CN110336794A - 一种内网访问方法、系统及相关装置 - Google Patents
一种内网访问方法、系统及相关装置 Download PDFInfo
- Publication number
- CN110336794A CN110336794A CN201910499038.0A CN201910499038A CN110336794A CN 110336794 A CN110336794 A CN 110336794A CN 201910499038 A CN201910499038 A CN 201910499038A CN 110336794 A CN110336794 A CN 110336794A
- Authority
- CN
- China
- Prior art keywords
- intranet
- firewall
- mobile wireless
- wireless access
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例适用于安全防护中的访问控制,公开了一种内网访问方法、系统及相关装置,所述方法包括:内网防火墙分配设备接收移动无线接入设备发送的针对目标内网的内网连接请求;所述内网防火墙分配设备获取所述移动无线接入设备的地理位置;所述内网防火墙分配设备确定所述移动无线接入设备匹配的第一内网防火墙;所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备与所述第一内网防火墙建立连接后,为用户终端提高访问目标内网的服务。通过本发明可以提高针对目标内网的访问效率。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种内网访问方法、系统及相关装置。
背景技术
随着全球经济的一体化,越来越多的企业在全球各地都开展了相关业务,这就需要企业的员工被派遣到全球各地去办公。在一些办公场景中,在外地的企业员工需要访问得到公司内网服务器的一些资源,例如访问企业内网网页、访问内网文件服务器中共享文件夹中存储的文件等。传统的方式中,通常通过VPN(Virtual Private Network,虚拟专用网络)实现,需要在公司内网建立VPN 服务器,外地员工通过手机、电脑等在当地连上互联网后,通过互联网连接企业内网的VPN服务器,然后通过VPN服务器访问企业内网。在企业员工通过电脑等终端连接内网时,需要事先配置连接企业内网VPN的参数,例如内网 VPN服务器的地址,用户的登录名和密码等,然后进行拨号并连接。这种连接内网的方式需要用户操作较多且等待时间较长,较为影响连接效率。
发明内容
本申请提供一种内网访问方法、系统及相关装置,通过本发明可以提高针对目标内网的访问效率。
本发明实施例第一方面提供了一种内网访问方法,包括:
内网防火墙分配设备接收移动无线接入设备发送的针对目标内网的内网连接请求;
所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置;
所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接后,所述第一内网防火墙将接收到的内网访问请求路由至所述目标内网的内网服务器,所述内网访问请求为用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网服务器的访问请求,所述第一内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息,通过所述移动无线接入设备发送至所述用户终端。
结合第一方面,在第一种可能的实现方式中,所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述内网防火墙分配设备获取所述多个内网防火墙的部署位置,并根据所述地理位置和所述多个内网防火墙的部署位置,将所述多个内网防火墙中与所述移动无线接入设备距离最近的内网防火墙确定为所述第一内网防火墙。
结合第一方面,在第二种可能的实现方式中,所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述内网防火墙分配设备确定所述地理位置所在的针对所述目标内网的目标内网访问子区域;
所述内网防火墙分配设备根据预设的内网访问子区域与所述目标内网的内网防火墙的对应关系,将与所述目标内网访问子区域对应的内网防火墙确定为所述第一内网防火墙。
结合第一方面、第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式中的任一种,在第三种可能的实现方式中,所述方法还包括:
所述内网防火墙分配设备按照预设周期获取所述移动无线接入设备与所述地理位置的距离;
当所述移动无线接入设备与所述地理位置的距离大于第一阈值时,所述内网防火墙分配设备获取所述移动无线接入设备的实时地理位置;
所述内网防火墙分配设备根据所述移动无线接入设备的实时地理位置和所述多个内网防火墙的部署位置,从所述多个内网防火墙中为所述移动无线接入设备确定匹配的第二内网防火墙;
所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并与所述第一内网防火墙断开连接。
结合第一方面,在第四种可能的实现方式中,所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备之前,还包括:
所述内网防火墙分配设备获取所述移动无线接入设备的设备身份信息,和/ 或,与所述移动无线接入设备连接的用户终端的终端身份信息;
所述内网防火墙分配设备根据所述地理位置,从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述内网防火墙分配设备在根据所述设备身份信息对所述移动无线接入设备进行的身份验证通过后,和/或,在根据所述终端身份信息对与所述移动无线接入设备连接的用户终端进行的身份验证通过后,根据所述地理位置,从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
第二方面,本发明实施例提供了一种内网访问方法,包括:
移动无线接入设备向内网防火墙分配设备发送针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置,并根据所述地理位置从针对所述内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
结合第二方面,在第一种可能的实现方式中,所述方法还包括:
所述移动无线接入设备将所述移动无线接入设备的设备身份信息,和/或,所述用户终端的终端身份信息发送给所述内网防火墙分配设备,以使所述内网防火墙分配设备在根据所述设备身份信息对所述移动无线接入设备进行的身份验证通过后,和/或,在根据所述终端身份信息对所述用户终端进行的身份验证通过后,所述内网防火墙分配设备从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
结合第二方面或第二方面的第一种可能的实现方式,在第三种可能的实现方式中,所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,还包括:
所述移动无线接入设备按照预设周期获取与所述第一内网防火墙连接的接入设备连接状态信息,和/或,所述用户终端针对所述目标内网的终端访问状态信息;
所述移动无线接入设备在根据所述接入设备连接状态信息,和/或,所述终端访问状态信息,确定所述用户终端对所述目标内网的访问处于异常状态时,向所述内网防火墙分配设备发送防火墙切换请求,以使所述内网防火墙分配设备根据所述防火墙求换请求从所述多个内网防火墙中确定所述移动无线接入设备匹配的第三内网防火墙;
所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第三内网防火墙的第三IP地址,并根据所述第三IP地址向所述第三内网防火墙发送防火墙请求,以使所述第三内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
所述移动无线接入设备断开与所述第一内网防火墙的连接;
所述移动无线接入设备在接收到所述用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第三内网防火墙路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述内网服务器响应所述内网访问请求通过所述第三内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
第三方面,本发明提供了一种内网防火墙分配设备,包括:
请求接收单元,用于接收移动无线接入设备发送的针对目标内网的内网连接请求;
位置获取单元,用于根据所述内网连接请求获取所述移动无线接入设备的地理位置;
内网防火墙确定单元,用于根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
地址发送单元,用于将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接后,所述第一内网防火墙将接收到的目标内网访问请求路由至所述目标内网的内网服务器,所述内网访问请求为用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网服务器的访问请求,所述第一内网防火墙还将所述目标内网服务器响应所述内网访问请求返回的内网请求响应消息,通过移动无线接入设备发送至所述用户终端。
第四方面,本发明提供了一种移动无线接入设备,包括:
请求发送单元,用于向内网防火墙分配设备发送针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
地址接收单元,用于接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
防火墙连接单元,用于根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
消息传输单元,用于在从用户终端接收到针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器;
所述消息传输单元,还用于在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
第五方面,本发明提供了一种内网访问系统,包括内网防火墙分配设备和移动无线接入设备,其中:
所述移动无线接入设备向所述内网防火墙分配设备发送针对目标内网的内网连接请求;
所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置;
所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备;
所述移动无线接入设备根据所述第一IP地址向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
第六方面,本发明提供了一种内网防火墙分配设备,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式中的任意一种方法。
第七方面,本发明提供了一种移动无线接入设备,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码当被计算机执行时使所述计算机执行上述第二方面和第二方面各个可能的实现方式中的任意一种方法。
第八方面,本发明提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行上述第一方面和第一方面各个可能的实现方式,以及上述第二方面和第二方面各个可能的实现方式中的任意一种方法。
本发明实施例中内网防火墙分配设备在接收到移动无线接入设备发送的针对目标内网的内网连接请求后,根据所述内网连接请求获取所述移动无线接入设备的地理位置,并根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,所述移动无线接入设备根据接收到所述内网防火墙分配设备发送的所述第一内网防火墙的第IP 地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙与所述移动无线接入设备建立连接。所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器,在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。用户终端通过基于移动无线接入设备和针对目标内网部署的防火墙的内网访问框架实现了对目标内网的访问,访问之前无需配置任何参数,提高了针对目标内网的访问效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种内网访问系统的框架示意图;
图2为本发明实施例提供的一种内网访问方法的系统交互示意图;
图3为本发明实施例提供的另一种内网访问方法的系统交互示意图;
图4为本发明实施例提供的又一种内网访问方法的系统交互示意图;
图5为本发明实施例提供的一种内网防火墙分配设备的结构示意图;
图6为本发明实施例提供的一种移动无线接入设备的结构示意图;
图7为本发明实施例提供的另一种内网防火墙分配设备的结构示意图;
图8为本发明实施例提供的另一种移动无线接入设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种内网访问系统的框架示意图,如图所示,在该内网访问系统框架中,内网防火墙1、内网防火墙2和内网防火墙3为针对目标内网部署的3个内网防火墙,移动无线接入设备1和移动无线接入设备2 分别与内网防火墙1相连接,移动无线接入设备3与内网防火墙3相连接,用户终端1与移动无线接入设备1相连接,用户终端2与移动无线接入设备3相连接。内网防火墙分配设备分别向移动无线接入设备1、移动无线接入设备2和移动无线接入设备3发送为其分配的内网防火墙的IP地址。
这里,目标内网为将特定企业、特定机构、特定学校等的一个局部地理范围内的各种计算机、服务器和数据库等互相连接起来的局域通信网络。目标内网中的终端或服务器在于所述目标内网中的终端或服务器等进行通信时,通过数据链路层实现,通信消息无需经过路由器的路由;在于所述目标内网外的终端或服务器进行通信时,通过网络层实现,目标内网内的终端或服务器发送的通信消息需要经过路由器经过网络地址转换后,路由至所述目标内网外的终端或服务器,目标内网外的终端或服务器返回的通信消息需要路由器经过网络地址转换后,路由至目标内网的终端或服务器。
这里,针对目标内网部署的内网防火墙可以是部署在全球各地的针对进出目标内网的数据包进行过滤的防火墙,内网防火墙通过广域网与目标内网的路由器相连接,进而通过目标内网的路由器实现于目标内网的内网服务器的连接。
这里,移动无线接入设备为可移动的,能发射无线网络信号的,且有路由功能的无线接入设备。移动无线接入设备将通过插入SIM(Subscriber Identification Module,用户身份识别)卡接入数据网络,也可以通过插入网线的方式接入有线网络,还可以通过连接WIFI的方式接入无线网络。用户终端可以接入移动无线接入设备发射的无线网络与移动无线接入设备连接。
这里,内网防火墙分配装置可以是具有针对目标内网的域名解析功能的,且存储有针对目标内网部署的各个防火墙IP地址和部署位置的设备,如 GTM(Global TrafficManager,全局流量管理)设备等。
这里,用户终端可以为包括笔记本电脑、手机、平板电脑等具有无线网络接收功能的终端设备。
图2为本发明实施例提供的一种内网访问方法的系统交互示意图,如图所示,所述内网访问方法可以包括:
S201,移动无线接入设备向内网防火墙分配设备发送针对目标内网的内网连接请求。
具体的,所述移动无线接入设备可以是在被触发启动后,即向所述内网防火墙分配设备发送内网连接请求,也可以是在接收到用户发送的访问目标内网的功能启动指令后,向所述内网防火墙分配设备发送内网连接请求,还可以是在接收到所连接的用户终端发送的针对目标内网的内网访问请求时,向所述内网防火墙分配设备发送内网连接请求。所述内网连接请求可以携带所述目标内网的内网域名,以使所述内网防火墙分配设备对所述内网域名进行解析后,确定为针对目标内网的内网连接请求。
S202,所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置。
具体的,所述内网连接请求可以携带所述移动无线接入设备的地理位置,所述内网防火墙分配设备直接从所述内网连接请求中获取所述移动无线接入设备的地理位置;所述内网连接请求也可以携带所述移动无线接入设备的定位信息,所述内网防火墙分配设备可以从所述内网连接请求中获取所述定位信息,根据所述定位信息通过定位技术,确定所述移动无线接入设备的地点位置,例如,所述定位信息可以是所述移动无线接入设备的IP地址、GPS数据、WIFI 接入点信息、连接基站信息等,所述定位技术可以是IP定位技术、GPS定位技术、WIFI定位技术、基站定位技术等。
S203,所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
这里,所述内网防火墙分配设备中可以存储针对多个内网的分别部署的防火墙的IP地址和部署位置,例如,针对公司M有子公司A和子公司B,子公司 A和子公司B分别有针对各自子公司的内网,且内网之间需要通过外网连接,公司M的移动无线接入设备中可以同时存储针对子公司A内网的部署的各个内网防火墙的IP地址和部署位置,以及针对子公司B内网部署的各个内网防火墙的IP地址和部署位置。所述内网连接请求可以携带所述目标内网的内网域名,以使所述内网防火墙分配设备在接收到所述内网连接请求后,对所述内网域名进行解析后确定所述内网连接请求为针对所述目标内网的内网连接请求,进而获取针对所述目标内网部署的多个防火墙的IP地址和部署位置。
一种实现方式中,所述内网防火墙分配设备可以根据所述地理位置,和针对所述目标内网部署的各个内网防火墙的部署位置,将所述针对所述目标内网部署的多个防火墙中,距离所述移动无线接入设备最近的内网防火墙确定为所述第一内网防火墙。
另一种实现方式中,预先将针对所述目标内网的全部的访问区域划分成针对所述目标内网的各个内网防火墙的内网访问子区域,在所述内网防火墙分配设备中预先设置针对所述内网访问子区域与所述目标内网的内网防火墙的对应关系。所述内网防火墙分配设备根据所述移动无线接入设备的地理位置,确定所述移动无线接入设备所处于的目标内网访问子区域,进而将所述目标内网访问子区域对应的内网防火墙确定为所述第一内网防火墙。
S204,所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备。
S205,所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接。
具体的,所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求对所述移动接入设备的身份验证通过后,建立与所述移动无线接入设备的连接。
一种实现方式中,所述防火墙连接请求中携带所述移动无线接入设备的接入设备识别码,如MAC地址,所述第一内网防火墙在确定所述接入设备识别码为预设的允许连接接入设备识别码中的其中一个时,确定对所述移动无线接入设备的身份认证通过。
另一种实现方式中,所述防火墙连接请求中携带用户通过所述移动无线接入设备输入的用户名和密码,所述第一内网防火墙在确定所述用户名和密码为预设的允许连接用户名和密码中的其中一组时,确定对所述移动无线接入设备的身份认证通过。
又一种实现方式中,所述防火墙连接请求中携带所述移动无线接入设备的数字证书,所述第一内网防火墙根据所述接入设备数字证书中携带的所述接入设备数字证书的发布方信息,确定所述接入设备数字证书的证书发布方;所述第一内网防火墙获取所述证书发布方的发布方数字证书后,通过所述发布方数字证书中包含的发布方公钥,并使用所述发布方公钥对所述接入设备数字证书中的数字签名进行解密得到所述接入设备数字证书的证书指纹,所述第一内网防火墙在将使用指定的哈希算法对所述接入设备数字证书进行哈希计算得到数字证书哈希值;所述第一内网防火墙在确定所述第一内网防火墙进行哈希计算得到的数字证书哈希值与所述接入设备证书指纹一致时,确定对所述移动无线接入设备的身份认证通过。
具体的,所述移动无线接入设备发起三次握手与所述第一内网防火墙建立基于TCP/IP协议的连接,具体步骤如下:所述移动无线接入设备向所述第一内网防火墙发送SYN(Synchronize Sequence Numbers,同步序列编号)数据包;所述第一内网防火墙接收到所述SYN数据包后,向所述移动无线接入设备发送 SYN+ACK(ACKnowledge Character,确认字符)数据包;所述移动无线接入设备接收到所述SYN+ACK数据包后,向所述第一内网防火墙反馈ACK数据包;所述第一内网防火墙接收到所述移动无线接入设备反馈的ACK数据包后,所述移动无线接入设备与所述第一内网防火墙之间的连接建立完成。
S206,用户终端向所述移动无线接入设备发送针对所述目标内网的内网访问请求。
具体的,步骤S206之前,所述用户终端可以向所述移动无线接入设备发送无线网络连接请求,所述移动无线接入设备可以直接与所述用户终端建立连接,也可以通过所述无线网络连接请求携带的用户终端身份信息进行验证后,建立与所述用户终端的连接。所述用户终端身份信息可以为所述用户终端接收到的用户输入的接入所述移动无线接入设备建立的无线网络的用户名与密码,还可以为用户终端接收到的用户输入的生物特征信息,还可以为所述用户终端的终端设备标识信息。
可以理解的是,所述移动无线接入设备与所述用户终端建立连接后,步骤 S206可以在步骤S207之前的任何时间执行。
S207,所述移动无线接入设备将所述内网访问请求发送给所述第一内网防火墙。
S208,所述第一内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。
具体的,所述内网访问请求为针对目标内网中的服务器的访问请求,例如针对所述目标内网中Web服务器的访问请求、针对所述目标内网中FTP服务器的访问请求、针对所述目标内网中邮件服务器的访问请求等。所述第一内网防火墙接收到所述移动无线接入设备发送的内网访问请求之后,通过外网将所述内网访问请求发送给所述目标内网的路由器,所述目标内网的路由器通过所述目标内网将所述内网访问请求路由至所述目标内网中对应的内网服务器。这里,第一内网防火墙将内网访问请求路由至内网服务器的具体方式可以为,第一内网防火墙根据自身配置的网络协议及该协议对应的选路原则,选出到内网服务器的最佳路由路径,进而按照该最佳路由路径,将所述内网访问请求路由至内网服务器。
S209,所述内网服务器向所述第一内网防火墙返回响应所述内网访问请求的内网请求响应消息。
具体的,所述内网服务器响应所述内网访问请求生成内网请求响应消息后,将所述内网请求响应消息通过所述目标内网发送给所述目标内网的路由器,所述目标内网的路由器通过外网将所述内网请求响应消息发送给所述第一内网防火墙。例如,若所述内网访问请求为请求获取目标内网中文件服务器中的某文件,则所述内网请求响应消息可以为文件服务器发送的该文件。
S210,所述第一内网防火墙将所述内网请求响应消息发送给所述移动无线接入设备。
S211,所述移动无线接入设备将所述内网请求响应消息发送给所述用户终端。
本发明实施例中内网防火墙分配设备在接收到移动无线接入设备发送的针对目标内网的内网连接请求后,根据所述内网连接请求获取所述移动无线接入设备的地理位置,并根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,所述移动无线接入设备根据接收到所述内网防火墙分配设备发送的所述第一内网防火墙的第IP 地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙与所述移动无线接入设备建立连接。所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器,在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。用户终端通过基于移动无线接入设备和针对目标内网部署的防火墙的内网访问框架实现了对目标内网的访问,访问之前无需配置任何参数,提高了针对目标内网的访问效率。
参见图3,图3为本发明实施例提供的另一种内网访问方法的系统交互示意图,在所述移动无线接入设备与所述目标内网的第一内网防火墙建立连接后,所述内网防火墙分配设备可以监控所述移动无线接入设备是否需要切换所连接的第一内网防火墙,具体实现步骤可以如下:
S301,所述内网防火墙分配设备按照预设周期获取所述移动无线接入设备与所述地理位置的距离。
具体的,所述地理位置为所述移动无线接入设备向所述内网防火墙分配设备发送针对所述目标内网的内网连接请求时所处于的地理位置。所述移动无线接入设备与所述地理位置之间的距离,可以为所述移动无线接入设备向所述内网防火墙分配设备周期性发送的,也可以为所述内网防火墙分配设备根据所述移动无线接入设备周期性发送的定位信息,通过定位技术确定得到的。
S302,当所述移动无线接入设备与所述地理位置的距离大于第一阈值时,所述内网防火墙分配设备获取所述移动无线接入设备的实时地理位置。
具体的,这里所述移动无线接入设备的实时地理位置可以为所述内网防火墙分配设备通过定位技术确定的,也可以是从所述移动无线接入设备获取的。所述内网防火墙分配设备在确定所述移动无线接入设备与所述地理位置的距离大于第一阈值时,确定所述移动无线接入设备与所述第一内网防火墙之间的网络延迟增大,为提高用户访问所述目标内网的网络质量,触发所述内网防火墙分配设备为所述移动无线接入设备重新匹配连接的防火墙。
S303,所述内网防火墙分配设备根据所述移动无线接入设备的实时地理位置和所述多个内网防火墙的部署位置,从所述多个内网防火墙中为所述移动无线接入设备确定匹配的第二内网防火墙。
S304,所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备。
S305,所述移动无线接入设备根据所述第二IP地址向所述第二内网防火墙发送防火墙连接请求。
S306,所述第二内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接。
步骤S303~S306的具体实现方式可以参考实施例一中步骤S203~S306的实现方式,此处不再赘述。
S307,所述移动无线接入设备断开与所述第一内网防火墙的连接。
这里,所述移动无线接入设备通过发起四次挥手断开与所述第二内网防火墙的TCP/IP连接,具体步骤如下:所述移动无线接入设备向所述第二内网防火墙发送FIN(Finish Character,结束字符)数据包;所述第二内网防火墙接收到所述FIN数据包后,向所述移动无线接入设备发送ACK数据包;所述第二内网防火墙向所述移动无线接入设备发送FIN数据包;所述移动无线接入设备接收到所述FIN数据包后,向所述第二内网防火墙发送ACK数据包;所述第二内网防火墙分配设备接收到所述ACK数据包后,所述移动无线接入设备与所述第二内网防火墙之间的连接断开完成。
这里,步骤S308在步骤S307之后执行,步骤S308中用户终端发送的内网访问请求为在所述移动无线接入设备与所述第一内网防火墙的连接断开后,向所述移动无线接入设备发送的内网访问请求。而在步骤S307之前,所述移动无线接入设备接收到的用户终端发送的针对所述目标内网的内网访问请求,通过所述目标内网的第一内网防火墙路由至所述目标内网中对应的内网服务器。
S309,所述移动无线接入设备将所述内网访问请求发送给所述第二内网防火墙。
S310,所述第二内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。
S311,所述内网服务器向所述第二内网防火墙返回响应所述内网访问请求的内网请求响应消息。
S312,所述第二内网防火墙将所述内网请求响应消息发送给所述移动无线接入设备。
S313,所述移动无线接入设备将所述内网请求响应消息发送给所述用户终端。
这里,步骤S308~步骤S313中通过所述移动无线接入设备与所述第二内网防火墙的连接为所述用户终端提供访问所述目标内网的服务的具体实现方式可参阅图2对应的实施例中步骤S206~步骤S211中所述移动无线接入设备与所述第一内网防火墙的连接为所述用户终端提供访问所述目标内网的服务的具体实现方式,此处不再赘述。
本发明实施例中,所述移动无线接入设备在于所述第一内网防火墙建立连接后,所述内网防火墙分配设备按照预设周期对所述移动无线接入设备与所述地理位置的距离进行检测,在确定所述距离大于预设距离时,重新为所述移动无线接入设备分配第二内网防火墙,使所述移动无线接入设备将所连接的内网防火墙从第一内网防火墙切换至第二内网防火墙,保证了在移动无线接入设备移动的过程中,与所述移动无线接入设备相连接的内网防火墙总是与所述移动无线接入设备的实时地理位置相匹配的最优内网防火墙,保证了用户通过所述移动无线接入设备访问内网的网络质量。
参见图4,图4为本发明实施例提供的又一种内网访问方法的系统交互示意图,在所述移动无线接入设备与所述目标内网的第一内网防火墙建立连接后,所述移动无线接入设备可以监控所述移动无线接入设备是否需要切换所连接的第一内网防火墙,具体实现步骤可以如下:
S401,所述移动无线接入设备按照预设周期获取与所述第一内网防火墙连接的接入设备连接状态信息,和/或,所述用户终端针对所述目标内网的终端访问状态信息。
这里,所述接入设备连接状态信息可以包括所述移动无线接入设备的上行丢包率、下行丢包率、每秒发送数据包个数、每秒接收数据包个数等指标信息。所述终端访问状态信息可以包括所述用户终端的上行丢包率、下行丢包率、每秒发送数据包个数、每秒接收数据包个数等指标信息。所述终端访问状态信息可以由所述用户终端确定后发送给所述移动无线接入设备。
S402,所述移动无线接入设备在根据所述接入设备连接状态信息,和/或,所述终端访问状态信息,确定所述用户终端对所述目标内网的访问处于异常状态时,向所述内网防火墙分配设备发送防火墙切换请求。
具体的,可以预先在所述移动无线接入设备中设置针对所述接入设备连接状态信息中的各项指标,和/或,所述终端连接状态信息中的各项指标的评估模型,所述移动无线接入设备可以通过上述评估模型对所述接入设备连接状态信息,和/或,所述终端访问状态信息进行评估,以判断所述用户终端对所述目标内网的访问是否处于异常状态。例如,若与所述第一内网防火墙的距离较远,连接网络质量较差时,所述接入设备连接状态信息中的上行丢包率会大于预设的丢包率阈值,所述移动无线接入设备确定所述用户终端对所述目标内网的访问处于异常状态;若所述第一内网防火墙出现拥塞时,所述终端连接状态信息中的每秒接收数据包个数会小于预设接收数据包阈值,所述移动无线接入设备确定所述用户终端对所述目标内网的访问处于异常状态。
S403,所述内网防火墙分配设备根据所述防火墙求换请求从所述多个内网防火墙中确定所述移动无线接入设备匹配的第三内网防火墙。
这里,所述内网防火墙分配设备根据所述防火墙切换请求从所述多个内网防火墙中确定所述移动无线接入设备匹配的第三内网防火墙的实现方式,可以参阅图2对应的实施例中,步骤S202~步骤S203中所述内网防火墙分配设备为所述移动无线接入设备从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙的实现方式,此处不再赘述。
可以理解的是,若所述第一内网防火墙出现故障时,步骤S403中确定的所述第三内网防火墙与所述第一内网防火墙可能为同一内网防火墙,此时可以从除去所述第一内网防火墙的其他针对目标内网部署的内网防火墙中再次确定所述第三内网防火墙。
S404,所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第三内网防火墙的第三IP地址。
S405,所述移动无线接入设备根据所述第三IP地址向所述第三内网防火墙发送防火墙连接请求。
S406,所述第三内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接。
这里,第三内网防火墙与所述移动无线接入设备建立连接的具体实现方式可以参与图2对应的实施例,步骤S205中所述第一内网防火墙与所述移动无线接入设备建立连接的实现方式,此处不再赘述。
S407,所述移动无线接入设备断开与所述第一内网防火墙的连接。
这里,所述移动无线接入设备与所述第一内网防火墙连接的断开可参阅图3 对应的实施例中步骤S307中所述移动无线接入设备与所述第一内网防火墙连接断开的具体实现方式,此处不再赘述。
S408,用户终端向所述移动无线接入设备发送针对所述目标内网的内网访问请求。
这里,步骤S408在步骤S407之后执行,步骤S408中用户终端发送的内网访问请求为在所述移动无线接入设备与所述第一内网防火墙的连接断开后,向所述移动无线接入设备发送的内网访问请求。而在步骤S407之前,所述移动无线接入设备接收到的用户终端发送的针对所述目标内网的内网访问请求,通过所述目标内网的第一内网防火墙路由至所述目标内网中对应的内网服务器。
S409,所述移动无线接入设备将所述内网访问请求发送给所述第二内网防火墙。
S410,所述第二内网防火墙将所述内网访问请求路由至所述目标内网的内网服务器。
S411,所述内网服务器向所述第二内网防火墙返回响应所述内网访问请求的内网请求响应消息。
S412,所述第二内网防火墙将所述内网请求响应消息发送给所述移动无线接入设备。
S413,所述移动无线接入设备将所述内网请求响应消息发送给所述用户终端。
这里,步骤S408~步骤S413中通过所述移动无线接入设备与所述第二内网防火墙的连接为所述用户终端提供访问所述目标内网的服务的具体实现方式可参阅图2对应的实施例中步骤S206~步骤S211中所述移动无线接入设备与所述第一内网防火墙的连接为所述用户终端提供访问所述目标内网的服务的具体实现方式,此处不再赘述。
本发明实施例中,所述移动无线接入设备在于所述第一内网防火墙建立连接后,所述移动无线接入设备按照预设周期对所述移动无线接入设备与所述第一内网防火墙连接的接入设备连接状态信息,和/或,所述用户终端针对所述目标内网的终端访问状态信息进行检测,在根据所述接入设备连接状态信息,和/ 或,所述终端连接状态信息,确定所述用户终端对所述目标内网的访问处于异常状态时,向所述内网防火墙分配设备请求切换所连接的第一内网防火墙,所述内网防火墙分配设备为所述移动无线接入设备重新分配第三内网防火墙后,所述移动无线接入设备将所连接的内网防火墙从第一内网防火墙切换至第三内网防火墙,用户通过所述移动无线接入设备访问内网的网络质量。
参见图5,图5为本发明实施例提供的一种内网防火墙分配设备的结构示意图,如图所示,所述内网防火墙分配设备50可以至少包括请求接收单元501、位置获取单元502、内网防火墙确定单元503和地址发送单元504,其中:
请求接收单元501,用于接收移动无线接入设备发送的针对目标内网的内网连接请求。
位置获取单元502,用于根据所述内网连接请求获取所述移动无线接入设备的地理位置。
内网防火墙确定单元503,用于根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
地址发送单元504,用于将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接后,所述第一内网防火墙将接收到的目标内网访问请求路由至所述目标内网的内网服务器,所述内网访问请求为用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网服务器的访问请求,所述第一内网防火墙还将所述目标内网服务器响应所述内网访问请求返回的内网请求响应消息,通过移动无线接入设备发送至所述用户终端。
具体实现中,所述内网防火墙分配设备可以通过其内置的各个功能模块执行如图2至图4的内网访问方法中所述内网防火墙分配设备执行的各个步骤,具体实施细节可参阅图2至图4对应的实施例中各个步骤的实现细节,此处不再赘述。
本发明实施例中请求接收单元在接收到移动无线接入设备发送的针对目标内网的内网连接请求后,位置获取单元根据所述内网连接请求获取所述移动无线接入设备的地理位置,内网防火墙确定单元根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,所述移动无线接入设备根据接收到地址发送单元发送的所述第一内网防火墙的第IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙与所述移动无线接入设备建立连接。所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器,在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。用户终端通过基于移动无线接入设备和针对目标内网部署的防火墙的内网访问框架实现了对目标内网的访问,访问之前无需配置任何参数,提高了针对目标内网的访问效率。
参见图6,图6为本发明实施例提供的一种移动无线接入设备的结构示意图,如图所示,所述移动无线接入设备60可以至少包括请求发送单元601、地址接收单元602、防火墙连接单元603和消息传输单元604,其中:
请求发送单元601,用于向内网防火墙分配设备发送针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
地址接收单元602,用于接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址。
防火墙连接单元603,用于根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接。
消息传输单元604,用于在从用户终端接收到针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器。
所述消息传输单元605,还用于在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
具体实现中,所述移动无线接入设备可以通过其内置的各个功能模块执行如图2至图4的内网访问方法中所述移动无线接入设备执行的各个步骤,具体实施细节可参阅图2至图4对应的实施例中各个步骤的实现细节,此处不再赘述。
本发明实施例中请求发送单元向内网防火墙分配设备发送内网连接请求后,内网防火墙分配设备根据所述内网连接请求获取所述地理位置,并根据所述地理位置从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙,所述防火墙连接单元根据所述地址接收单元接收到所述内网防火墙分配设备发送的所述第一内网防火墙的第IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙与所述防火墙连接单元建立连接后,通过所述消息传输单元为与所述移动无线接入设备相连的用户终端提供访问所述目标内网的服务。用户终端通过基于移动无线接入设备和针对目标内网部署的防火墙的内网访问框架实现了对目标内网的访问,访问之前无需配置任何参数,提高了针对目标内网的访问效率。
参见图7,图7为本发明实施例提供的另一种内网防火墙分配设备的结构示意图,如图所示,所述内网防火墙分配设备70包括处理器701、存储器702以及通信接口703。处理器701连接到存储器702和通信接口703,例如处理器701 可以通过总线连接到存储器702和通信接口703。
处理器701被配置为支持内网防火墙分配设备执行图2-图4所述的内网访问方法中内网防火墙分配设备的相应的功能。该处理器701可以是中央处理器 (CentralProcessing Unit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD) 或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable Gate Array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
存储器702用于存储程序代码等。存储器702包括内部存储器,内部存储器可以包括以下至少一项:易失性存储器(例如动态随机存取存储器(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)等)和非易失性存储器(例如一次性可编程只读存储器(OTPROM)、可编程ROM(PROM)、可擦除可编程 ROM(EPROM)、电可擦除可编程ROM(EEPROM))。存储器702还可以包括外部存储器,外部存储器可以包括以下至少一项:硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD)、闪驱,例如高密度闪存(CF)、安全数字(SD)、微型SD、迷你型SD、极限数字(xD)、存储棒等。
所述通信接口703用于接收或发送数据。
处理器701可以调用所述程序代码以执行以下操作:
接收移动无线接入设备发送的针对目标内网的内网连接请求;
根据所述内网连接请求获取所述移动无线接入设备的地理位置;
根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接后,所述第一内网防火墙将接收到的内网访问请求路由至所述目标内网的内网服务器,所述内网访问请求为用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网服务器的访问请求,所述第一内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息,通过所述移动无线接入设备发送至所述用户终端。
需要说明的是,各个操作的实现还可以对应参照图2-图4所示的方法实施例的相应描述;所述处理器701还可以用于执行上述方法实施例中的其他操作。
参见如图8,图8为本发明实施例提供的另一种移动无线接入设备的结构示意图,如图所示所述移动无线接入设备80包括处理器801、存储器802以及通信接口803。处理器801连接到存储器802和通信接口803,例如处理器801可以通过总线连接到存储器802和通信接口803。
处理器801被配置为支持移动无线接入设备执行图2-图4所述的内网访问方法中移动无线接入设备的相应的功能。该处理器801可以是中央处理器 (Central ProcessingUnit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD) 或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable Gate Array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
存储器802用于存储程序代码等。存储器802包括内部存储器,内部存储器可以包括以下至少一项:易失性存储器(例如动态随机存取存储器(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)等)和非易失性存储器(例如一次性可编程只读存储器(OTPROM)、可编程ROM(PROM)、可擦除可编程 ROM(EPROM)、电可擦除可编程ROM(EEPROM))。存储器802还可以包括外部存储器,外部存储器可以包括以下至少一项:硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD)、闪驱,例如高密度闪存(CF)、安全数字(SD)、微型SD、迷你型SD、极限数字(xD)、存储棒等。
所述通信接口803用于接收或发送数据。
处理器801可以调用所述程序代码以执行以下操作:
向内网防火墙分配设备发送针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置,并根据所述地理位置从针对所述内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器;
在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
需要说明的是,各个操作的实现还可以对应参照图2-图4所示的方法实施例的相应描述;所述处理器801还可以用于执行上述方法实施例中的其他操作。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行如前述实施例所述的方法,所述计算机可以为上述提到的内网防火墙分配设备或所述移动无线接入设备的一部分。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
Claims (10)
1.一种内网访问方法,其特征在于,包括:
内网防火墙分配设备接收移动无线接入设备发送的针对目标内网的内网连接请求;
所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置;
所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接后,所述第一内网防火墙将接收到的内网访问请求路由至所述目标内网的内网服务器,所述内网访问请求为用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网服务器的访问请求,所述第一内网防火墙还将所述内网服务器响应所述内网访问请求返回的内网请求响应消息,通过所述移动无线接入设备发送至所述用户终端。
2.如权利要求1所述的方法,其特征在于,所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述内网防火墙分配设备获取所述多个内网防火墙的部署位置,并根据所述地理位置和所述多个内网防火墙的部署位置,将所述多个内网防火墙中与所述移动无线接入设备距离最近的内网防火墙确定为所述第一内网防火墙。
3.如权利要求1所述的方法,其特征在于,所述内网防火墙分配设备根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述内网防火墙分配设备确定所述地理位置所在的针对所述目标内网的目标内网访问子区域;
所述内网防火墙分配设备根据预设的内网访问子区域与所述目标内网的内网防火墙的对应关系,将与所述目标内网访问子区域对应的内网防火墙确定为所述第一内网防火墙。
4.如权利要求1~3中任一项所述的方法,其特征在于,所述方法还包括:
所述内网防火墙分配设备按照预设周期获取所述移动无线接入设备与所述地理位置的距离;
当所述移动无线接入设备与所述地理位置的距离大于第一阈值时,所述内网防火墙分配设备获取所述移动无线接入设备的实时地理位置;
所述内网防火墙分配设备根据所述移动无线接入设备的实时地理位置和所述多个内网防火墙的部署位置,从所述多个内网防火墙中为所述移动无线接入设备确定匹配的第二内网防火墙;
所述内网防火墙分配设备将所述第二内网防火墙的第二IP地址发送给所述移动无线接入设备,以使所述移动无线接入设备根据所述第二IP地址与所述第二内网防火墙建立连接,并与所述第一内网防火墙断开连接。
5.如权利要求1所述的方法,其特征在于,所述内网防火墙分配设备将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备之前,还包括:
所述内网防火墙分配设备获取所述移动无线接入设备的设备身份信息,和/或,与所述移动无线接入设备连接的用户终端的终端身份信息;
所述内网防火墙分配设备根据所述地理位置,从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙包括:
所述内网防火墙分配设备在根据所述设备身份信息对所述移动无线接入设备进行的身份验证通过后,和/或,在根据所述终端身份信息对与所述移动无线接入设备连接的用户终端进行的身份验证通过后,根据所述地理位置,从所述多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙。
6.一种内网访问方法,其特征在于,包括:
移动无线接入设备向内网防火墙分配设备发送针对所述目标内网的内网连接请求,以使所述内网防火墙分配设备根据所述内网连接请求获取所述移动无线接入设备的地理位置,并根据所述地理位置从针对所述内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第一内网防火墙的第一IP地址;
所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,以使所述第一内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
所述移动无线接入设备在接收到用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第一内网防火墙路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述内网服务器响应所述内网访问请求通过所述第一内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
7.如权利要求6中任一项所述的方法,其特征在于,所述移动无线接入设备根据所述第一IP地址,向所述第一内网防火墙发送防火墙连接请求,还包括:
所述移动无线接入设备按照预设周期获取与所述第一内网防火墙连接的接入设备连接状态信息,和/或,所述用户终端针对所述目标内网的终端访问状态信息;
所述移动无线接入设备在根据所述接入设备连接状态信息,和/或,所述终端访问状态信息,确定所述用户终端对所述目标内网的访问处于异常状态时,向所述内网防火墙分配设备发送防火墙切换请求,以使所述内网防火墙分配设备根据所述防火墙求换请求从所述多个内网防火墙中确定所述移动无线接入设备匹配的第三内网防火墙;
所述移动无线接入设备接收所述内网防火墙分配设备发送的所述第三内网防火墙的第三IP地址,并根据所述第三IP地址向所述第三内网防火墙发送防火墙请求,以使所述第三内网防火墙根据所述防火墙连接请求与所述移动无线接入设备建立连接;
所述移动无线接入设备断开与所述第一内网防火墙的连接;
所述移动无线接入设备在接收到所述用户终端发送的针对所述目标内网的内网访问请求后,将所述内网访问请求通过所述第三内网防火墙路由至所述目标内网的内网服务器;
所述移动无线接入设备在接收到所述内网服务器响应所述内网访问请求通过所述第三内网防火墙返回的内网请求响应消息后,将所述内网请求响应消息发送至所述用户终端。
8.一种内网防火墙分配设备,其特征在于,包括:
请求接收单元,用于接收移动无线接入设备发送的针对目标内网的内网连接请求;
位置获取单元,用于根据所述内网连接请求获取所述移动无线接入设备的地理位置;
内网防火墙确定单元,用于根据所述地理位置,从针对所述目标内网部署的多个内网防火墙中确定所述移动无线接入设备匹配的第一内网防火墙;
地址发送单元,用于将所述第一内网防火墙的第一IP地址发送给所述移动无线接入设备,以使在所述移动无线接入设备根据所述第一IP地址与所述第一内网防火墙建立连接后,所述第一内网防火墙将接收到的目标内网访问请求路由至所述目标内网的内网服务器,所述内网访问请求为用户终端通过所述移动无线接入设备发送的针对所述目标内网的内网服务器的访问请求,所述第一内网防火墙还将所述目标内网服务器响应所述内网访问请求返回的内网请求响应消息,通过所述移动无线接入设备发送至所述用户终端。
9.一种内网防火墙分配设备,其特征在于,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收和发送数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,执行如权利要求1-5任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910499038.0A CN110336794B (zh) | 2019-06-10 | 2019-06-10 | 一种内网访问方法、系统及相关装置 |
| PCT/CN2019/102346 WO2020248368A1 (zh) | 2019-06-10 | 2019-08-23 | 一种内网访问方法、系统及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910499038.0A CN110336794B (zh) | 2019-06-10 | 2019-06-10 | 一种内网访问方法、系统及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110336794A true CN110336794A (zh) | 2019-10-15 |
| CN110336794B CN110336794B (zh) | 2022-08-30 |
Family
ID=68140876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910499038.0A Active CN110336794B (zh) | 2019-06-10 | 2019-06-10 | 一种内网访问方法、系统及相关装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110336794B (zh) |
| WO (1) | WO2020248368A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全系统及方法 |
| CN112150047A (zh) * | 2020-11-24 | 2020-12-29 | 山东富通信息科技有限公司 | 专线网络环境下的资源管理系统 |
| CN112867041A (zh) * | 2020-12-28 | 2021-05-28 | 美的集团股份有限公司 | 家电设备的配网方法、家电设备、移动终端及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| CN101635759A (zh) * | 2009-08-26 | 2010-01-27 | 深圳华为通信技术有限公司 | 一种移动终端防火墙的实现方法及装置 |
| US20130174210A1 (en) * | 2011-12-28 | 2013-07-04 | Samsung Electronics Co., Ltd | System for data flow protection and use control of applications and portable devices configured by location |
| US20140089374A1 (en) * | 1996-11-29 | 2014-03-27 | Frampton E. Ellis | Global network computers |
| CN108989352A (zh) * | 2018-09-03 | 2018-12-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
| CN109246257A (zh) * | 2018-10-12 | 2019-01-18 | 平安科技(深圳)有限公司 | 流量调配方法、装置、计算机设备及存储介质 |
| CN109347783A (zh) * | 2018-08-01 | 2019-02-15 | 株洲凯创技术有限公司 | 数据过滤方法、装置、系统及列车车载防火墙设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769631B (zh) * | 2012-07-31 | 2015-09-09 | 华为技术有限公司 | 访问云服务器的方法、系统和接入设备 |
| CN109076005B (zh) * | 2018-04-28 | 2021-02-09 | 深圳前海达闼云端智能科技有限公司 | 一种vpn线路切换方法、装置及电子设备 |
| CN109617780A (zh) * | 2019-01-29 | 2019-04-12 | 新华三技术有限公司 | 接入网络的方法、装置、终端设备及机器可读存储介质 |
-
2019
- 2019-06-10 CN CN201910499038.0A patent/CN110336794B/zh active Active
- 2019-08-23 WO PCT/CN2019/102346 patent/WO2020248368A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140089374A1 (en) * | 1996-11-29 | 2014-03-27 | Frampton E. Ellis | Global network computers |
| US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| CN101635759A (zh) * | 2009-08-26 | 2010-01-27 | 深圳华为通信技术有限公司 | 一种移动终端防火墙的实现方法及装置 |
| US20130174210A1 (en) * | 2011-12-28 | 2013-07-04 | Samsung Electronics Co., Ltd | System for data flow protection and use control of applications and portable devices configured by location |
| CN109347783A (zh) * | 2018-08-01 | 2019-02-15 | 株洲凯创技术有限公司 | 数据过滤方法、装置、系统及列车车载防火墙设备 |
| CN108989352A (zh) * | 2018-09-03 | 2018-12-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
| CN109246257A (zh) * | 2018-10-12 | 2019-01-18 | 平安科技(深圳)有限公司 | 流量调配方法、装置、计算机设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 谈华: "硬件防火墙在网络安全中的应用", 《电脑知识与技术(学术交流)》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490993A (zh) * | 2020-04-13 | 2020-08-04 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全系统及方法 |
| CN111490993B (zh) * | 2020-04-13 | 2021-03-30 | 江苏易安联网络技术有限公司 | 一种应用访问控制安全系统及方法 |
| CN112150047A (zh) * | 2020-11-24 | 2020-12-29 | 山东富通信息科技有限公司 | 专线网络环境下的资源管理系统 |
| CN112150047B (zh) * | 2020-11-24 | 2021-03-09 | 山东富通信息科技有限公司 | 专线网络环境下的资源管理系统 |
| CN112867041A (zh) * | 2020-12-28 | 2021-05-28 | 美的集团股份有限公司 | 家电设备的配网方法、家电设备、移动终端及介质 |
| CN112867041B (zh) * | 2020-12-28 | 2023-03-21 | 美的集团股份有限公司 | 家电设备的配网方法、家电设备、移动终端及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020248368A1 (zh) | 2020-12-17 |
| CN110336794B (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106851632B (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN105637805B (zh) | 增强移动备用信道以解决有线线路网络中的节点故障 | |
| CN108810993A (zh) | 网络切片选择方法、设备、ue、控制面功能实体及介质 | |
| CN112437456A (zh) | 一种非公共网络中的通信方法及设备 | |
| CN105430059A (zh) | 智能客户端路由 | |
| KR20070032775A (ko) | 단말 장치 및 인증 서버 | |
| CN110336794A (zh) | 一种内网访问方法、系统及相关装置 | |
| CN107105458B (zh) | 一种信息处理方法及装置 | |
| EP3046351B1 (en) | Method and system for realizing a walkie-talkie function over wifi | |
| CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
| CN103067416A (zh) | 一种虚拟私云接入认证方法及相关装置 | |
| CN103781055A (zh) | 一种数据下载方法及相关设备 | |
| CN110266674A (zh) | 一种内网访问方法及相关装置 | |
| CN107182098A (zh) | 用于实现用户设备在无线接入点间切换的方法与设备 | |
| CN108966363A (zh) | 一种连接建立方法及装置 | |
| CN104253798A (zh) | 一种网络安全监控方法和系统 | |
| CN107659999A (zh) | Wifi连接方法及设备 | |
| CN110336793A (zh) | 一种内网访问方法及相关装置 | |
| CN106533884B (zh) | 一种报文传输方法、汇聚设备、交换机及vrrp系统 | |
| RU2715285C1 (ru) | Способ повышения устойчивости защищенного соединения между элементами системы корпоративного управления с помощью инфотелекоммуникационных ресурсов, находящихся под управлением двух и более операторов связи | |
| CN110311785A (zh) | 一种内网访问方法及相关装置 | |
| CN112134744A (zh) | 一种分布式管理系统中节点的管理方法 | |
| CN110324826A (zh) | 一种内网访问方法及相关装置 | |
| CN110324318A (zh) | 一种内网访问方法及相关装置 | |
| CN109962917A (zh) | 认证信息处理方法及设备、系统、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |