CN110336793B - 一种内网访问方法及相关装置 - Google Patents

一种内网访问方法及相关装置 Download PDF

Info

Publication number
CN110336793B
CN110336793B CN201910499007.5A CN201910499007A CN110336793B CN 110336793 B CN110336793 B CN 110336793B CN 201910499007 A CN201910499007 A CN 201910499007A CN 110336793 B CN110336793 B CN 110336793B
Authority
CN
China
Prior art keywords
intranet
firewall
mobile wireless
wireless access
access equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910499007.5A
Other languages
English (en)
Other versions
CN110336793A (zh
Inventor
王绪军
黄成尧
谢文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201910499007.5A priority Critical patent/CN110336793B/zh
Publication of CN110336793A publication Critical patent/CN110336793A/zh
Application granted granted Critical
Publication of CN110336793B publication Critical patent/CN110336793B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1021Server selection for load balancing based on client or server locations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例适用于安全防护中的访问控制,公开了一种内网访问方法及相关装置,所述方法包括:内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述内网防火墙分配设备在确定所述移动无线接入设备满足切换所连接防火墙的条件时确定所述移动无线接入设备匹配的第二内网防火墙;所述移动无线接入设备与所述第二内网防火墙建立连接,并断开与所述第一内网防火墙的连接后,通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本发明可以提高用户对目标内网的访问效率,并保证访问目标内网的访问质量。

Description

一种内网访问方法及相关装置
技术领域
本申请涉及通信领域,尤其涉及一种内网访问方法及相关装置。
背景技术
随着全球经济的一体化,越来越多的企业在全球各地都开展了相关业务,这就需要企业的员工被派遣到全球各地去办公。在一些办公场景中,在外地的企业员工需要访问得到公司内网服务器的一些资源,例如访问企业内网网页、访问内网文件服务器中共享文件夹中存储的文件等。传统的方式中,通常通过VPN(Virtual Private Network,虚拟专用网络)实现,需要在公司内网建立VPN服务器,外地员工通过手机、电脑等在当地连上互联网后,通过互联网连接企业内网的VPN服务器,然后通过VPN服务器访问企业内网。在企业员工通过电脑等终端连接内网时,需要事先配置连接企业内网VPN的参数,例如内网VPN服务器的地址,用户的登录名和密码等,然后进行拨号并连接。用户操作较多且等待时间较长,较为影响连接效率。
发明内容
本申请提供一种内网访问方法及相关装置,通过本发明可以提高用户对目标内网的访问效率,并保证访问目标内网的访问质量。
本发明实施例第一方面提供了一种内网访问方法,包括:
内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对所述目标内网的内网连接请求后,根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述接入设备状态信息包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟;
所述内网防火墙分配设备在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙;
所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并在断开与所述第一内网防火墙的连接后,所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器,所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
结合第一方面,在第一种可能的实现方式中,所述内网防火墙分配设备根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件包括:
所述内网防火墙分配设备在确定所述第一网络延迟大于预设的网络延迟阈值时,确定所述移动无线接入设备满足所述切换所连接防火墙的条件。
结合第一方面,在第二种可能的实现方式中,所述接入设备状态信息包含在所述接入设备状态信息被获取时,所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟;
所述内网防火墙分配设备根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件包括:
所述内网防火墙分配设备在确定所述第一网络延迟不是所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟时,确定所述移动无线接入设备满足所述切换所连接防火墙的条件。
结合第一方面的第二种可能,在第三种可能的实现方式中,所述内网防火墙分配设备根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙包括:
所述内网防火墙分配设备将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟对应的防火墙,确定为所述第二内网防火墙。
结合第一方面,在第四种可能的实现方式中,所述接入设备状态信息包含在所述接入设备状态信息被获取时,所述移动无线接入设备的实时地理位置;
所述内网防火墙分配设备根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙包括:
所述内网防火墙分配设备根据所述实时地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备对应的第二内网防火墙。
结合第一方面,在第五种可能的实现方式中,所述内网防火墙分配设备获取移动无线接入设备与第一内网防火墙之间当前的第一网络延迟之前,还包括:
所述内网防火墙分配设备接收所述移动无线接入设备发送的针对所述目标内网的内网连接请求;
所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备当前的地理位置/所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟;
所述内网防火墙分配设备根据所述当前的地理位置/所述当前的网络延迟,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
结合第一方面,在第六种可能的实现方式中,所述内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息包括:
所述内网防火墙分配设备周期性地获取所述移动无线接入设备与所述第一内网防火墙连接的接入设备状态信息,或,在接收到所述移动无线接入设备发送的防火墙切换请求时,获取所述移动无线接入设备与所述第一内网防火墙连接的接入设备状态信息,所述防火墙切换请求为所述移动无线接入设备在确定所述移动无线接入设备满足更换所连接的防火墙时,发送的切换所连接的防火墙的请求。
本发明实施例第二方面提供了一种内网内网防火墙分配设备,包括:
状态获取单元,用于获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对所述目标内网的内网连接请求后,根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述接入设备状态信息包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟;
防火墙确定单元,用于在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙;
地址发送单元,用于将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并在断开与所述第一内网防火墙的连接后,所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器,所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
本发明实施例第三方面提供了一种内网防火墙分配设备,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式中的任意一种方法。
本发明实施例第四方面提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式中的任意一种方法。
本发明实施例中,内网防火墙分配设备接收到移动无线接入设备发送的针对目标内网的内网连接请求后,根据所述内网连接请求从针对目标内网部署的多个内网防火墙中为移动无线接入设备分配匹配的第一内网防火墙,在移动无线接入设备与第一内网防火墙建立连接后,内网防火墙分配设备根据移动无线接入设备与第一内网防火墙连接的第一网络延迟判断是否满足切换防火墙的条件,在确定满足上述条件时,内网防火墙分配设备根据移动无线接入设备与第一内网防火墙连接的接入设备状态信息,为移动无线接入设备分配切换的第二内网防火墙,移动无线接入设备与第二内网防火墙建立连接后,断开与第一内网防火墙的连接,并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本发明实施例,用户在访问目标内网之前无需配置任何参数,提高了针对目标内网的访问效率,同时内网防火墙分配设备在根据第一网络延迟确定移动无线接入设备满足切换所连接防火墙的条件时,为移动无线接入设备重新分配第二内网防火墙,保证了与移动无线接入设备连接的内网防火墙总是与接入设备状态信息匹配的最优内网防火墙,保证了用户终端访问内网的网络质量。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种内网访问系统的框架示意图;
图2为本发明实施例提供的一种内网访问方法的系统交互示意图;
图3为本发明实施例提供的另一种内网访问方法的系统交互示意图;
图4为本发明实施例提供的一种内网防火墙分配设备的结构示意图;
图5为本发明实施例提供的另一种内网防火墙分配设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种内网访问系统的框架示意图,如图所示,在该内网访问系统框架中,内网防火墙1、内网防火墙2和内网防火墙3为针对目标内网部署的3个内网防火墙,移动无线接入设备1和移动无线接入设备2分别与内网防火墙1相连接,移动无线接入设备3与内网防火墙3相连接,用户终端1与移动无线接入设备2相连接,用户终端2与移动无线接入设备相连接。
这里,目标内网为将特定企业、特定机构、特定学校等的一个局部地理范围内的各种计算机、服务器和数据库等互相连接起来的局域通信网络。目标内网中的终端或服务器在于所述目标内网中的终端或服务器等进行通信时,通过数据链路层实现,通信消息无需经过路由器的路由;在于所述目标内网外的终端或服务器进行通信时,通过网络层实现,目标内网内的终端或服务器发送的通信消息需要经过路由器经过网络地址转换后,路由至所述目标内网外的终端或服务器,目标内网外的终端或服务器返回的通信消息需要路由器经过网络地址转换后,路由至目标内网的终端或服务器。
这里,针对目标内网部署的内网防火墙可以是部署在全球各地的针对进出目标内网的数据包进行过滤的防火墙,内网防火墙通过广域网与目标内网的路由器相连接,进而通过目标内网的路由器实现于目标内网的内网服务器的连接。
这里,移动无线接入设备为可移动的,能发射无线网络信号的,且有路由功能的无线接入设备。移动无线接入设备将通过插入SIM(Subscriber Identification Module,用户身份识别)卡接入数据网络,也可以通过插入网线的方式接入有线网络,还可以通过连接WIFI的方式接入无线网络。用户终端可以接入移动无线接入设备发射的无线网络与移动无线接入设备连接。
这里,内网防火墙分配装置可以是具有针对目标内网的域名解析功能的,且存储有针对目标内网部署的各个内网防火墙IP地址和部署位置的设备,如GTM(Global TrafficManager,全局流量管理)设备等。
这里,用户终端可以为包括笔记本电脑、手机、平板电脑等具有无线网络接收功能的终端设备。
参见图2,图2为本发明实施例提供的一种内网访问方法的系统交互示意图,如图所示,所述方法可以包括:
S201,移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求。
具体的,所述移动无线接入设备可以是在被触发启动后,即向所述内网防火墙分配设备发送内网连接请求,也可以是在接收到用户发送的访问目标内网的功能启动指令后,向所述内网防火墙分配设备发送内网连接请求,还可以是在接收到所连接的用户终端发送的针对目标内网的内网访问请求时,向所述内网防火墙分配设备发送内网连接请求。所述内网连接请求可以携带所述目标内网的内网域名,以使所述内网防火墙分配设备对所述内网域名进行解析后,确定为针对目标内网的内网连接请求。
S202,所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备当前的地理位置。
具体的,所述内网连接请求可以携带所述移动无线接入设备的地理位置,所述内网防火墙分配设备直接从所述内网连接请求中获取所述移动无线接入设备的地理位置;所述内网连接请求也可以携带所述移动无线接入设备的定位信息,所述内网防火墙分配设备可以从所述内网连接请求中获取所述定位信息,根据所述定位信息通过定位技术,确定所述移动无线接入设备的地点位置,例如,所述定位信息可以是所述移动无线接入设备的IP地址、GPS数据、WIFI接入点信息、连接基站信息等,所述定位技术可以是IP定位技术、GPS定位技术、WIFI定位技术、基站定位技术等。
S203,所述内网防火墙分配设备根据所述当前的地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
这里,所述内网防火墙分配设备中可以存储针对多个内网的分别部署的防火墙的IP地址和部署位置,例如,针对公司M有子公司A和子公司B,子公司A和子公司B分别有针对各自子公司的内网,且内网之间需要通过外网连接,公司M的移动无线接入设备中可以同时存储针对子公司A内网的部署的各个内网防火墙的IP地址和部署位置,以及针对子公司B内网部署的各个内网防火墙的IP地址和部署位置。所述内网连接请求可以携带所述目标内网的内网域名,以使所述内网防火墙分配设备在接收到所述内网连接请求后,对所述内网域名进行解析后确定所述内网连接请求为针对所述目标内网的内网连接请求,进而获取针对所述目标内网部署的多个内网防火墙的IP地址和部署位置。
其中,一种确定所述第一内网防火墙的实现方式中,所述内网防火墙分配设备可以根据所述地理位置,和针对所述目标内网部署的各个内网防火墙的部署位置,将所述针对所述目标内网部署的多个内网防火墙中,距离所述移动无线接入设备最近的内网防火墙确定为所述第一内网防火墙。
另一种确定所述第一内网防火墙的实现方式中,预先将针对所述目标内网的全部的访问区域划分成针对所述目标内网的各个内网防火墙的内网访问子区域,在所述内网防火墙分配设备中预先设置针对所述内网访问子区域与所述目标内网的内网防火墙的对应关系。所述内网防火墙分配设备根据所述移动无线接入设备的地理位置,确定所述移动无线接入设备所处于的目标内网访问子区域,进而将所述目标内网访问子区域对应的内网防火墙确定为所述第一内网防火墙。
S204,所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备。
S205,所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
具体的,所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求对所述移动接入设备的身份验证通过后,建立与所述移动无线接入设备的连接。
一种实现方式中,所述防火墙连接请求中携带所述移动无线接入设备的接入设备识别码,如MAC地址,所述第一内网防火墙在确定所述接入设备识别码为预设的允许连接接入设备识别码中的其中一个时,确定对所述移动无线接入设备的身份认证通过。
另一种实现方式中,所述防火墙连接请求中携带用户通过所述移动无线接入设备输入的用户名和密码,所述第一内网防火墙在确定所述用户名和密码为预设的允许连接用户名和密码中的其中一组时,确定对所述移动无线接入设备的身份认证通过。
又一种实现方式中,所述防火墙连接请求中携带所述移动无线接入设备的数字证书,所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方;所述第一内网防火墙获取所述证书发布方的发布方数字证书后,通过所述发布方数字证书中包含的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙在将使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值;所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时,确定对所述移动无线接入设备的身份认证通过。
这里,所述移动无线接入设备发起三次握手与所述第一内网防火墙建立基于TCP/IP协议的连接,具体步骤如下:所述移动无线接入设备向所述第一内网防火墙发送SYN(Synchronize Sequence Numbers,同步序列编号)数据包;所述第一内网防火墙接收到所述SYN数据包后,向所述移动无线接入设备发送SYN+ACK(ACKnowledge Character,确认字符)数据包;所述移动无线接入设备接收到所述SYN+ACK数据包后,向所述第一内网防火墙反馈ACK数据包;所述第一内网防火墙接收到所述移动无线接入设备反馈的ACK数据包后,所述移动无线接入设备与所述第一内网防火墙之间的连接建立完成。
S206,所述内网防火墙分配设备获取所述移动无线接入设备与所述第一内网防火墙连接的接入设备状态信息。
这里,所述接入设备状态信息可以包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟,也可以包含所述接入设备状态信息被获取时,所述移动无线接入设备的实时地理位置。所述第一网络延迟可以是所述移动无线接入设备与所述第一内网防火墙之间的单向网络延迟或者往返网络延迟。所述第一网络延迟可以是所述内网防火墙分配设备确定得到的,也可以是所述移动无线接入设备或所述第一内网防火墙确定得到后,发送给所述内网防火墙分配设备的。所述移动无线接入设备的实时地理位置可以是所述内网防火墙分配设备根据所述移动无线接入设备发送的定位信息通过IP定位、GPS定位、WIFI定位、基站定位等定位方式确定得到的,也可以是所述移动无线接入设备直接向所述内网防火墙直接发送的。
具体的,所述内网防火墙分配设备确定所述第一网络延迟的方式可以为:所述内网防火墙分配设备向所述移动无线接入设备发送网络延迟测试消息,所述移动无线接入设备向所述第一内网防火墙转发所述网络延迟测试消息,且在转发之前将转发所述网络延迟测试消息的发送时间数据打包入所述网络延迟测试消息,所述第一内网防火墙将接收到所述网络延迟测试消息的接收时间数据打包入所述网络延迟测试消息后,发送给所述内网防火墙分配设备,所述内网防火墙分配设备根据所述网络延迟测试消息携带的所述发送时间数据所述接收时间数据确定所述第一网络延迟。
所述内网防火墙分配设备确定所述第一网络延迟的方式还可以为:所述内网防火墙分配设备向所述第一内网防火墙转发网络延迟测试消息,且在转发之前将转发所述网络延迟测试消息的发送时间数据打包入所述网络延迟测试消息,所述移动无线接入设备将接收到所述网络延迟测试消息的接收时间数据打包入所述网络延迟测试消息后,发送给所述内网防火墙分配设备,所述内网防火墙分配设备根据所述网络延迟测试消息携带的所述发送时间数据所述接收时间数据确定所述第一网络延迟。
所述移动无线接入设备或所述第一内网防火墙确定所述第一网络延迟的方式可以为通过在所述移动无线接入设备与所述第一内网防火墙建立连接后,所述移动无线接入设备与所述第一内网防火墙之间传输的内网访问请求或内网访问请求响应消息的发送时间数据和接收时间数据确定。例如,所述移动无线接入设备在接收到用户终端发送的针对目标内网的内网访问请求后,将向所述第一内网防火墙发送所述内网访问请求的发送时间数据打包入所述内网访问请求后,在所述发送时间数据对应的时间发送给所述第一内网防火墙,所述第一内网防火墙根据自身接收到所述内网访问请求的接收时间数据与所述发送时间数据确定所述第一网络延迟。
S207,所述内网防火墙在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙。
具体的,所述内网防火墙分配设备可以周期性地获取所述移动无线接入设备当前的接入设备状态信息,进而周期性地根据所述接入状态信息包含的第一网络延迟判断所述移动无线接入设备在当前周期中是否满足切换所连接防火墙的条件;也可以在接收到移动无线接入设备发送的防火墙切换请求时,获取所述移动无线接入设备的接入设备状态信息,进而根据所述接入状态信息包含的第一网络延迟判断所述移动无线接入设备是否确实满足切换所连接防火墙的条件,所述防火墙切换请求为所述移动无线接入设备在根据自身地理位置,或自身访问内网的网络状况等,确定自身满足更换所连接的防火墙时,发送的切换所连接的防火墙的请求。例如,所述移动无线接入设备对自身与所述第一内网防火墙之间消息传输的丢包率进行监控,在确定丢包率大于预设阈值时,向所述内网防火墙分配设备发送防火墙切换请求。
这里,所述内网防火墙分配设备确定所述移动无线接入设备满足切换所连接防火墙的条件包括:当所述内网防火墙设备确定所述第一网络延迟大于预设的网络延迟阈值时,确定所述移动无线接入设备满足切换所连接防火墙的条件。
所述内网防火墙分配设备根据接入设备状态信息,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙的一种实现方式可以为:所述内网防火墙分配设备根据所述接入设备状态信息中包含的实时地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备对应的第二内网防火墙。所述内网防火墙分配设备根据所述移动无线接入设备的所述实时地理位置确定所述第二内网防火墙的实现方式,可参阅步骤S203中所述内网防火墙分配设备根据步骤S202中获取的所述移动无线接入设备的地理位置确定所述第一内网防火墙的实现方式,此处不再赘述。
S208,所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备。
S209,所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接。
具体的,所述移动无线接入设备发起三次握手与所述第二内网防火墙建立基于TCP/IP协议的连接,可参阅步骤S205中所述移动无线接入设备与所述第一内网防火墙建立连接的实现方式,此处不再赘述。
S210,所述移动无线接入设备断开与所述第一内网防火墙的连接。
所述移动无线接入设备发起四次挥手断开与所述第一内网防火墙的TCP/IP连接,具体步骤如下:所述移动无线接入设备向所述第一内网防火墙发送FIN(FinishCharacter,结束字符)数据包;所述第一内网防火墙接收到所述FIN数据包后,向所述移动无线接入设备发送ACK数据包;所述第一内网防火墙向所述移动无线接入设备发送FIN数据包;所述移动无线接入设备接收到所述FIN数据包后,向所述第一内网防火墙发送ACK数据包;所述第一内网防火墙分配设备接收到所述ACK数据包后,所述移动无线接入设备与所述第一内网防火墙之间的连接断开完成。
S211,用户终端向所述移动无线接入设备发送针对目标内网的内网访问请求。
具体的,步骤S211之前,所述用户终端可以向所述移动无线接入设备发送无线网络连接请求,所述移动无线接入设备可以直接与所述用户终端建立连接,也可以通过所述无线网络连接请求携带的用户终端身份信息进行验证后,建立与所述用户终端的连接。所述用户终端身份信息可以为所述用户终端接收到的用户输入的接入所述移动无线接入设备建立的无线网络的用户名与密码,还可以为用户终端接收到的用户输入的生物特征信息,还可以为所述用户终端的终端设备标识信息。
这里,步骤S211在步骤S210之后执行,即步骤S211中所述用户终端的所述内网访问请求为所述移动无线接入设备与所述第二内网防火墙断开连接后,所述用户终端对所述目标内网的内网访问请求。
S212,所述移动无线接入设备将所述内网访问请求发送给所述第二内网防火墙。
S213,所述第二内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。
具体的,所述内网访问请求为针对目标内网中的服务器的访问请求,例如针对所述目标内网中Web服务器的访问请求、针对所述目标内网中FTP服务器的访问请求、针对所述目标内网中邮件服务器的访问请求等。所述第二内网防火墙接收到所述移动无线接入设备发送的内网访问请求之后,通过外网将所述内网访问请求发送给所述目标内网的路由器,所述目标内网的路由器通过所述目标内网将所述内网访问请求路由至所述目标内网中对应的内网服务器。
S214,所述内网服务器向所述第二内网防火墙返回响应所述内网访问请求的内网请求响应消息。
具体的,所述内网服务器响应所述内网访问请求生成内网请求响应消息后,将所述内网请求响应消息通过所述目标内网发送给所述目标内网的路由器,所述目标内网的路由器通过外网将所述内网请求响应消息发送给所述第二内网防火墙。例如,若所述内网访问请求为请求获取目标内网中文件服务器中的某文件,则所述内网请求响应消息可以为文件服务器发送的该文件。
S215,所述第二内网防火墙将所述内网请求响应消息发送给所述移动无线接入设备。
S216,所述移动无线接入设备将所述内网请求响应消息发送给所述用户终端。
本发明实施例中,内网防火墙分配设备接收到移动无线接入设备发送的针对目标内网的内网连接请求后,根据所述内网连接请求从针对目标内网部署的多个内网防火墙中为移动无线接入设备分配匹配的第一内网防火墙,在移动无线接入设备与第一内网防火墙建立连接后,内网防火墙分配设备根据移动无线接入设备与第一内网防火墙连接的第一网络延迟判断是否满足切换防火墙的条件,在确定满足上述条件时,内网防火墙分配设备根据移动无线接入设备与第一内网防火墙连接的接入设备状态信息,为移动无线接入设备分配切换的第二内网防火墙,移动无线接入设备与第二内网防火墙建立连接后,断开与第一内网防火墙的连接,并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本发明实施例,用户在访问目标内网之前无需配置任何参数,提高了针对目标内网的访问效率,同时内网防火墙分配设备在根据第一网络延迟确定移动无线接入设备满足切换所连接防火墙的条件时,为移动无线接入设备重新分配第二内网防火墙,保证了与移动无线接入设备连接的内网防火墙总是与接入设备状态信息匹配的最优内网防火墙,保证了用户终端访问内网的网络质量。
参见图3,图3为本发明实施例提供的另一种内网访问方法的系统交互示意图,如图所示,所述方法可以包括:
S301,移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求。
S302,所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟。
这里,所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟可以是所述移动无线接入设备与所述各个内网防火墙之间的单向网络延迟或者往返网络延迟。所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟可以是所述内网防火墙分配设备确定得到的,也可以是所述移动无线接入设备或所述各个内网防火墙确定得到后,发送给所述内网防火墙分配设备的。
具体的,所述内网防火墙分配设备确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟的一种实现方式可以为:所述内网防火墙分配设备向各个内网防火墙发送所述移动无线接入设备的接入设备IP地址,各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息,所述移动无线接入设备将接收到的网络延迟测试消息转发给所述内网防火墙分配设备,所述内网防火墙分配设备接收到的网络延迟测试消息中携带针对所述目标内网部署的各个内网防火墙发送所述网络延迟测试消息的发送时间数据,以及所述移动无线接入设备接收所述网络延迟测试消息的接收时间数据,所述内网防火墙分配设备根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据,确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟。
所述内网防火墙分配设备确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟的另一种实现方式可以为:所述内网防火墙分配设备向所述移动无线接入设备发送针对所述目标内网部署的各个内网防火墙的防火墙IP地址,所述移动无线接入设备根据所述防火墙IP地址,向各个内网防火墙发送网络延迟测试消息,各个内网防火墙将接收到的网络延迟测试消息转发给所述内网防火墙分配设备,所述内网防火墙分配设备接收到的网络延迟测试消息中携带所述移动无线接入设备发送所述网络延迟测试消息的发送时间数据,以及所述针对所述目标内网部署的各个内网防火墙接收所述网络延迟测试消息的接收时间数据;所述内网防火墙分配设备根据接收到的各个网络延迟测试消息中携带的发送时间数据和接收时间数据,确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的目标网络延迟。
所述移动无线接入设备确定所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟的一种实现方式可以为:所述内网防火墙分配设备向所述移动无线接入设备发送针对所述目标内网部署的各个内网防火墙的防火墙IP地址,所述移动无线接入设备根据所述IP地址,向各个内网防火墙发送网络延迟测试消息,各个内网防火墙在接收到所述网络延迟测试消息后,向所述移动无线接入设备返回所述网络延迟测试消息;所述移动无线接入设备根据向各个内网防火墙发送所述网络延迟测试消息的发送时间数据,以及接收到各个内网防火墙返回的网络延迟测试消息的接收时间数据,确定所述移动无线接入设备与各个内网防火墙之间的网络延迟。
针对目标内网部署的各个内网防火墙确定所述移动无线接入设备与自身当前的网络延迟的一种实现方式可以为:所述内网防火墙分配设备向各个内网防火墙发送所述移动无线接入设备的接入设备IP地址,各个内网防火墙根据所述接入设备IP地址向所述移动无线接入设备发送网络延迟测试消息,所述移动无线接入设备接收到各个内网防火墙发送的网络延迟测试消息后,将接收到的网络延迟测试消息返回给各个内网防火墙,各个内网防火墙根据向移动无线接入设备发送所述网络延迟测试消息的发送时间数据,以及接收到所述移动无线接入设备返回的网络延迟测试消息的接收时间数据,确定所述移动无线接入设备与自身的网络延迟。
S303,所述内网防火墙分配设备根据所述当前的网络延迟,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
具体的,所述内网防火墙分配设备将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟中,最小的网络延迟对应内网防火墙确定为所述第一内网防火墙。
S304,所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备。
S305,所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
S306,所述内网防火墙分配设备获取所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的实时网络延迟。
S307,所述内网防火墙分配设备在确定所述第一网络延迟不是所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的实时网络延迟中最小的网络延迟时,将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的实时网络延迟中最小的网络延迟对应的防火墙,确定为所述第二内网防火墙。
步骤S307中确定所述第二内网防火墙后,将第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备将所连接的内网防火墙从所述第一内网防火墙切换至所述第二内网防火墙,具体实现步骤参阅图2对应的实施例中步骤S208~步骤S216的实现方式,此处不再赘述。
本发明实施例中,内网防火墙分配设备接收到移动无线接入设备发送的针对目标内网的内网连接请求后,将针对目标内网部署的多个内网防火墙与移动无线接入设备之间当前的网络延迟最小的第一内网防火墙分配给移动无线接入设备,在移动无线接入设备与第一内网防火墙建立连接后,内网防火墙在确定所述第一内网防火墙不是与移动无线接入设备之间网络延迟最小的内网防火墙时,将与移动无线接入设备之间网络延迟最小的内网防火墙确定为移动无线接入设备分配切换的第二内网防火墙,移动无线接入设备与第二内网防火墙建立连接后,断开与第一内网防火墙的连接,并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本发明实施例,用户在访问目标内网之前无需配置任何参数,提高了针对目标内网的访问效率,同时内网防火墙分配设备保证了与移动无线接入设备连接的内网防火墙总是与移动无线接入设备之间网络延迟最小的内网防火墙,保证了用户终端访问内网的网络质量。
参阅图4,图4为本发明实施例提供的一种移动无线接入设备的结构示意图,如图所示,所述内网防火墙分配设备40可以至少包括状态获取单元401、防火墙确定单元402和地址发送单元403,其中:
状态获取单元401,用于获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对所述目标内网的内网连接请求后,根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述接入设备状态信息包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟。
防火墙确定单元402,用于在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙。
地址发送单元403,用于将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并在断开与所述第一内网防火墙的连接后,所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器,所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
具体实现中,所述内网防火墙分配设备可以通过其内置的各个功能模块执行如图2至图3的内网访问方法中所述内网防火墙分配设备执行的各个步骤,具体实施细节可参阅图2至图3对应的实施例中各个步骤的实现细节,此处不再赘述。
本发明实施例中,状态获取单元接收到移动无线接入设备发送的针对目标内网的内网连接请求后,根据所述内网连接请求从针对目标内网部署的多个内网防火墙中为移动无线接入设备分配匹配的第一内网防火墙,在移动无线接入设备与第一内网防火墙建立连接后,防火墙确定单元根据移动无线接入设备与第一内网防火墙连接的第一网络延迟判断是否满足切换防火墙的条件,在确定满足上述条件时,根据移动无线接入设备与第一内网防火墙连接的接入设备状态信息,为移动无线接入设备分配切换的第二内网防火墙,地址发送单元将第二内网防火墙的第二IP地址发送给移动无线接入设备后,移动无线接入设备与第二内网防火墙建立连接,断开与第一内网防火墙的连接,并通过与第二内网防火墙的连接为用户终端提供访问目标内网的服务。通过本发明实施例,用户在访问目标内网之前无需配置任何参数,提高了针对目标内网的访问效率,同时内网防火墙分配设备在根据第一网络延迟确定移动无线接入设备满足切换所连接防火墙的条件时,为移动无线接入设备重新分配第二内网防火墙,保证了与移动无线接入设备连接的内网防火墙总是与接入设备状态信息匹配的最优内网防火墙,保证了用户终端访问内网的网络质量。
参见图5,图5为本发明实施例提供的另一种内网防火墙分配设备的结构示意图,如图所示,所述内网防火墙分配设备50包括处理器501、存储器502以及通信接口503。处理器501连接到存储器502和通信接口503,例如处理器501可以通过总线连接到存储器502和通信接口503。
处理器501被配置为支持内网防火墙分配设备执行图2-图3所述的内网访问方法中内网防火墙分配设备的相应的功能。该处理器501可以是中央处理器(CentralProcessing Unit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable Gate Array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
存储器502用于存储程序代码等。存储器502包括内部存储器,内部存储器可以包括以下至少一项:易失性存储器(例如动态随机存取存储器(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)等)和非易失性存储器(例如一次性可编程只读存储器(OTPROM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)。存储器502还可以包括外部存储器,外部存储器可以包括以下至少一项:硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD)、闪驱,例如高密度闪存(CF)、安全数字(SD)、微型SD、迷你型SD、极限数字(xD)、存储棒等。
所述通信接口503用于接收或发送数据。
处理器501可以调用所述程序代码以执行以下操作:
获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对所述目标内网的内网连接请求后,根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述接入设备状态信息包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟;
在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙;
将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并在断开与所述第一内网防火墙的连接后,所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器,所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
需要说明的是,各个操作的实现还可以对应参照图2-图3所示的方法实施例的相应描述;所述处理器501还可以用于执行上述方法实施例中的其他操作。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行如前述实施例所述的方法,所述计算机可以为上述提到的内网防火墙分配设备的一部分。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。

Claims (6)

1.一种内网访问方法,其特征在于,包括:
内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对所述目标内网的内网连接请求后,根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述第一内网防火墙用于与所述移动无线接入设备直接建立连接接收所述移动无线接入设备发送的针对所述目标内网的内网访问请求,所述接入设备状态信息包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟,所述第一网络延迟包括在所述移动无线接入设备与所述第一内网防火墙建立连接后,所述移动无线接入设备与所述第一内网防火墙之间的单向网络延迟或者往返网络延迟;
所述内网防火墙分配设备在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙,
其中,所述接入设备状态信息包含在所述接入设备状态信息被获取时,所述移动无线接入设备的实时地理位置,
所述内网防火墙分配设备在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙包括:所述内网防火墙分配设备在确定所述第一网络延迟大于预设的网络延迟阈值时,确定所述移动无线接入设备满足所述切换所连接防火墙的条件,所述内网防火墙分配设备根据所述实时地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备对应的第二内网防火墙;
或者,
所述接入设备状态信息包含在所述接入设备状态信息被获取时,所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟,
所述内网防火墙分配设备在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙包括:所述内网防火墙分配设备在确定所述第一网络延迟不是所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟时,确定所述移动无线接入设备满足所述切换所连接防火墙的条件,所述内网防火墙分配设备将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟对应的防火墙,确定为所述第二内网防火墙;
所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并在断开与所述第一内网防火墙的连接后,所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器,所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
2.如权利要求1所述的方法,其特征在于,所述内网防火墙分配设备获取移动无线接入设备与第一内网防火墙之间当前的第一网络延迟之前,还包括:
所述内网防火墙分配设备接收所述移动无线接入设备发送的针对所述目标内网的内网连接请求;
所述内网防火墙分配设备根据所述内网连接请求确定所述移动无线接入设备当前的地理位置/所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间当前的网络延迟;
所述内网防火墙分配设备根据所述当前的地理位置/所述当前的网络延迟,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
3.如权利要求1所述的方法,其特征在于,所述内网防火墙分配设备获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息包括:
所述内网防火墙分配设备周期性地获取所述移动无线接入设备与所述第一内网防火墙连接的接入设备状态信息,或,在接收到所述移动无线接入设备发送的防火墙切换请求时,获取所述移动无线接入设备与所述第一内网防火墙连接的接入设备状态信息,所述防火墙切换请求为所述移动无线接入设备在确定所述移动无线接入设备满足更换所连接的防火墙时,发送的切换所连接的防火墙的请求。
4.一种内网防火墙分配设备,其特征在于,包括:
状态获取单元,用于获取移动无线接入设备与目标内网的第一内网防火墙连接的接入设备状态信息,所述第一内网防火墙为在接收到所述移动无线接入设备发送的针对所述目标内网的内网连接请求后,根据所述内网连接请求从针对所述目标内网部署的多个内网防火墙中,确定的所述移动无线接入设备匹配的防火墙,所述第一内网防火墙用于与所述移动无线接入设备直接建立连接接收所述移动无线接入设备发送的针对所述目标内网的内网访问请求,所述接入设备状态信息包含所述移动无线接入设备与所述第一内网防火墙之间的第一网络延迟,所述第一网络延迟包括在所述移动无线接入设备与所述第一内网防火墙建立连接后,所述移动无线接入设备与所述第一内网防火墙之间的单向网络延迟或者往返网络延迟;
防火墙确定单元,用于在根据所述第一网络延迟,确定所述移动无线接入设备满足切换所连接防火墙的条件时,根据接入设备状态信息从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第二内网防火墙,
其中,所述接入设备状态信息包含在所述接入设备状态信息被获取时,所述移动无线接入设备的实时地理位置,
所述防火墙确定单元还用于,在确定所述第一网络延迟大于预设的网络延迟阈值时,确定所述移动无线接入设备满足所述切换所连接防火墙的条件,根据所述实时地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备对应的第二内网防火墙;
或者,
所述接入设备状态信息包含在所述接入设备状态信息被获取时,所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟,
所述防火墙确定单元还用于,在确定所述第一网络延迟不是所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟时,确定所述移动无线接入设备满足所述切换所连接防火墙的条件,将所述移动无线接入设备与针对所述目标内网部署的各个内网防火墙之间的网络延迟中最小的网络延迟对应的防火墙,确定为所述第二内网防火墙;
地址发送单元,用于将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并在断开与所述第一内网防火墙的连接后,所述第二内网防火墙将用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网访问请求路由至所述目标内网的内网服务器,所述第二内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息通过所述移动无线接入设备发送至所述用户终端。
5.一种内网防火墙分配设备,其特征在于,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,执行如权利要求1-3任一项所述的方法。
6.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-3任一项所述的方法。
CN201910499007.5A 2019-06-10 2019-06-10 一种内网访问方法及相关装置 Active CN110336793B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910499007.5A CN110336793B (zh) 2019-06-10 2019-06-10 一种内网访问方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910499007.5A CN110336793B (zh) 2019-06-10 2019-06-10 一种内网访问方法及相关装置

Publications (2)

Publication Number Publication Date
CN110336793A CN110336793A (zh) 2019-10-15
CN110336793B true CN110336793B (zh) 2022-08-23

Family

ID=68140859

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910499007.5A Active CN110336793B (zh) 2019-06-10 2019-06-10 一种内网访问方法及相关装置

Country Status (1)

Country Link
CN (1) CN110336793B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111064826B (zh) * 2019-12-31 2022-06-21 奇安信科技集团股份有限公司 由防火墙执行的信息处理方法、装置、电子设备和介质
CN113572775A (zh) * 2021-07-27 2021-10-29 广东电网有限责任公司 一种内网访问方法、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302538A (ja) * 2003-03-28 2004-10-28 Meiji Univ ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
DE69934871D1 (de) * 1999-03-05 2007-03-08 Ibm Verfahren und System zur optimalen Auswahl eines Webfirewalls in einem TCP/IP Netzwerk
CN107645479A (zh) * 2016-07-22 2018-01-30 平安科技(深圳)有限公司 一种实现防火墙多活高可用性的方法及终端

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101635759A (zh) * 2009-08-26 2010-01-27 深圳华为通信技术有限公司 一种移动终端防火墙的实现方法及装置
CN101980486A (zh) * 2010-10-12 2011-02-23 北京星网锐捷网络技术有限公司 地址库数据的更新方法及网络设备
CN108989352B (zh) * 2018-09-03 2022-11-11 平安科技(深圳)有限公司 防火墙实现方法、装置、计算机设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69934871D1 (de) * 1999-03-05 2007-03-08 Ibm Verfahren und System zur optimalen Auswahl eines Webfirewalls in einem TCP/IP Netzwerk
JP2004302538A (ja) * 2003-03-28 2004-10-28 Meiji Univ ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
CN107645479A (zh) * 2016-07-22 2018-01-30 平安科技(深圳)有限公司 一种实现防火墙多活高可用性的方法及终端

Also Published As

Publication number Publication date
CN110336793A (zh) 2019-10-15

Similar Documents

Publication Publication Date Title
US8151336B2 (en) Devices and methods for secure internet transactions
CN106878135B (zh) 一种连接方法及装置
CN113949573A (zh) 一种零信任的业务访问控制系统及方法
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
EP2922246B1 (en) Method and data center network for cross-service zone communication
CN110266674B (zh) 一种内网访问方法及相关装置
CN110336794B (zh) 一种内网访问方法、系统及相关装置
CN111132305B (zh) 5g用户终端接入5g网络的方法、用户终端设备及介质
CN113824791A (zh) 一种访问控制方法、装置、设备及可读存储介质
JP7476366B2 (ja) 中継方法、中継システム、及び中継用プログラム
CN114600426B (zh) 多租户电子邮件服务中的电子邮件安全
CN110336793B (zh) 一种内网访问方法及相关装置
CN109936515B (zh) 接入配置方法、信息提供方法及装置
CN113872933B (zh) 隐藏源站的方法、系统、装置、设备及存储介质
CN115334508A (zh) 融合鉴权和加密的卫星短报文通信方法
CN110324826B (zh) 一种内网访问方法及相关装置
CN110311785B (zh) 一种内网访问方法及相关装置
CN111093196B (zh) 5g用户终端接入5g网络的方法、用户终端设备及介质
CN110324318B (zh) 一种内网访问方法及相关装置
JP5726302B2 (ja) トポロジサーバを用いた、通信アーキテクチャにわたって分散されたノードのネットワークに対する秘密または保護されたアクセス
CN110213769B (zh) 一种内网访问方法及相关装置
CN116938486A (zh) 一种访问控制的方法、装置、系统、设备及存储介质
CN113347629A (zh) 提供网络接入服务的方法、接入点、终端
CN111953798A (zh) 一种跨网络通信方法、装置、系统和代理服务器
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant