NAT穿透方法依然不能满足其特殊的安全要求。为了提高内网系统中PC端与特定外网通讯的安全性,本实施例提出一种NAT穿透方法,以下详细介绍NAT穿透方法的具体步骤:
步骤S101,当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
本实施例中,所述内网系统PC端是指内网系统与外网系统隔离的机关单位中的内网系统PC端。当所述内网系统PC端需要与外网通讯时,首先向NAT穿透设备发送请求数据包,其中,所述请求数据包由请求行、消息头以及实体内容组成。所述请求数据包包括内网IP地址、待访问外网IP地址、MAC地址、协议类型端口号、请求参数等内容。由此,当NAT穿透设备在接收到PC端发送的请求数据包时,根据所述请求数据包获取所述PC端的内网IP地址和待访问外网IP地址。
步骤S102,根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
具体地,从所述权限映射关系表中查询所述内网IP地址和所述待访问外网IP地址的映射关系;
若所述内网IP地址和所述待访问外网IP地址的关系是相互映射,则认为所述内网IP地址具有访问所述待访问外网IP地址的权限;
若所述内网IP地址和所述待访问外网IP地址的关系不是相互映射,则认为所述内网IP地址不具有访问所述待访问外网IP地址的权限。
本实施例中,从所述权限映射关系表中查询所述内网IP地址和所述待访问外网IP地址的映射关系有以下两种方式:
从所述第一权限映射关系表中查询所述内网IP地址对应的一个或多个预设特定外网IP地址;若所述待访问外网IP地址是所述内网IP地址对应的一个或多个预设特定外网IP地址中的一个,则所述内网IP地址具有访问待访问所述待访问外网IP地址的权限;反之,若所述待访问外网IP地址不是所述内网IP地址对应的一个或多个预设特定外网IP地址中的一个,则所述内网IP地址不具有访问所述待访问外网IP地址的权限;或者
首先判断所述待访问外网IP地址是否为特定外网IP地址中的一个,若所述待访问外网IP地址是所述特定外网IP地址中的一个,则从所述第一权限映射关系表中查询所述待访问外网IP地址对应的一个或多个预设内网IP地址;若所述内网IP地址是所述待访问外网IP地址对应的一个或多个预设内网IP地址中的一个,则所述内网IP地址具有访问待访问所述待访问外网IP地址的权限;反之,若所述内网IP地址不是所述待访问外网IP地址对应的一个或多个预设内网IP地址中的一个,则所述内网IP地址不具有访问所述待访问外网IP地址的权限;若所述待访问外网IP地址不是所述特定外网IP地址中的一个,则所述内网IP地址不具有访问所述待访问外网IP地址的权限。
步骤S103,若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
一般地,所述NAT穿透有多种策略,按NAT的具体工作方式,可以分为:静态NAT、动态NAT以及端口多路复用等,其中,所述静态转换是指将内部网络的内网IP地址转换为外网IP地址,IP地址对是一对一的,某个私有IP地址只转换为某个公有IP地址;所述动态转换是指将内部网络的内网IP地址转换为外网IP地址时,转换后的外网IP地址是不确定的,是随机的,所有被授权访问外网的内网IP地址可随机转换为任何特定的合法外网IP地址;所述端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation),内部网络的所有主机均可共享一个合法外网IP地址实现对网络的访问,从而可以最大限度地节约IP地址资源。同时,又可内网系统的所有PC端的内网IP地址,有效避免来自外部的攻击。
本实施例中,所述NAT穿透策略采用端口多路复用的方式,利用所述端口多路复用的方式进行地址转换的步骤包括:设置NAT穿透设备的外部端口和内部端口;定义用于访问的外网网络服务器的一个或多个第一外网IP地址;设置与所述一个或多个第一外网IP地址对应的一个或多个内部IP地址,形成IP地址关系转换关联表;当收到NAT请求时,根据所述IP地址关系转换关联表,将内部IP地址转换成对应的第一外网IP地址。由此,通过端口多路复用的方式将内部系统中的内网IP地址转换成预设的第一外网IP地址,隐藏内部系统的所有PC端的内部IP地址,提高了内网系统的安全性。
步骤S104,通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
本实施例中,所述NAT穿透设备将内网IP地址转换成对应的第一外网IP地址之后,通过所述第一外网IP地址待访问外网的外网网络服务器转发所述请求数据包。所述外网网络服务器接收所述请求数据包后,则根据预设的访问权限列表判断所述第一外网IP地址的访问权限。所述外网网络服务器预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;当接收到NAT穿透设备发送的请求数据包时,根据所述请求数据包获取对应的第一外网IP地址;判断所述第一外网IP地址是否为所述访问权限列表中一个或多个第二外网IP地址的一个;若所述第一外网IP地址是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送与请求数据包对应的应答数据包,其中所述应答数据包由状态行、消息头和实体内容组成;若所述第一外网IP地址不是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送不具有访问权限的提示。由此,通过外网网络服务器对所述第一外网IP地址进行验证,不仅能阻止无访问权限的用户访问所述外网,减轻所述外网的服务压力提升数据传输速度,也进一步保障了内网系统对所述外网系统访问的安全性。
需要说明的是,所述外网网络服务器是为所述NAT穿透设备对应的内网系统提供服务的平台的特定外网网络服务器,所述外网网络服务器预先内网系统签订服务协议后保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表的步骤包括:根据服务协议预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;当有一个或多个新的第二外网IP地址加入时,将所述一个或多个新的第二外网IP地址加入所述访问权限列表;或者当与所述一个或多个第二外网IP地址的服务协议到期或终止所述服务协议时,将与所述服务协议到期或终止所述服务协议对应的一个或多个外网IP地址从所述访问权限列表中移除。
步骤S105,接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
本实施例中,所述NAT穿透设备接收应答数据包,并按原路径将所述应答数据包转发至所述请求数据包对应的内网系统PC端。由此内网系统PC端成功地与特定外网通讯,实现了对所述特定外网的安全访问。
本实施例中,当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端,由此,通过NAT穿透方法进行数据安全治理,建设数据安全体系,,提高了内网系统中PC端与特定外网通讯的安全性。
进一步地,参照图3,基于上述第一实施例,提出了本发明NAT穿透方法的第二实施例,与前述实施例的区别在于,所述步骤S101:当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址之前还包括:
步骤S100,预先配置访问权限,生成内网IP地址与特定外网IP地址的权限映射关系表,其中,所述内网IP地址对应于一个或多个特定外网IP地址,所述特定外网IP地址对应于一个或多个内网IP地址。
本实施例中,预先保存与内网系统签订服务协议的一个或多个特定外网IP地址,所述与内网系统签订服务协议的一个或多个特定外网IP地址就是特定外网,将所述一个或多个特定外网IP地址作为可访问的一个或多个待访问外网IP地址。然后,配置内网系统中内网IP地址与特定外网IP地址的权限映射关系表,其中,所述内网IP地址对应于一个或多个特定外网IP地址,所述特定外网IP地址对应于一个或多个内网IP地址。因此,可根据不同内部IP地址的权限等级,配置相应的外部网络服务器IP,可为内网系统中的每一个IP地址精确配置访问权限。
本实施例中,通过配置访问权限,生成内网IP地址与特定外网IP地址的权限映射关系表,精确配置内网系统中的每一个IP地址的访问权限,最大限度的管理内部网络中每一个IP地址对应PC端的访问权限,保障了内部系统与PC端与特定外网通讯的安全性。
进一步地,参照图4,基于上述第一或第二实施例,提出了本发明提出了本发明NAT穿透方法的第三实施例,与前述实施例的区别在于,所述步骤S102:根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限之后还包括:
步骤S1021,若所述内网IP地址不具有访问所述待访问外网IP地址的权限,则向发送所述请求数据包对应的内网系统PC端发送不具有访问权限的提示。
本实施例中,从所述权限映射关系表中查询所述内网IP地址和所述待访问外网IP地址的映射关系;若所述内网IP地址和所述待访问外网IP地址的关系不是相互映射,则认为所述内网IP地址不具有访问所述待访问外网IP地址的权限。具体地,从所述第一权限映射关系表中查询所述内网IP地址对应的一个或多个预设特定外网IP地址;若所述待访问外网IP地址不是所述内网IP地址对应的一个或多个预设特定外网IP地址中的一个,则所述内网IP地址不具有访问所述待访问外网IP地址的权限;或者
判断所述待访问外网IP地址是否为特定外网IP地址中的一个,若所述待访问外网IP地址是特定外网IP地址中的一个,则从所述第一权限映射关系表中查询所述待访问外网IP地址对应的一个或多个预设内网IP地址;若所述内网IP地址不是所述待访问外网IP地址对应的一个或多个预设内网IP地址中的一个,则所述内网IP地址不具有访问所述待访问外网IP地址的权限;若所述待访问外网IP地址不是特定外网IP地址中的一个,则所述内网IP地址不具有访问所述待访问外网IP地址的权限。
进一步地,若所述内网IP地址不具有访问所述待访问外网IP地址的权限,则向发送所述请求数据包对应的内网系统PC端发送不具有访问权限的提示。由于所述内网IP地址不具有访问所述待访问外网IP地址的权限,则在发出不具有访问权限的提示后,不执行后续的所述NAT穿透方法的步骤。
本实施例中,根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限之后,若所述内网IP地址不具有访问所述待访问外网IP地址的权限,则向发送所述请求数据包对应的内网系统PC端发送不具有访问权限的提示。由此,阻止了不具有访问权限的内网系统中的IP地址对应的PC端访问特定外网,保障了内部系统与PC端与特定外网通讯的安全性。
此外,本发明实施例还提供一种NAT穿透装置。
参照图5,图5为本发明NAT穿透装置第一实施例的功能模块示意图。
本发明NAT穿透装置为虚拟装置,存储于图1所示的NAT穿透设备的存储器1005中,用于实现NAT穿透程序的所有功能:当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
具体地,本实施例中,所述NAT穿透装置包括:
获取模块10,用于当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
判断模块20,用于根据预设的权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
NAT穿透模块30,用于若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
转发模块40,用于通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
接收模块50,用于接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
进一步地,所述判断模块还用于:
预先配置访问权限,生成内网IP地址与特定外网IP地址的权限映射关系表,其中,所述内网IP地址对应于一个或多个特定外网IP地址,所述特定外网IP地址对应于一个或多个内网IP地址。
进一步地,所述判断模块还用于:
所述外网网络服务器预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;
当接收到NAT穿透设备发送的请求数据包时,根据所述请求数据包获取对应的第一外网IP地址;
判断所述第一外网IP地址是否为所述访问权限列表中一个或多个第二外网IP地址的一个;
若所述第一外网IP地址是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送与请求数据包对应的应答数据包;
若所述第一外网IP地址不是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送不具有访问权限的提示。
进一步地,所述判断模块还用于:
根据服务协议预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;
当有一个或多个新的第二外网IP地址加入时,将所述一个或多个新的第二外网IP地址加入所述访问权限列表;或者
当与所述一个或多个第二外网IP地址的服务协议到期或终止所述服务协议时,将与所述服务协议到期或终止所述服务协议对应的一个或多个外网IP地址从所述访问权限列表中移除。
进一步地,所述NAT穿透模块还用于:
若所述内网IP地址不具有访问所述待访问外网IP地址的权限,则向发送所述请求数据包对应的内网系统PC端发送不具有访问权限的提示。
进一步地,所述判断模块还用于:
从所述权限映射关系表中查询所述内网IP地址和所述待访问外网IP地址的映射关系;
若所述内网IP地址和所述待访问外网IP地址的关系是相互映射,则认为所述内网IP地址具有访问所述待访问外网IP地址的权限;
若所述内网IP地址和所述待访问外网IP地址的关系不是相互映射,则认为所述内网IP地址不具有访问所述待访问外网IP地址的权限。
进一步地,所述NAT穿透模块还用于:
设置NAT穿透设备的外部端口和内部端口;
定义用于访问的外网网络服务器的一个或多个第一外网IP地址;
设置与所述一个或多个第一外网IP地址对应的一个或多个内部IP地址,形成IP地址关系转换关联表;
当收到NAT请求时,根据所述IP地址关系转换关联表,将内部IP地址转换成对应的第一外网IP地址。
外,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有NAT穿透程序,所述NAT穿透程序被处理器运行时实现如上所述的NAT穿透方法的步骤。
其中,所述NAT穿透程序被执行时所实现的方法可参照本发明NAT穿透方法发各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备执行本发明各个实施例所述的方法。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种网络地址转换NAT穿透方法,所述方法应用于NAT穿透设备,所述NAT穿透设备与外网网络服务器通讯连接,所述方法包括:
预先配置访问权限,生成内网IP地址与特定外网IP地址的权限映射关系表,其中,所述内网IP地址对应于一个或多个特定外网IP地址,所述特定外网IP地址对应于一个或多个内网IP地址;
当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
根据所述权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
2.根据权利要求1所述的方法,其特征在于,所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址发送与所述请求数据包对应的应答数据包的步骤包括:
所述外网网络服务器预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;
当接收到NAT穿透设备发送的请求数据包时,根据所述请求数据包获取对应的第一外网IP地址;
判断所述第一外网IP地址是否为所述访问权限列表中一个或多个第二外网IP地址的一个;
若所述第一外网IP地址是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送与请求数据包对应的应答数据包;
若所述第一外网IP地址不是所述访问权限列表中一个或多个第二外网IP地址的一个,则向所述第一外网IP地址发送不具有访问权限的提示。
3.根据权利要求2所述的方法,其特征在于,所述外网网络服务器是为所述NAT穿透设备对应的内网系统提供服务的平台的外网网络服务器,所述外网网络服务器预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表的步骤包括:
根据服务协议预先保存具有访问权限的一个或多个第二外网IP地址,生成访问权限列表;
当有一个或多个新的第二外网IP地址加入时,将所述一个或多个新的第二外网IP地址加入所述访问权限列表;或者
当与所述一个或多个第二外网IP地址的服务协议到期或终止所述服务协议时,将与所述服务协议到期或终止所述服务协议对应的一个或多个外网IP地址从所述访问权限列表中移除。
4.根据权利要求1所述的方法,其特征在于,所述根据所述权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限的步骤之后还包括:
若所述内网IP地址不具有访问所述待访问外网IP地址的权限,则向发送所述请求数据包对应的内网系统PC端发送不具有访问权限的提示。
5.根据权利要求1所述的方法,其特征在于,根据预设的权限映射关系判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限的步骤包括:
从所述权限映射关系表中查询所述内网IP地址和所述待访问外网IP地址的映射关系;
若所述内网IP地址和所述待访问外网IP地址的关系是相互映射,则认为所述内网IP地址具有访问所述待访问外网IP地址的权限;
若所述内网IP地址和所述待访问外网IP地址的关系不是相互映射,则认为所述内网IP地址不具有访问所述待访问外网IP地址的权限。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述NAT穿透策略采用端口多路复用的方式,利用所述端口多路复用的方式进行地址转换的步骤包括:
设置NAT穿透设备的外部端口和内部端口;
定义用于访问的外网网络服务器的一个或多个第一外网IP地址;
设置与所述一个或多个第一外网IP地址对应的一个或多个内部IP地址,形成IP地址关系转换关联表;
当NAT穿透策略被触发时,根据所述IP地址关系转换关联表,将内部IP地址转换成对应的第一外网IP地址。
7.一种NAT穿透装置,其特征在于,所述NAT穿透装置包括:
权限配置模块,用于预先配置访问权限,生成内网IP地址与特定外网IP地址的权限映射关系表,其中,所述内网IP地址对应于一个或多个特定外网IP地址,所述特定外网IP地址对应于一个或多个内网IP地址;
获取模块,用于当接收到内网系统PC端发送的请求数据包时,根据所述请求数据包获取所述内网系统PC端的内网IP地址和待访问外网IP地址;
判断模块,用于根据所述权限映射关系表判断所述内网IP地址是否具有访问所述待访问外网IP地址的权限;
NAT穿透模块,用于若所述内网IP地址具有访问所述待访问外网IP地址的权限,则触发NAT穿透策略,将所述内网IP地址转换成预设的第一外网IP地址;
转发模块,用于通过所述第一外网IP地址向待访问外网的外网网络服务器转发所述请求数据包,由所述外网网络服务器根据预设的访问权限列表判断所述第一外网IP地址的访问权限,并向具有访问权限的所述第一外网IP地址对应的内网系统PC端发送与所述请求数据包对应的应答数据包;
接收模块,用于接收所述外网网络服务器返回的应答数据包,并将所述应答数据包转发至所述请求数据包对应的内网系统PC端。
8.一种NAT穿透设备,其特征在于,所述NAT穿透设备包括处理器,存储器以及存储在所述存储器中的NAT穿透程序,所述NAT穿透程序被所述处理器运行时,实现如权利要求1-6中任一项所述的NAT穿透方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有NAT穿透程序,所述NAT穿透程序被处理器运行时实现如权利要求1-6中任一项所述的方法的步骤。
CN201811053357.0A 2018-09-07 2018-09-07 Nat穿透方法、装置、设备及存储介质 Active CN109688100B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811053357.0A CN109688100B (zh) 2018-09-07 2018-09-07 Nat穿透方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811053357.0A CN109688100B (zh) 2018-09-07 2018-09-07 Nat穿透方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN109688100A CN109688100A (zh) 2019-04-26
CN109688100B true CN109688100B (zh) 2022-06-17

Family

ID=66184512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811053357.0A Active CN109688100B (zh) 2018-09-07 2018-09-07 Nat穿透方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN109688100B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110213339B (zh) * 2019-05-10 2021-12-14 腾讯科技(深圳)有限公司 资源访问方法、装置、存储介质和计算机设备
CN110324318B (zh) * 2019-06-10 2022-08-23 平安科技(深圳)有限公司 一种内网访问方法及相关装置
CN110708301B (zh) * 2019-09-24 2022-06-24 贝壳找房(北京)科技有限公司 一种用户请求处理方法、装置、电子设备和存储介质
CN112714201A (zh) * 2019-10-24 2021-04-27 普天信息技术有限公司 公专网融合集群通信系统中网络地址转换穿透方法及装置
CN110768996B (zh) * 2019-10-30 2022-02-08 北京永亚普信科技有限责任公司 基于单向隔离设备的多ip地址映射绑定系统及方法
CN113132295B (zh) * 2019-12-30 2023-04-28 北京懿医云科技有限公司 集群内网访问外网的方法及装置、存储介质、电子设备
CN111371741B (zh) * 2020-02-19 2024-04-26 中国平安人寿保险股份有限公司 外网数据传输至内网方法、装置、计算机设备及存储介质
CN111314481B (zh) * 2020-02-27 2021-08-24 腾讯科技(深圳)有限公司 一种数据传输方法、装置、设备以及可读存储介质
CN111416815B (zh) * 2020-03-17 2022-06-17 深圳市信锐网科技术有限公司 报文处理方法、电子设备和存储介质
CN111901163A (zh) * 2020-07-16 2020-11-06 江苏神彩科技股份有限公司 不同网段访问系统的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101098284A (zh) * 2006-07-02 2008-01-02 冼剑光 实现网络无缝互连的方法
CN102036227A (zh) * 2009-09-27 2011-04-27 中国移动通信集团公司 一种数据业务的用户标识获取方法、系统及装置
CN102572617A (zh) * 2010-12-17 2012-07-11 中兴通讯股份有限公司 私网服务器访问方法及光网络单元
CN102884764A (zh) * 2012-06-30 2013-01-16 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN106101298A (zh) * 2016-06-06 2016-11-09 刘昱 基于sdn的网络地址转换装置及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8402516B2 (en) * 2010-05-06 2013-03-19 Jonathan Weizman Apparatus and method for establishing a peer-to-peer communication session with a host device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101098284A (zh) * 2006-07-02 2008-01-02 冼剑光 实现网络无缝互连的方法
CN102036227A (zh) * 2009-09-27 2011-04-27 中国移动通信集团公司 一种数据业务的用户标识获取方法、系统及装置
CN102572617A (zh) * 2010-12-17 2012-07-11 中兴通讯股份有限公司 私网服务器访问方法及光网络单元
CN102884764A (zh) * 2012-06-30 2013-01-16 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN106101298A (zh) * 2016-06-06 2016-11-09 刘昱 基于sdn的网络地址转换装置及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于高校内联网的服务器安全访问控制技术探讨;江春;《电气传动自动化》;20121231;第34卷(第4期);第38-41页,第58页 *

Also Published As

Publication number Publication date
CN109688100A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
CN109688100B (zh) Nat穿透方法、装置、设备及存储介质
US10630725B2 (en) Identity-based internet protocol networking
US10931797B2 (en) Correlating packets in communications networks
US7620733B1 (en) DNS anti-spoofing using UDP
US8191119B2 (en) Method for protecting against denial of service attacks
US7568107B1 (en) Method and system for auto discovery of authenticator for network login
US9419999B2 (en) Method and device for preventing domain name system spoofing
US20130036307A1 (en) Authentication of cache dns server responses
Drucker et al. Selfie: reflections on TLS 1.3 with PSK
Ullrich et al. {IPv6} Security: Attacks and Countermeasures in a Nutshell
KR20070041438A (ko) 방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안인터넷 연결을 자동으로 개시하고 동적으로 설정하는시스템 및 방법
US10050938B2 (en) Highly secure firewall system
EP3442195B1 (en) Reliable and secure parsing of packets
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
Younes Securing ARP and DHCP for mitigating link layer attacks
US20200267189A1 (en) Lawful interception security
Tripathi et al. An ICMP based secondary cache approach for the detection and prevention of ARP poisoning
Prabadevi et al. A framework to mitigate ARP sniffing attacks by cache poisoning
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
Shete et al. DHCP protocol using OTP based two-factor authentication
Nuhu et al. Mitigating DHCP starvation attack using snooping technique
KR102059150B1 (ko) IPsec 가상 사설 네트워크 시스템
US10079857B2 (en) Method of slowing down a communication in a network
CN114465744A (zh) 一种安全访问方法及网络防火墙系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant