CN112104490B - 基于云服务器的网络通信方法、装置和电子装置 - Google Patents
基于云服务器的网络通信方法、装置和电子装置 Download PDFInfo
- Publication number
- CN112104490B CN112104490B CN202010914082.6A CN202010914082A CN112104490B CN 112104490 B CN112104490 B CN 112104490B CN 202010914082 A CN202010914082 A CN 202010914082A CN 112104490 B CN112104490 B CN 112104490B
- Authority
- CN
- China
- Prior art keywords
- cloud
- network
- cloud server
- virtual
- external service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请涉及一种基于云服务器的网络通信方法、装置和电子装置,其中,该基于云服务器的网络通信方法包括:在云端搭建虚拟网络;所述虚拟网络包括云服务器和虚拟网关;配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道;通过所述通信通道,访问所述云服务器。通过本申请,解决了相关技术中无法兼顾提高云服务器的安全性和降低运营成本的问题。
Description
技术领域
本申请涉及计算机领域,特别是涉及一种基于云服务器的网络通信方法、装置和电子装置。
背景技术
随着云服务器供应商的与日俱增,云服务器的稳定性逐步提高、成本逐渐降低,同时,用户还可以按照自己的应用需求随时创建云服务器,也可以随时取消已经创建的云服务器,这使得云服务器深受广大互联网公司的青睐。然而,云服务器的安全性是用户比较担心的,虽然有众多配套的云安全组件可以供用户挑选,但是这些云安全组件的价格高昂,会增加用户的使用成本,并且用户无法自行操控底层后台,这对于用户来说是非常不方便的。
在相关技术中,通过拉专线的方式打通云上云下网络,或者购买云服务器将重要业务迁移到云下。然而,通过专线的方式打通云上云下网络,价格昂贵。通过购买云服务器的方式需要增加运营成本,并且云上云服务器不能出现核心业务和重要数据,这便失去了云服务器本身的优势。
目前针对相关技术中,无法兼顾提高云服务器的安全性和降低运营成本的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于云服务器的网络通信方法、装置和电子装置,以至少解决相关技术中,无法兼顾提高云服务器的安全性和降低运营成本的问题。
第一方面,本申请实施例提供了一种基于云服务器的网络通信方法,包括:
在云端搭建虚拟网络;所述虚拟网络包括云服务器和虚拟网关;
配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道;
通过所述通信通道,访问所述云服务器。
在其中一些实施例中,所述虚拟网络与所述云下网络在不同网段。
在其中一些实施例中,所述方法还包括:
采用多重认证方式,配置所述虚拟网关与云下安全设备之间的IPSEC VPN,其中,所述虚拟网关与所述云下安全设备的加密方式和密钥均相同。
在其中一些实施例中,在所述配置所述虚拟网关与云下安全设备之间的IPSECVPN,以构建所述虚拟网络与云下网络之间的通信通道之后,所述方法还包括:
测试所述云下网络是否能成功访问所述云服务器,以判断所述虚拟网关与所述云下安全设备之间的IPSEC VPN配置是否成功;
若所述云下网络能成功访问所述云服务器,则确定所述虚拟网关与所述云下安全设备之间的IPSEC VPN配置成功;
若所述云下网络不能访问所述云服务器,则确定所述虚拟网关与所述云下安全设备之间的IPSEC VPN配置失败,并重新配置所述虚拟网关与云下安全设备之间的IPSECVPN,直至测试到所述云下网络能成功访问所述云服务器。
在其中一些实施例中,在所述通过所述通信通道,访问所述云服务器之前,所述方法还包括:
通过所述云下安全设备进行所述虚拟网络与所述云下网络之间的双向地址转换配置,得到所述虚拟网络与所述云下网络之间的地址映射表;
根据所述地址映射表,将所述云服务器的域名解析到云下外网地址,并对所述云服务器的域名以及运营商进行备案处理;
关闭所述云服务器的对外服务端口,所述对外服务端口包括针对所述虚拟网络的第一对外服务端口和针对云下网络的第二对外服务端口中的至少之一。
在其中一些实施例中,所述方法还包括:
在所述云下网络发布所述云服务器的第二对外服务端口;
向所述第二对外服务端口发送流量包,并对所述第二对外服务端口反馈的流量包进行分析,以测试云下网络访问所述第二对外服务端口的连通性。
在其中一些实施例中,所述方法还包括:
选取一台云服务器作为资源跳板机;
在所述资源跳板机上创建私有库;
通过所述资源跳板机访问外部网络,以从所述外部网络上下载需要的资源,并将下载的资源存储至所述私有库。
在其中一些实施例中,所述方法还包括:
在所述云下网络中设置上网行为管理设备,以通过所述上网行为管理设备配置所述云服务器的访问流量控制,或者限制所述云下网络访问所述云服务器对外服务端口的途径。
第二方面,本申请实施例提供了基于云服务器的网络通信装置,包括:
网络搭建模块,用于在云端搭建虚拟网络;所述虚拟网络包括云服务器和虚拟网关;
VPN配置模块,用于配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道;
网络通信模块,用于通过所述通信通道,访问所述云服务器。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于云服务器的网络通信方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于云服务器的网络通信方法。
相比于相关技术,本申请实施例提供的基于云服务器的网络通信方法、装置和电子装置,通过在云端搭建虚拟网络;所述虚拟网络包括云服务器和虚拟网关;配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道;通过所述通信通道,访问所述云服务器,解决了相关技术中无法兼顾提高云服务器的安全性和降低运营成本的问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例的基于云服务器的网络通信方法的流程图;
图2为本申请实施例中测试云下网络是否能成功访问云服务器的流程图;
图3为本申请实施例中配置虚拟网络与云下网络之间的双向地址转换的流程图;
图4为本申请实施例中云服务器从外部网络上下载所需要资源的流程图;
图5为本申请优选实施例的基于云服务器的网络通信方法的流程图;
图6为本申请具体实施例中实际应用场景中网络通信系统的示意图;
图7为本申请实施例的基于云服务器的网络通信方法的终端的硬件结构框图;
图8为本申请实施例的基于云服务器的网络通信装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请所描述的各种技术,可以但不仅限于应用于各种网络通信平台、设备以及系统。
图1为本申请实施例的基于云服务器的网络通信方法的流程图,如图1所示,该流程包括如下步骤:
步骤S110,在云端搭建虚拟网络;虚拟网络包括云服务器和虚拟网关。
虚拟网络是一种包含至少部分是虚拟网络链接的计算机网络。虚拟网络链接是在两个计算设备间不包含物理连接,而是通过网络虚拟化来实现。
虚拟网络可以理解为在云端搭建的私有网络。用户可以自定义虚拟网络的网络架构。其中,云服务器相当于虚拟网络中的终端设备,通过对分配好的虚拟网络IP地址段进行划分,以确保虚拟网络中的多个云服务器之间可以通过虚拟网络IP地址互相访问。
云服务器(Elastic Compute Service,简称ECS)是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。其管理方式比物理服务器更简单高效。用户无需提前购买硬件,即可迅速创建或释放任意多台云服务器。
虚拟网络还包括虚拟交换机和虚拟路由器,虚拟交换机和虚拟路由器用于实现虚拟网络中各个IP地址段之间的网络通信与数据传输。
步骤S120,配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网络与云下网络之间的通信通道。
IPSEC VPN(Internet Protocol Security VPN,简称IPSEC VPN)表示采用IPSec协议来实现远程接入的一种VPN技术。IPSEC VPN是由IETF(Internet Engineering TaskForce,简称IETF)定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全(在两个公共网关间提供私密数据封包服务)。
通过配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网关与云下安全设备之间的VPN加密通道,即虚拟网络与云下网络之间的通信通道,从而可以保证虚拟网络与云下网络之间网络通信与数据传输的安全性。
步骤S130,通过通信通道,访问云服务器。
需要说明的是,虚拟网关可以理解为虚拟网络的外网出口。通过构建虚拟网关与云下安全设备之间的VPN加密通道,以实现虚拟网络和云下网络之间的网络通信和数据传输。
虚拟网络通过该VPN加密通道将第一数据包发送至该云下安全设备,云下安全设备对第一数据包进行清洗后,将清洗后的第一数据包通过内网网关和内网交换机转发至云下网络中的各个内网设备。云下网络通过该VPN加密通道将第二数据包发送至该云下安全设备,云下安全设备对第二数据包进行清洗后,将清洗后的第二数据包通过虚拟网关和虚拟交换机转发至虚拟网络中各个云服务器的业务端口。
通过上述步骤S110至步骤S130,在云端搭建虚拟网络;虚拟网络包括云服务器和虚拟网关;配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网络与云下网络之间的通信通道;通过通信通道,访问云服务器。本申请通过配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网关与云下安全设备之间的VPN加密通道,即虚拟网络与云下网络之间的通信通道,打通了云上云下网络,使得虚拟网络与云下网络可以通过该VPN加密通道进行网络通信与数据传输。同时,云下网络通过该VPN加密通道向虚拟网络传输数据时,传输的数据需要经过云下安全设备的清洗,实现了通过复用云下安全设备,向云服务器提供安全保障与防护,使得用户不需要额外购置昂贵的云安全组件,实现了在提高云服务器的安全性的同时降低了云服务器的运营成本,解决了相关技术中,无法兼顾提高云服务器的安全性和降低运营成本的问题。
在其中一些实施例中,云下安全设备为云下出口防火墙设备,该云下出口防火墙设备设置在虚拟网络与云下网络之间。
需要说明的是,该云下安全设备可以是云下出口防火墙设备,也可以是云下网络中的其他安全设备,本实施例不作限制。
在其中一些实施例中,虚拟网络与云下网络在不同网段。
需要说明的是,由于如果虚拟网络与云下网络在同一网段,会导致无法配置虚拟网关与云下安全设备之间的IPSEC VPN,因此在实际操纵时需保证虚拟网络与云下网络在不同网段。
在其中一些实施例中,采用多重认证方式,配置虚拟网关与云下安全设备之间的IPSEC VPN,其中,虚拟网关与云下安全设备的加密方式和密钥均相同。
本实施例通过采用多重认证方式,配置虚拟网关与云下安全设备之间的IPSECVPN,可以进一步提高虚拟网络与云下网络之间网络通信与数据传输的安全性。
在其中一些实施例中,图2为本申请实施例中测试云下网络是否能成功访问云服务器的流程图,如图2所示,该流程包括如下步骤:
步骤S210,测试云下网络是否能成功访问云服务器,以判断虚拟网关与云下安全设备之间的IPSEC VPN配置是否成功。
步骤S220,若云下网络能成功访问云服务器,则确定虚拟网关与云下安全设备之间的IPSEC VPN配置成功。
步骤S230,若云下网络不能访问云服务器,则确定虚拟网关与云下安全设备之间的IPSEC VPN配置失败,并重新配置虚拟网关与云下安全设备之间的IPSEC VPN,直至测试到云下网络能成功访问云服务器。
通过上述步骤S210至步骤S230,测试云下网络是否能成功访问云服务器,以判断虚拟网关与云下安全设备之间的IPSEC VPN配置是否成功;若云下网络能成功访问云服务器,则确定虚拟网关与云下安全设备之间的IPSEC VPN配置成功;若云下网络不能访问云服务器,则确定虚拟网关与云下安全设备之间的IPSEC VPN配置失败,并重新配置虚拟网关与云下安全设备之间的IPSEC VPN,直至测试到云下网络能成功访问云服务器。本实施例通过测试云下网络是否能成功访问云服务器,以保证通信通道的有效性和可靠性,使得虚拟网络与云下网络可以顺利通过该通信通道进行网络通信与数据传输。
在其中一些实施例中,图3为本申请实施例中配置虚拟网络与云下网络之间的双向地址转换的流程图,如图3所示,该流程包括如下步骤:
步骤S310,通过云下安全设备进行虚拟网络与云下网络之间的双向地址转换配置,得到虚拟网络与云下网络之间的地址映射表。
其中,地址映射表包括虚拟网络所在的第一网络IP段映射到云下网络中的云下网络IP地址段,以及云下网络所在的第二网络IP段映射到云下网络中的虚拟网络IP地址段。其中,第一网络IP段和第二网络IP段在不同网段。
步骤S320,根据地址映射表,将云服务器的域名解析到云下外网地址,并对云服务器的域名以及运营商进行备案处理。
域名可以通过云上平台直接购买,购买后可申请免费的SSL证书,并将SSL证书与域名进行绑定。域名备案可以根据云下使用的运营商网络选择到不同运营商进行备案,最终以域名网站信息为准。云上购买的域名可以通过云上域名解析模块将云服务器的域名解析到云下外网地址,即域名对应的IP地址填写云下外网出口地址。
步骤S330,关闭云服务器的对外服务端口,对外服务端口包括针对虚拟网络的第一对外服务端口和针对云下网络的第二对外服务端口中的至少之一。
由于在购买云服务器时通常会附带一个外网地址,即使打通云上云下,云服务器的自带外网地址依然可以访问,这就增加了黑客通过该外网地址对应的网络端口攻击云服务器的风险,因此需要关闭该外网地址对应的网络端口,以确保所有数据流量都经过云下安全设备的清洗,避免黑客扫描到云服务器的自带外网地址进行攻击。
通过上述步骤S310至步骤S330,通过根据云下安全设备进行虚拟网络与云下网络之间的双向地址转换配置,将云服务器的域名解析到云下外网地址,并关闭云服务器的对外服务端口,以确保所有数据流量都经过云下安全设备的清洗。通过云上云下的打通和云服务器的域名解析到云下地址的操作,使得所有访问流量通过云下网管转到VPN加密通道进行云服务器访问,此过程中所有访问流量都需要经过了云下出口防火墙设备以及入侵防御等安全设备的清洗,可以避免绝大多数的网络攻击,可以进一步提高云服务器的安全性。
在其中一些实施例中,在云下网络发布云服务器的第二对外服务端口;向第二对外服务端口发送流量包,并对第二对外服务端口反馈的流量包进行分析,以测试云下网络访问第二对外服务端口的连通性。
本实施例通过测试云下网络访问第二对外服务端口的连通性,以保证通信通道的有效性和可靠性,使得虚拟网络与云下网络可以顺利通过该通信通道进行网络通信与数据传输。
在其中一些实施例中,图4为本申请实施例中云服务器从外部网络上下载所需要资源的流程图,如图4所示,该流程包括如下步骤:
步骤S410,选取一台云服务器作为资源跳板机。
步骤S420,在资源跳板机上创建私有库。
步骤S430,通过资源跳板机访问外部网络,以从外部网络上下载需要的资源,并将下载的资源存储至私有库。
需要说明的是,在这个过程中,这台资源跳板机可能会直接被黑客攻击,但是这台资源跳板机上没有存储重要的数据,只有从外网下载的资源。而将重要的数据存储在业务云服务器中,黑客无法直接跳过云下安全设备访问业务云服务器,通信数据包必须经过云下安全设备的清洗才能进入业务云服务器的对外业务端口。
通过上述步骤S410至步骤S430,选取一台云服务器作为资源跳板机;在资源跳板机上创建私有库;通过资源跳板机访问外部网络,以从外部网络上下载需要的资源,并将下载的资源存储至私有库。本实施通过选取一台云服务器作为资源跳板机,从而通过资源跳板机访问外部网络,以从外部网络上下载需要的资源,并在资源跳板机上创建私有库,以将下载的资源存储至私有库,实现了在确保其他云服务器的安全性的同时,又可以通过资源跳板机获取所需外网资源。
在其中一些实施例中,在云下网络中设置上网行为管理设备,以通过上网行为管理设备配置云服务器的访问流量控制,或者限制云下网络访问云服务器对外服务端口的途径。
例如,当检测到某一IP地址对应的设备访问云服务器的次数大于或者等于预设次数阈值,则限制该某一IP地址对应的设备访问云服务器,或者关闭该云服务器的对外服务端口。又例如,当检测到某一IP地址对应的设备访问流量大于或者等于预设流量阈值,则限制该某一IP地址对应的设备访问云服务器,或者关闭该云服务器的对外服务端口。
本实施例通过在云下网络中设置上网行为管理设备,以通过上网行为管理设备配置云服务器的访问流量控制,或者限制云下网络访问云服务器对外服务端口的途径,可以避免云服务器被云下网络攻击,从而进一步提高云服务器的安全性。
下面通过优选实施例对本申请实施例进行描述和说明。
图5为本申请优选实施例的基于云服务器的网络通信方法的流程图,如图5所示,该基于云服务器的网络通信方法包括如下步骤:
步骤S510,在云端搭建虚拟网络;虚拟网络包括云服务器和虚拟网关。
步骤S520,配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网络与云下网络之间的通信通道;虚拟网络与云下网络在不同网段。
步骤S530,通过云下安全设备进行虚拟网络与云下网络之间的双向地址转换配置,得到虚拟网络与云下网络之间的地址映射表。
步骤S540,根据地址映射表,将云服务器的域名解析到云下外网地址,并对云服务器的域名以及运营商进行备案处理。
步骤S550,关闭云服务器的对外服务端口,并通过通信通道,访问云服务器。
下面通过一个具体实施例对本申请实施例作进一步描述和说明。
图6为本申请具体实施例中实际应用场景中网络通信系统的示意图,如图6所示,网络通信系统包括云下网络、搭建在云端的虚拟网络(即图6中的云上虚拟网络)以及设置在虚拟网络与云下网络之间的云下出口防火墙设备(图6中未显示),其中,虚拟网络包括业务云服务器、测试云服务器和资源跳板机、虚拟交换机和虚拟网关;云下网络包括内网网关、上网行为管理设备、内网交换机、无线控制器、集电器、办公PC和办公无线,该基于云服务器的网络通信方法包括如下步骤:
(1)在云端搭建虚拟网络;虚拟网络包括业务云服务器、测试云服务器和资源跳板机、虚拟交换机和虚拟网关。
需要说明的是,云服务器根据功能可以划分为业务云服务器、测试云服务器和资源跳板机,其中,业务云服务器用于虚拟网络与云下网络之间的网络通信与数据传输,其上存储有重要的数据;测试云服务器用于测试虚拟网络与云下网络之间通信通道的畅通性;资源跳板机用于从外部网络下载所需的网络资源。
(2)配置虚拟网关与云下出口防火墙设备之间的IPSEC VPN,以构建虚拟网络与云下网络之间的通信通道;虚拟网络与云下网络在不同网段。
(3)测试云下网络是否能成功访问测试云服务器,以判断虚拟网关与云下出口防火墙设备之间的IPSEC VPN配置是否成功;若云下网络能成功访问测试云服务器,则确定虚拟网关与云下出口防火墙设备之间的IPSEC VPN配置成功;若云下网络不能访问测试云服务器,则确定虚拟网关与云下出口防火墙设备之间的IPSEC VPN配置失败,并重新配置虚拟网关与云下出口防火墙设备之间的IPSEC VPN,直至测试到云下网络能成功访问测试云服务器。
(3)通过云下出口防火墙设备进行虚拟网络与云下网络之间的双向地址转换配置,得到虚拟网络与云下网络之间的地址映射表;根据地址映射表,将业务云服务器和测试云服务器的域名解析到云下外网地址,并根据运营商对业务云服务器和测试云服务器的域名进行备案处理;关闭业务云服务器和测试云服务器的对外服务端口,对外服务端口包括针对虚拟网络的第一对外服务端口和针对云下网络的第二对外服务端口中的至少之一。
(4)在云下网络发布业务云服务器和测试云服务器的第二对外服务端口;向测试云服务器的第二对外服务端口发送流量包,并对测试云服务器的第二对外服务端口反馈的流量包进行分析,以测试云下网络访问测试云服务器的第二对外服务端口的连通性。
(5)测试完毕后,可以通过该通信通道,访问业务云服务器和测试云服务器的对外服务端口。
(6)选取一台云服务器作为资源跳板机;在资源跳板机上创建yum,maven等私有库;通过资源跳板机访问外部网络,以从外部网络上下载需要的资源,并将下载的资源存储至私有库。
(7)在云下网络中设置上网行为管理设备,以通过上网行为管理设备配置业务云服务器和测试云服务器的访问流量控制,或者限制云下网络访问业务云服务器的对外服务端口和测试云服务器的对外服务端口的途径。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,结合图2,步骤S220和步骤S230的执行顺序可以互换,即可以先执行步骤S220,然后执行步骤S230;也可以先执行步骤S230,然后执行步骤S220。再例如,结合图3,步骤S320和步骤S330的顺序也可以互换。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图7为本申请实施例的基于云服务器的网络通信方法的终端的硬件结构框图。如图7所示,终端70可以包括一个或多个(图7中仅示出一个)处理器702(处理器702可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器704,可选地,上述终端还可以包括用于通信功能的传输设备706以及输入输出设备708。本领域普通技术人员可以理解,图7所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端70还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。
存储器704可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的基于云服务器的网络通信方法对应的计算机程序,处理器702通过运行存储在存储器704内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器704可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器704可进一步包括相对于处理器702远程设置的存储器,这些远程存储器可以通过网络连接至终端70。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备706用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端70的通信供应商提供的无线网络。在一个实例中,传输设备706包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备706可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例还提供了一种基于云服务器的网络通信装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图8为本申请实施例的基于云服务器的网络通信装置的结构框图,如图8所示,该装置包括:
网络搭建模块810,用于在云端搭建虚拟网络;虚拟网络包括云服务器和虚拟网关。
VPN配置模块820,用于配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网络与云下网络之间的通信通道。
网络通信模块830,用于通过通信通道,访问云服务器。
在其中一些实施例中,虚拟网络与云下网络在不同网段。
在其中一些实施例中,VPN配置模块820还用于采用多重认证方式,配置虚拟网关与云下安全设备之间的IPSEC VPN,其中,虚拟网关与云下安全设备的加密方式和密钥均相同。
在其中一些实施例中,该基于云服务器的网络通信装置还包括访问测试模块,访问测试模块包括访问测试单元、第一处理单元以及第二处理单元,其中:
访问测试单元,用于测试云下网络是否能成功访问云服务器,以判断虚拟网关与云下安全设备之间的IPSEC VPN配置是否成功。
第一处理单元,用于若云下网络能成功访问云服务器,则确定虚拟网关与云下安全设备之间的IPSEC VPN配置成功。
第二处理单元,用于若云下网络不能访问云服务器,则确定虚拟网关与云下安全设备之间的IPSEC VPN配置失败,并重新配置虚拟网关与云下安全设备之间的IPSEC VPN,直至测试到云下网络能成功访问云服务器。
在其中一些实施例中,该基于云服务器的网络通信装置还包括通讯配置模块,通讯配置模块包括地址转换单元、解析备案单元和端口关闭单元,其中:
地址转换单元,用于通过云下安全设备进行虚拟网络与云下网络之间的双向地址转换配置,得到虚拟网络与云下网络之间的地址映射表。
解析备案单元,用于根据地址映射表,将云服务器的域名解析到云下外网地址,并对云服务器的域名以及运营商进行备案处理。
端口关闭单元,用于关闭云服务器的对外服务端口,对外服务端口包括针对虚拟网络的第一对外服务端口和针对云下网络的第二对外服务端口中的至少之一。
在其中一些实施例中,该基于云服务器的网络通信装置还包括端口测试模块,端口测试模块包括端口发布单元和端口测试单元,其中:
端口发布单元,用于在云下网络发布云服务器的第二对外服务端口。
端口测试单元,用于向第二对外服务端口发送流量包,并对第二对外服务端口反馈的流量包进行分析,以测试云下网络访问第二对外服务端口的连通性。
在其中一些实施例中,该基于云服务器的网络通信装置还包括资源下载模块,资源下载模块包括选取单元、创建单元和存储下载单元,其中:
选取单元,用于选取一台云服务器作为资源跳板机。
创建单元,用于在资源跳板机上创建私有库。
存储下载单元,用于通过资源跳板机访问外部网络,以从外部网络上下载需要的资源,并将下载的资源存储至私有库。
在其中一些实施例中,在云下网络中设置上网行为管理设备,以通过上网行为管理设备配置云服务器的访问流量控制,或者限制云下网络访问云服务器对外服务端口的途径。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,在云端搭建虚拟网络;虚拟网络包括云服务器和虚拟网关。
S2,配置虚拟网关与云下安全设备之间的IPSEC VPN,以构建虚拟网络与云下网络之间的通信通道。
S3,通过通信通道,访问云服务器。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的基于云服务器的网络通信方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种基于云服务器的网络通信方法。
本领域的技术人员应该明白,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于云服务器的网络通信方法,其特征在于,包括:
在云端搭建虚拟网络;所述虚拟网络包括云服务器和虚拟网关;
配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道;
通过所述云下安全设备进行所述虚拟网络与所述云下网络之间的双向地址转换配置,得到所述虚拟网络与所述云下网络之间的地址映射表;根据所述地址映射表,将所述云服务器的域名解析到云下外网地址,并对所述云服务器的域名以及运营商进行备案处理;关闭所述云服务器的对外服务端口,所述对外服务端口包括针对所述虚拟网络的第一对外服务端口和针对云下网络的第二对外服务端口中的至少之一;
通过所述通信通道,访问所述云服务器。
2.根据权利要求1所述的基于云服务器的网络通信方法,其特征在于,所述虚拟网络与所述云下网络在不同网段。
3.根据权利要求1所述的基于云服务器的网络通信方法,其特征在于,所述方法还包括:
采用多重认证方式,配置所述虚拟网关与云下安全设备之间的IPSEC VPN,其中,所述虚拟网关与所述云下安全设备的加密方式和密钥均相同。
4.根据权利要求1所述的基于云服务器的网络通信方法,其特征在于,在所述配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道之后,所述方法还包括:
测试所述云下网络是否能成功访问所述云服务器,以判断所述虚拟网关与所述云下安全设备之间的IPSEC VPN配置是否成功;
若所述云下网络能成功访问所述云服务器,则确定所述虚拟网关与所述云下安全设备之间的IPSEC VPN配置成功;
若所述云下网络不能访问所述云服务器,则确定所述虚拟网关与所述云下安全设备之间的IPSEC VPN配置失败,并重新配置所述虚拟网关与云下安全设备之间的IPSEC VPN,直至测试到所述云下网络能成功访问所述云服务器。
5.根据权利要求1所述的基于云服务器的网络通信方法,其特征在于,所述方法还包括:
在所述云下网络发布所述云服务器的第二对外服务端口;
向所述第二对外服务端口发送流量包,并对所述第二对外服务端口反馈的流量包进行分析,以测试云下网络访问所述第二对外服务端口的连通性。
6.根据权利要求5所述的基于云服务器的网络通信方法,其特征在于,所述方法还包括:
选取一台云服务器作为资源跳板机;
在所述资源跳板机上创建私有库;
通过所述资源跳板机访问外部网络,以从所述外部网络上下载需要的资源,并将下载的资源存储至所述私有库。
7.根据权利要求1所述的基于云服务器的网络通信方法,其特征在于,所述方法还包括:
在所述云下网络中设置上网行为管理设备,以通过所述上网行为管理设备配置所述云服务器的访问流量控制,或者限制所述云下网络访问所述云服务器对外服务端口的途径。
8.一种基于云服务器的网络通信装置,其特征在于,包括:
网络搭建模块,用于在云端搭建虚拟网络;所述虚拟网络包括云服务器和虚拟网关;
VPN配置模块,用于配置所述虚拟网关与云下安全设备之间的IPSEC VPN,以构建所述虚拟网络与云下网络之间的通信通道;
网络通信模块,用于通过所述云下安全设备进行所述虚拟网络与所述云下网络之间的双向地址转换配置,得到所述虚拟网络与所述云下网络之间的地址映射表;根据所述地址映射表,将所述云服务器的域名解析到云下外网地址,并对所述云服务器的域名以及运营商进行备案处理;关闭所述云服务器的对外服务端口,所述对外服务端口包括针对所述虚拟网络的第一对外服务端口和针对云下网络的第二对外服务端口中的至少之一;通过所述通信通道,访问所述云服务器。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的基于云服务器的网络通信方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的基于云服务器的网络通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010914082.6A CN112104490B (zh) | 2020-09-03 | 2020-09-03 | 基于云服务器的网络通信方法、装置和电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010914082.6A CN112104490B (zh) | 2020-09-03 | 2020-09-03 | 基于云服务器的网络通信方法、装置和电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112104490A CN112104490A (zh) | 2020-12-18 |
| CN112104490B true CN112104490B (zh) | 2022-10-21 |
Family
ID=73757103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010914082.6A Active CN112104490B (zh) | 2020-09-03 | 2020-09-03 | 基于云服务器的网络通信方法、装置和电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104490B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114640514B (zh) * | 2022-03-03 | 2023-05-23 | 成都卫士通信息产业股份有限公司 | 安全服务系统、访问控制方法和计算机可读存储介质 |
| CN114826969B (zh) * | 2022-03-17 | 2024-02-06 | 阿里巴巴(中国)有限公司 | 网络连通性检查方法、装置、设备及存储介质 |
| CN115913690B (zh) * | 2022-11-09 | 2024-03-12 | 中国联合网络通信集团有限公司 | 内网上网配置方法、装置、设备及介质 |
| CN116886442B (zh) * | 2023-09-01 | 2023-12-15 | 北京车与车科技有限公司 | 用于异地访问保险公司系统的方法、装置及存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130305344A1 (en) * | 2012-05-14 | 2013-11-14 | Alcatel-Lucent India Limited | Enterprise network services over distributed clouds |
| CN105610675B (zh) * | 2016-01-28 | 2019-05-10 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟vpn网关的创建方法及装置 |
| US9935955B2 (en) * | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
| CN107370715B (zh) * | 2016-05-12 | 2020-09-18 | 深信服科技股份有限公司 | 网络安全防护方法及装置 |
| CN106572120A (zh) * | 2016-11-11 | 2017-04-19 | 中国南方电网有限责任公司 | 一种基于混合云的访问控制方法及系统 |
| CN106603659B (zh) * | 2016-12-13 | 2019-08-23 | 南京邮电大学 | 一种智能制造专网数据采集调度系统 |
| CN107395593B (zh) * | 2017-07-19 | 2020-12-04 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
| CN107580065B (zh) * | 2017-09-15 | 2019-06-14 | 中国联合网络通信集团有限公司 | 一种私有云接入方法及设备 |
| CN108551464B (zh) * | 2018-03-08 | 2020-12-22 | 网宿科技股份有限公司 | 一种混合云的连接建立、数据传输方法、装置和系统 |
| US10680831B2 (en) * | 2018-08-14 | 2020-06-09 | Juniper Networks, Inc. | Single point of management for multi-cloud environment including route propagation, security, and application deployment |
| CN111193737B (zh) * | 2019-12-30 | 2022-04-05 | 四川虹美智能科技有限公司 | 云服务器的访问方法、系统、OpenVPN服务器和LDAP认证系统 |
-
2020
- 2020-09-03 CN CN202010914082.6A patent/CN112104490B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112104490A (zh) | 2020-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112104490B (zh) | 基于云服务器的网络通信方法、装置和电子装置 | |
| CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
| Ritchey et al. | Representing TCP/IP connectivity for topological analysis of network security | |
| US8429403B2 (en) | Systems and methods for provisioning network devices | |
| CN104506670B (zh) | 建立网游连接的方法、设备及系统 | |
| Potter et al. | 802.11 Security | |
| CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
| Liyanage et al. | Enhancing security of software defined mobile networks | |
| US20070171834A1 (en) | Method and system for testing provisioned services in a network | |
| CN110351228A (zh) | 远程登录方法、装置和系统 | |
| CN109429272A (zh) | 一种漫游场景下的分流方法及相关设备 | |
| CN106104489A (zh) | 使用云公共消息收发基础结构进行许可 | |
| Hansteen | The book of PF: a no-nonsense guide to the OpenBSD firewall | |
| CN109905474A (zh) | 基于区块链的数据安全共享方法和装置 | |
| CN108737585A (zh) | Ip地址的分配方法及装置 | |
| US20170371697A1 (en) | Test system for testing a computer of a computer system in a test network | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| CN108347731A (zh) | 一种进行安全绑定的方法、介质、设备及终端 | |
| CN109729535A (zh) | 基站开站方法、装置、计算机存储介质及设备 | |
| CN113271299B (zh) | 一种登录方法和服务器 | |
| Muniz et al. | Penetration testing with raspberry pi | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| CN109429225A (zh) | 消息接收、发送方法及装置、终端、网络功能实体 | |
| CN110830419B (zh) | 一种网际协议摄像机的访问控制方法及装置 | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |