CN111641607A - 代理系统及访问请求转发方法 - Google Patents
代理系统及访问请求转发方法 Download PDFInfo
- Publication number
- CN111641607A CN111641607A CN202010416082.3A CN202010416082A CN111641607A CN 111641607 A CN111641607 A CN 111641607A CN 202010416082 A CN202010416082 A CN 202010416082A CN 111641607 A CN111641607 A CN 111641607A
- Authority
- CN
- China
- Prior art keywords
- application system
- server
- access request
- request
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种代理系统及访问请求转发方法,涉及网络通信技术领域。本发明提供的代理系统中,服务端可以为每个应用系统单独配置文件,与应用系统进行交互。部署端可以在服务端分配应用系统的应用系统标识并授权、配置应用系统的IP地址、代理域名和服务端口、以及合作方服务器的服务地址和服务端口。服务端可以根据管理端的配置,对应用系统进行身份认证和权限控制,统一代理并转发应用系统对外网的访问请求。相对于现有的代理系统而言,本发明实施例提供的代理系统的部署方式更加简单,无需再针对每个应用系统分别部署服务器和转发程序,同时,还实现了对不同应用系统进行统一的安全管控。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种代理系统及访问请求转发方法。
背景技术
公司网络通常会划分为内网区和隔离(Demilitarized Zone,DMZ)区域。其中,内网区用于部署公司的应用系统,如:可以是用于实现某项公司业务的应用系统。DMZ区通常部署应用系统对应的服务器,服务器上可以配置有应用系统对应的代理程序。当应用系统因业务需求,需要访问外网时,可以调用代理程序提供的接口,通过DMZ区内的服务器实现对外网的访问。
但是,现有技术中,需要每个应用系统分别部署服务器和代理程序,操作复杂且缺少统一的安全管控机制。
发明内容
本发明提供一种代理系统及访问请求转发方法,可以简化代理系统的部署方式,同时,可以实现对不同应用系统进行统一的安全管控。
本发明实施例的技术方案如下:
第一方面,本发明实施例提供一种代理系统,所述代理系统包括彼此通信连接的服务端和管理端。服务端设置于隔离DMZ区域。所述DMZ区域包括一特定外联区域。特定外联区域的网络策略为:防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进。服务端配置有Nginx配置文件、每个应用系统分别对应的配置文件、以及用于解析合作方域名的域名系统DNS域名参数。述管理端用于在所述服务端分配各应用系统的应用系统标识并授权,配置各应用系统的IP地址、代理域名和服务端口,以及配置合作方服务器的服务地址和服务端口;其中,所述合作方服务器位于外网。服务端用于接收第一应用系统的访问请求,根据所述管理端在所述服务端的配置和所述访问请求,对所述第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向所述合作方服务器转发所述访问请求。
可选地,所述代理系统还包括:负载均衡服务器。所述服务端通过所述负载均衡服务器,与各应用系统连接。所述负载均衡服务器中配置有XFF头,用于转发各应用系统的源IP地址。
可选地,所述服务端包括2台安装有Nginx程序的代理服务器。所述代理服务器分别与所述负载均衡服务器、以及所述管理端连接。
可选地,所述管理端包括管理服务器和数据库服务器。所述管理服务器分别与所述代理服务器、以及所述数据库服务器连接。
可选地,所述管理端具体用于为应用系统分配应用系统标识并授权;在请求方IP白名单中添加应用系统的所有IP地址;配置应用系统的代理域名和服务端口、以及合作方服务器的服务地址和服务端口;配置应用系统对应的日志文件名称、以及符合安全审计要求的日志格式;重新加载服务端配置。所述应用系统的Hosts文件中配置的应用系统的代理域名对应的IP地址为所述负载均衡服务器的虚拟IP地址;所述应用系统中配置的HttpClient的请求地址为所述合作方服务器的服务地址,且所述应用系统的访问请求的请求字段中包含有所述管理端分配的应用系统标识和授权码。
可选地,所述服务端具体用于根据所述第一应用系统的访问请求,判断所述第一应用系统的应用系统标识和授权码是否正确;若所述第一应用系统的应用系统标识或授权码不正确,则向第一应用系统返回身份认证失败响应码及响应信息;若所述第一应用系统的应用系统标识和授权码正确,则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验所述第一应用系统是否具有域名访问权限;若所述第一应用系统不具有域名访问权限,则向所述第一应用系统返回权限校验失败响应码及响应信息;若所述第一应用系统具有域名访问权限,则将所述第一应用系统的访问请求转发至外网的合作方服务器。
可选地,所述服务端还用于在转发所述第一应用系统的访问请求时,记录关键安全审计字段。所述关键安全审计字段至少包括:请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。
第二方面,本发明实施例提供一种访问请求转发方法,所述方法应用于代理系统中的服务端;所述代理系统包括彼此通信连接的服务端和管理端;所述服务端设置于隔离DMZ区域;所述DMZ区域包括一特定外联区域;所述特定外联区域的网络策略为:防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进;所述服务端配置有Nginx配置文件、每个应用系统分别对应的配置文件、以及用于解析合作方域名的域名系统DNS域名参数;所述管理端用于在所述服务端分配各应用系统的应用系统标识并授权,配置各应用系统的IP地址、代理域名和服务端口,以及配置合作方服务器的服务地址和服务端口;其中,所述合作方服务器位于外网;所述方法包括:
接收第一应用系统的访问请求;根据所述管理端在所述服务端的配置和所述访问请求,对所述第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向所述合作方服务器转发所述访问请求。
可选地,所述根据所述管理端在所述服务端的配置和所述访问请求,对所述第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向所述合作方服务器转发所述访问请求的步骤,包括:
根据所述第一应用系统的访问请求,判断所述第一应用系统的应用系统标识和授权码是否正确;若所述第一应用系统的应用系统标识或授权码不正确,则向第一应用系统返回身份认证失败响应码及响应信息;若所述第一应用系统的应用系统标识和授权码正确,则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验所述第一应用系统是否具有域名访问权限;若所述第一应用系统不具有域名访问权限,则向所述第一应用系统返回权限校验失败响应码及响应信息;若所述第一应用系统具有域名访问权限,则将所述第一应用系统的访问请求转发至外网的合作方服务器。
可选地,所述方法还包括:
在转发所述第一应用系统的访问请求时,记录关键安全审计字段。所述关键安全审计字段至少包括:请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。
第三方面,本发明实施例提供一种访问请求转发装置,所述装置应用于代理系统中的服务端;所述代理系统包括彼此通信连接的服务端和管理端;所述服务端设置于隔离DMZ区域;所述DMZ区域包括一特定外联区域;所述特定外联区域的网络策略为:防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进;所述服务端配置有Nginx配置文件、每个应用系统分别对应的配置文件、以及用于解析合作方域名的域名系统DNS域名参数;所述管理端用于在所述服务端分配各应用系统的应用系统标识并授权,配置各应用系统的IP地址、代理域名和服务端口,以及配置合作方服务器的服务地址和服务端口;其中,所述合作方服务器位于外网。所述装置包括:接收模块和转发模块;接收模块用于接收第一应用系统的访问请求。转发模块用于根据管理端在服务端的配置和所述访问请求,对第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向合作方服务器转发访问请求。
可选地,所述转发模块,具体用于根据第一应用系统的访问请求,判断第一应用系统的应用系统标识和授权码是否正确;若所述第一应用系统的应用系统标识或授权码不正确,则向第一应用系统返回身份认证失败响应码及响应信息;若所述第一应用系统的应用系统标识和授权码正确,则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验所述第一应用系统是否具有域名访问权限;若所述第一应用系统不具有域名访问权限,则向所述第一应用系统返回权限校验失败响应码及响应信息;若所述第一应用系统具有域名访问权限,则将所述第一应用系统的访问请求转发至外网的合作方服务器。
可选地,所述装置还包括记录模块,用于在转发模块转发第一应用系统的访问请求时,记录关键安全审计字段。关键安全审计字段至少包括:请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。
第四方面,本发明实施例提供一种服务端,包括:处理器、存储介质和总线,存储介质存储有处理器可执行的机器可读指令,当服务端运行时,处理器与存储介质之间通过总线通信,处理器执行机器可读指令,以执行时执行如第二方面所述的访问请求转发方法的步骤。
第五方面,本发明实施例提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行如第二方面所述的访问请求转发方法的步骤。
本发明的实施例提供的技术方案至少带来以下有益效果:
本发明实施例中,代理系统中的服务端可以为每个应用系统单独配置文件,与应用系统进行交互。部署端可以在服务端分配应用系统的应用系统标识并授权、配置应用系统的IP地址、代理域名和服务端口、以及合作方服务器的服务地址和服务端口。服务端可以根据管理端的配置,对应用系统进行身份认证和权限控制,统一代理并转发应用系统对外网的访问请求。相对于现有的代理系统而言,本发明实施例提供的代理系统的部署方式更加简单,无需再针对每个应用系统分别部署服务器和转发程序,同时,还实现了对不同应用系统进行统一的安全管控。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理,并不构成对本发明的不当限定。
图1示出了本发明实施例提供的代理系统的结构示意图;
图2示出了本发明实施例提供的代理系统的配置流程示意图;
图3示出了本发明实施例提供的代理系统的访问请求转发方法的流程示意图;
图4示出了本发明实施例提供的访问请求转发装置的结构示意图;
图5示出了本发明实施例提供的访问请求转发装置的另一结构示意图;
图6示出了本发明实施例提供的服务端的结构示意图。
具体实施方式
为了使本领域普通人员更好地理解本发明的技术方案,下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
还应当理解的是,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其他特征、整体、步骤、操作、元素和/或组件的存在或添加。
如背景技术中所述,现有技术中,需要针对每个应用系统分别在DMZ区中部署服务器和代理程序,以实现应用系统的外网访问需求。而现有的代理系统部署方式操作较为复杂,且对不同应用系统无法实现统一的安全管控。
基于此,本发明实施例提供一种代理系统,该代理系统包括:服务端和管理端。其中,服务端可以用于为每个应用系统单独配置文件,与应用系统进行交互,对应用系统进行身份认证和权限控制,统一代理并转发应用系统对外网的访问请求。部署端可以用于对服务端进行配置和管理。该代理系统可以部署于DMZ区中划分的一个特定外联区域,其网络策略为:该特定外联区域防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进。该代理系统的部署方式更加简单,同时,可以实现对不同应用系统进行统一的安全管控。
下面对本发明实施例提供的代理系统进行如下示例性说明:
图1示出了本发明实施例提供的代理系统的结构示意图。
如图1所示,该代理系统可以包括:服务端100和管理端200。服务端100可以设置于DMZ区域中的特定外联区域,且该特定外联区域防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进。服务端100和管理端200可以通过有线网络或无限网络通信连接。其中,服务端100可以包括2台安装有Nginx程序的代理服务器110。代理服务器110中可以配置Nginx配置文件、以及配置每个应用系统分别对应的配置文件。代理服务器110中还可以配置域名系统(Domain Name System,DNS)域名参数,用于解析合作方域名。管理端200可以用于对服务端100进行配置和管理。例如,管理端200可以为管理服务器,管理服务器可以与代理服务器连接。
请继续参照图1:
可选地,本发明实施例中,还可以为服务端100配置负载均衡服务器120,并在负载均衡服务器120中配置XFF头(X-Forwarded-For),用于转发各应用系统的源IP地址。代理服务器110可以通过负载均衡服务器120与应用系统进行交互。
可选地,还可以在管理端200部署与管理服务器连接的数据库服务器并初始化配置参数,用于保存数据。或者,部分实施方式中,也可以直接在管理端(如:管理服务器)中保存数据,在此不作限制。
上述图1所示的代理系统中,管理端可以对服务端进行如下配置:
图2示出了本发明实施例提供的代理系统的配置流程示意图。
如图2所示,代理系统的配置流程可以包括:
S201、管理端为应用系统分配应用系统标识并授权。
S202、管理端在请求方IP白名单中添加应用系统的所有IP地址。
S203、管理端配置应用系统的代理域名和服务端口、以及合作方服务器的服务地址和服务端口。
S204、管理端配置应用系统对应的日志文件名称、以及符合安全审计要求的日志格式。
S205、管理端重新加载服务端配置。
可选地,本发明实施例中,管理端可以提供一个网络用户界面(WebUI),配置人员可以在管理端通过该WebUI界面完成前述配置流程。
在完成上述代理系统的配置流程后,还需要对应用系统进行如下配置:
1)在应用系统的Hosts文件中配置应用系统的代理域名对应的IP地址为代理系统中负载均衡服务器的虚拟IP地址。
2)在应用系统中配置HttpClient的请求地址为合作方服务器的服务地址,并增加管理端分配的应用系统标识和授权码作为请求字段。
举例说明:
假设应用系统A通过代理系统访问外网域名https://xxx.com,访问协议为HTTPS协议,访问端口为443,则图2所示的代理系统的配置流程,具体可以如下:
1、可以在管理端WebUI界面中新建代理项目B,分配应用系统标识(如:“A”)及授权。
2、在新建的代理项目B的请求方IP白名单中添加应用系统A的所有IP地址。
3、在新建的代理项目B中配置应用系统的代理域名为http://xxx.com,服务端口为80,并配置转发地址为合作方服务器的服务地址https://xxx.com,服务端口为443。
4、在新建的代理项目B中配置日志文件名称及符合安全审计要求的日志格式。
5、在管理端WebUI界面中使用重新加载(reload)命令重新加载Nginx服务端配置。
6、在管理端WebUI界面中测试各代理服务是否正常。
当不正常时,可以重新配置。当正常时,可以进行后续流程。
应用系统的配置流程可以如下:
1、可以在应用系统A的Hosts文件中配置xxx.com对应的IP地址为代理系统中负载均衡服务器的虚拟IP地址。
2、可以在应用系统A配置HttpClient的请求地址为http://xxx.com并增加应用系统标识及授权码作为请求字段。
例如,应用系统A可以具有对应的应用服务器,对应用系统的配置也可以理解为对应用系统对应的应用服务器的配置。
在完成上述代理系统和应用系统的配置后,代理系统可以接收应用系统发送的访问请求,并将访问请求转发至外网的合作方服务器,实现应用系统的外网访问。
图3示出了本发明实施例提供的代理系统的访问请求转发方法的流程示意图。
如图3所示,代理系统的访问请求转发方法可以包括:
S301、服务端接收第一应用系统发送的访问请求。
其中,第一应用系统可以为任意一个应用系统。
第一应用系统发送的访问请求的请求报文中,请求字段可以包含有第一应用系统的应用系统标识及授权码,X-Forwarded-For字段可以包含有第一应用系统的源IP地址。
S302、服务端根据访问请求,判断第一应用系统的应用系统标识和授权码是否正确。
也即,可以根据应用系统标识和授权码,对第一应用系统进行身份校验。若第一应用系统的应用系统标识和授权码正确,则表示第一应用系统身份校验成功;若第一应用系统的应用系统标识或授权码不正确,则表示第一应用系统身份校验失败。
进一步,若第一应用系统的应用系统标识或授权码不正确,则执行步骤S303。若第一应用系统的应用系统标识和授权码正确,则执行步骤S304。
S303、服务端向第一应用系统返回身份认证失败响应码及响应信息。
S304、服务端根据第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验第一应用系统是否具有域名访问权限。
例如,可以根据应用系统A的应用系统标识、以及应用系统A发送的访问请求对应的请求报文中所包含的X-Forwarded-For字段对应的源IP地址,判断应用系统A是否可以访问域名“xxx.com”。若可以访问,则表示应用系统A具有域名访问权限,若不可以访问,则表示应用系统A不具有域名访问权限。
若第一应用系统不具有域名访问权限,则执行步骤S305。若第一应用系统具有域名访问权限,则执行步骤S306。
S305、服务端向第一应用系统返回权限校验失败响应码及响应信息。
S306、服务端将第一应用系统的访问请求转发至外网的合作方服务器。
可选地,在转发访问请求时,可以记录关键安全审计字段,包括请求时间戳、应用系统标识、请求址、请求响应码、请求响应消息等。
由上所述,本发明实施例中,代理系统中的服务端可以为每个应用系统单独配置文件,与应用系统进行交互。部署端可以在服务端分配应用系统的应用系统标识并授权、配置应用系统的IP地址、代理域名和服务端口、以及合作方服务器的服务地址和服务端口。服务端可以根据管理端的配置,对应用系统进行身份认证和权限控制,统一代理并转发应用系统对外网的访问请求。相对于现有的代理系统而言,本发明实施例提供的代理系统的部署方式更加简单,无需再针对每个应用系统分别部署服务器和转发程序,同时,还实现了对不同应用系统进行统一的安全管控。
以上说明主要从服务端的角度对本发明实施例提供的访问请求转发方法进行了介绍。可以理解的是,服务端可以包含有用于实现前述访问请求转发方法的一个或多个硬件结构和/或软件模块,这些执行硬件结构和/或软件模块可以构成一个电子设备。本领域技术人员应该很容易意识到,结合本文中所发明的实施例描述的各示例的算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
基于此,本发明实施例还对应提供一种访问请求转发装置,可以应用于前述实施例所述的代理系统中的服务端。
图4示出了本发明实施例提供的访问请求转发装置的结构示意图。
如图4所示,该访问请求转发装置可以包括:接收模块11和转发模块12。接收模块11用于接收第一应用系统的访问请求。转发模块12用于根据管理端在服务端的配置和所述访问请求,对第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向合作方服务器转发访问请求。
可选地,转发模块12具体可以用于根据第一应用系统的访问请求,判断第一应用系统的应用系统标识和授权码是否正确;若所述第一应用系统的应用系统标识或授权码不正确,则向第一应用系统返回身份认证失败响应码及响应信息;若所述第一应用系统的应用系统标识和授权码正确,则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验所述第一应用系统是否具有域名访问权限;若所述第一应用系统不具有域名访问权限,则向所述第一应用系统返回权限校验失败响应码及响应信息;若所述第一应用系统具有域名访问权限,则将所述第一应用系统的访问请求转发至外网的合作方服务器。
图5示出了本发明实施例提供的访问请求转发装置的另一结构示意图。
如图5所示,该访问请求转发装置还可以包括:记录模块13,用于在转发模块转发第一应用系统的访问请求时,记录关键安全审计字段。关键安全审计字段至少包括:请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。
如上所述,本发明实施例可以根据上述方法示例对服务端进行功能模块的划分。其中,上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。另外,还需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如,导流入口确定装置可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。
关于上述实施例中的访问请求转发装置,其中各个模块执行操作的具体方式、以及具备的有益效果,均已经在前述方法实施例中进行了详细描述,此处不再赘述。
本发明实施例还提供一种服务端,该服务端可以包括前述实施例中所述的代理服务器。图6示出了本发明实施例提供的服务端的结构示意图。
如图6所示,该服务端可以包括:处理器21、存储介质22和总线(图中未标出),存储介质22存储有处理器21可执行的机器可读指令,当服务端运行时,处理器21与存储介质22之间通过总线通信,处理器21执行机器可读指令,以执行时执行如前述实施例所述的访问请求转发方法的步骤。
在示例性实施例中,本发明还提供了一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行如前述实施例所述的访问请求转发方法的步骤。
可选地,存储介质可以是非临时性计算机可读存储介质,例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里发明的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种代理系统,其特征在于,所述代理系统包括彼此通信连接的服务端和管理端;
所述服务端设置于隔离DMZ区域;所述DMZ区域包括一特定外联区域;所述特定外联区域的网络策略为:防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进;
所述服务端配置有Nginx配置文件、每个应用系统分别对应的配置文件、以及用于解析合作方域名的域名系统DNS域名参数;
所述管理端用于在所述服务端分配各应用系统的应用系统标识并授权,配置各应用系统的IP地址、代理域名和服务端口,以及配置合作方服务器的服务地址和服务端口;其中,所述合作方服务器位于外网;
所述服务端用于接收第一应用系统的访问请求,根据所述管理端在所述服务端的配置和所述访问请求,对所述第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向所述合作方服务器转发所述访问请求。
2.根据权利要求1所述的代理系统,其特征在于,所述代理系统还包括:负载均衡服务器;
所述服务端通过所述负载均衡服务器,与各应用系统连接;
所述负载均衡服务器中配置有XFF头,用于转发各应用系统的源IP地址。
3.根据权利要求2所述的代理系统,其特征在于,所述服务端包括2台安装有Nginx程序的代理服务器;
所述代理服务器分别与所述负载均衡服务器、以及所述管理端连接。
4.根据权利要求3所述的代理系统,其特征在于,所述管理端包括管理服务器和数据库服务器;
所述管理服务器分别与所述代理服务器、以及所述数据库服务器连接。
5.根据权利要求2所述的代理系统,其特征在于,所述管理端具体用于为应用系统分配应用系统标识并授权;在请求方IP白名单中添加应用系统的所有IP地址;配置应用系统的代理域名和服务端口、以及合作方服务器的服务地址和服务端口;配置应用系统对应的日志文件名称、以及符合安全审计要求的日志格式;重新加载服务端配置;
所述应用系统的Hosts文件中配置的应用系统的代理域名对应的IP地址为所述负载均衡服务器的虚拟IP地址;所述应用系统中配置的HttpClient的请求地址为所述合作方服务器的服务地址,且所述应用系统的访问请求的请求字段中包含有所述管理端分配的应用系统标识和授权码。
6.根据权利要求5所述的代理系统,其特征在于,所述服务端具体用于根据所述第一应用系统的访问请求,判断所述第一应用系统的应用系统标识和授权码是否正确;
若所述第一应用系统的应用系统标识或授权码不正确,则向第一应用系统返回身份认证失败响应码及响应信息;
若所述第一应用系统的应用系统标识和授权码正确,则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验所述第一应用系统是否具有域名访问权限;
若所述第一应用系统不具有域名访问权限,则向所述第一应用系统返回权限校验失败响应码及响应信息;
若所述第一应用系统具有域名访问权限,则将所述第一应用系统的访问请求转发至外网的合作方服务器。
7.根据权利要求6所述的代理系统,其特征在于,所述服务端还用于在转发所述第一应用系统的访问请求时,记录关键安全审计字段;
所述关键安全审计字段至少包括:请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。
8.一种访问请求转发方法,其特征在于,所述方法应用于代理系统中的服务端;所述代理系统包括彼此通信连接的服务端和管理端;所述服务端设置于隔离DMZ区域;所述DMZ区域包括一特定外联区域;所述特定外联区域的网络策略为:防火墙开放所有对外网IP的访问权限,但仅开放80端口和443端口,且只许出不许进;所述服务端配置有Nginx配置文件、每个应用系统分别对应的配置文件、以及用于解析合作方域名的域名系统DNS域名参数;所述管理端用于在所述服务端分配各应用系统的应用系统标识并授权,配置各应用系统的IP地址、代理域名和服务端口,以及配置合作方服务器的服务地址和服务端口;其中,所述合作方服务器位于外网;
所述方法包括:
接收第一应用系统的访问请求;
根据所述管理端在所述服务端的配置和所述访问请求,对所述第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向所述合作方服务器转发所述访问请求。
9.根据权利要求8所述的方法,其特征在于,所述根据所述管理端在所述服务端的配置和所述访问请求,对所述第一应用系统进行身份认证和权限控制,并根据身份认证和权限控制的结果,向所述合作方服务器转发所述访问请求的步骤,包括:
根据所述第一应用系统的访问请求,判断所述第一应用系统的应用系统标识和授权码是否正确;
若所述第一应用系统的应用系统标识或授权码不正确,则向第一应用系统返回身份认证失败响应码及响应信息;
若所述第一应用系统的应用系统标识和授权码正确,则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址,校验所述第一应用系统是否具有域名访问权限;
若所述第一应用系统不具有域名访问权限,则向所述第一应用系统返回权限校验失败响应码及响应信息;
若所述第一应用系统具有域名访问权限,则将所述第一应用系统的访问请求转发至外网的合作方服务器。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
在转发所述第一应用系统的访问请求时,记录关键安全审计字段;
所述关键安全审计字段至少包括:请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010416082.3A CN111641607A (zh) | 2020-05-16 | 2020-05-16 | 代理系统及访问请求转发方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010416082.3A CN111641607A (zh) | 2020-05-16 | 2020-05-16 | 代理系统及访问请求转发方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111641607A true CN111641607A (zh) | 2020-09-08 |
Family
ID=72333234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010416082.3A Pending CN111641607A (zh) | 2020-05-16 | 2020-05-16 | 代理系统及访问请求转发方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111641607A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769863A (zh) * | 2021-01-26 | 2021-05-07 | 北京树米网络科技有限公司 | 一种业务请求报文数据的处理方法和装置 |
| CN113206844A (zh) * | 2021-04-28 | 2021-08-03 | 北京链道科技有限公司 | 防止数据泄露的数据共享方法 |
| CN116458132A (zh) * | 2020-09-28 | 2023-07-18 | 西门子股份公司 | 借助流程控制环境提供时间关键的服务的方法和系统 |
| CN117880250A (zh) * | 2024-03-13 | 2024-04-12 | 国网山东省电力公司诸城市供电公司 | 一种微电网状态数据监控系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248627A (zh) * | 2013-05-06 | 2013-08-14 | 北京奇虎科技有限公司 | 实现访问网站资源的方法、正向代理服务器和系统 |
| US20160088022A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Proxy servers within computer subnetworks |
| US20200106763A1 (en) * | 2018-10-02 | 2020-04-02 | Bank Of America Corporation | Gateway Device for Authentication and Authorization of Applications and/or Servers for Data Transfer Between Applications and/or Servers |
-
2020
- 2020-05-16 CN CN202010416082.3A patent/CN111641607A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248627A (zh) * | 2013-05-06 | 2013-08-14 | 北京奇虎科技有限公司 | 实现访问网站资源的方法、正向代理服务器和系统 |
| US20160088022A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Proxy servers within computer subnetworks |
| US20200106763A1 (en) * | 2018-10-02 | 2020-04-02 | Bank Of America Corporation | Gateway Device for Authentication and Authorization of Applications and/or Servers for Data Transfer Between Applications and/or Servers |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116458132A (zh) * | 2020-09-28 | 2023-07-18 | 西门子股份公司 | 借助流程控制环境提供时间关键的服务的方法和系统 |
| CN112769863A (zh) * | 2021-01-26 | 2021-05-07 | 北京树米网络科技有限公司 | 一种业务请求报文数据的处理方法和装置 |
| CN112769863B (zh) * | 2021-01-26 | 2021-11-16 | 北京树米网络科技有限公司 | 一种业务请求报文数据的处理方法、装置、电子设备及可读存储介质 |
| CN113206844A (zh) * | 2021-04-28 | 2021-08-03 | 北京链道科技有限公司 | 防止数据泄露的数据共享方法 |
| CN113206844B (zh) * | 2021-04-28 | 2022-06-07 | 北京链道科技有限公司 | 防止数据泄露的数据共享方法 |
| CN117880250A (zh) * | 2024-03-13 | 2024-04-12 | 国网山东省电力公司诸城市供电公司 | 一种微电网状态数据监控系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111641607A (zh) | 代理系统及访问请求转发方法 | |
| US10397352B2 (en) | Network infrastructure management | |
| US8635671B2 (en) | Systems and methods for a security delegate module to select appropriate security services for web applications | |
| US8463885B2 (en) | Systems and methods for generating management agent installations | |
| US8914787B2 (en) | Registering software management component types in a managed network | |
| CN102244656B (zh) | 域访问系统 | |
| US11683213B2 (en) | Autonomous management of resources by an administrative node network | |
| US20030226036A1 (en) | Method and apparatus for single sign-on authentication | |
| CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
| EP3800564B1 (en) | Secure communication method and system using network socket proxying | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US11245577B2 (en) | Template-based onboarding of internet-connectible devices | |
| CN112788031A (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| CN108462752B (zh) | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 | |
| CN111327668A (zh) | 网络管理方法、装置、设备和存储介质 | |
| CN111885031B (zh) | 一种基于会话过程的细粒度访问控制方法及系统 | |
| US7558845B2 (en) | Modifying a DHCP configuration for one system according to a request from another system | |
| CN113839966B (zh) | 一种基于微服务的安全管理系统 | |
| CN114372254B (zh) | 大数据环境下的多认证授权方法 | |
| CN113194099B (zh) | 一种数据代理方法及代理服务器 | |
| CN113472545B (zh) | 设备入网方法、装置、设备、存储介质和通信系统 | |
| CN104270368A (zh) | 认证方法、认证服务器和认证系统 | |
| CN112491895A (zh) | 一种基于微服务的身份认证方法、存储介质及系统 | |
| CN111226415B (zh) | 用于与服务处理器通信的系统和方法 | |
| KR100643198B1 (ko) | 통합콘솔 시스템을 이용한 원격 서버 관리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200908 |