CN112738217B - 安全交互系统及方法 - Google Patents
安全交互系统及方法 Download PDFInfo
- Publication number
- CN112738217B CN112738217B CN202011580254.7A CN202011580254A CN112738217B CN 112738217 B CN112738217 B CN 112738217B CN 202011580254 A CN202011580254 A CN 202011580254A CN 112738217 B CN112738217 B CN 112738217B
- Authority
- CN
- China
- Prior art keywords
- flow
- access
- packet
- server
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全交互系统及方法,该系统包括:互联网端、LB资源池、SSL设备、WAF、交换机及服务器;互联网端向LB资源池发送入访流量。LB资源池对SSL设备进行负载分发,并将入访流量发送至SSL设备,SSL设备对入访流量进行解密,LB资源池对WAF进行负载分发,将解密后的入访流量发送至WAF进行安全检测,LB资源池对服务器进行负载分发,将通过安全检测的入访流量经由交换机发送至服务器。当服务器返回回包流量时,根据Autolasthop功能将回包流量返回上游设备,进而将回包流量返回互联网端。应用该系统,在流量入访和回包的过程无需多次经过交换机中的路由策略,简化引流过程,并节约设备资源。
Description
技术领域
本发明涉及数据处理技术领域,特别是涉及一种安全交互系统及方法。
背景技术
随着现有网络中数据流量的快速增长,对后台服务器的处理能力的要求也相应提高,单一的服务器设备很难满足目前的网络需求。因此,为满足网络的需求,通过负载均衡的方式,将数据流量分发至多台服务器,以实现网络与服务器之间的交互。
在现有技术中,为提高互联网与服务器之间交互的安全性,采用负载均衡器LB、安全套接字协议SSL设备、web应用防火墙WAF和交换机组成一个安全交互架构,由该安全交互架构实现流量入访和回包。其中,流量入访指的是数据流量从网络到服务器的过程,流量回包指的是数据流量从服务器到网络的过程。在现有技术的安全交互架构中,需要部署多个交换机,导致安全交互系统所需要成本过高,且在流量入访时,负载均衡器所需要转发的流量数据都要经三层结构的交换机,导致流量回包时需要经过交换机中设置的三层策略路由,而三层架构的引流方式在实际应用中需要进行路由表维护、计算和确定等多方面复杂的过程,从而导致流量回包过程也过于复杂,容易导致回包过程出错。
发明内容
有鉴于此,本发明提供一种安全交互系统,通过该系统无需部署多个交换机,以解决交换机上策略路由引流的复杂问题。
一种安全交互系统,包括:
互联网端、负载均衡LB资源池、安全套接字协议SSL设备集群、web应用防火墙WAF集群、交换机及服务器组;
所述SSL设备集群包括至少一个SSL设备;
所述WAF集群包括至少一个WAF;
所述服务器组包括至少一个服务器;
所述LB资源池连接各个SSL设备及各个WAF;
所述互联网端,用于当所述互联网端需要与服务器进行交互时,向所述LB资源池发送第一入访流量,并接收所述LB资源池发送的,由任意一个服务器反馈的所述第一入访流量对应的第一回包流量;
所述LB资源池,用于在接收到所述互联网端发送的第一入访流量时,对各个所述SSL设备进行负载分发,将所述第一入访流量发送至各个所述SSL设备;在接收到任意一个SSL设备返回的所述第一入访流量对应的第二入访流量时,对各个所述WAF进行负载分发,将所述第二入访流量发送至各个所述WAF;在接收到任意一个WAF返回所述第二入访流量时,对各个所述服务器进行负载分发,获得每个所述服务器的服务器地址,将所述第二入访流量及各个所述服务器地址发送至所述交换机,经由所述交换机将所述第二入访流量发送至各个所述服务器;在接收到任意一个服务器经由所述交换机发送的所述第二入访流量对应的第二回包流量时,启用预先设置的自动上一跳Auto last hop功能,将所述第二回包流量返回各个所述WAF;在接收到任意一个WAF返回所述第二回包流量时,启用所述Auto lasthop功能,将所述第二回包流量返回各个所述SSL设备;在接收到任意一个SSL设备返回的所述第二回包流量对应的第一回包流量时,启用所述Auto last hop功能,将所述第一回包流量返回所述互联网端;
每个所述SSL设备,用于接收所述LB资源池发送的第一入访流量,并对所述第一入访流量进行解密,获得第二入访流量,将所述第二入访流量返回所述LB资源池;在接收到所述LB资源池发送的第二回包流量时,对所述第二回包流量进行加密,获得第一回包流量,并将所述第一回包流量返回所述LB资源池;
每个所述WAF,用于接收所述LB资源池发送的第二入访流量,应用预先设置的安全策略,对所述第二入访流量进行安全检测;当通过对所述第二入访流量的安全检测时,将所述第二入访流量返回所述LB资源池;在接收到所述LB资源池发送的第二回包流量时,对所述第二回包流量进行安全检测,当通过对所述第二回包流量的安全检测时,将所述第二回包流量返回所述LB资源池;
所述交换机,用于在接收到所述LB资源池发送的各个服务器地址及第二入访流量时,基于各个所述服务器地址,应用所述交换机的三层架构中预设的虚拟局域网VLAN间路由,将所述第二入访流量转发至各个所述服务器;在接收到任意一个服务器发送的第二回包流量时,应用所述VLAN间路由,将所述第二回包流量转发至所述LB资源池;
每个所述服务器,用于接收所述交换机发送的第二入访流量,并基于所述第二入访流量生成第二回包流量,将所述第二回包流量发送至所述交换机。
上述的安全交互系统,可选的,所述LB资源池,包括:
第一负载均衡器、第二负载均衡器和第三负载均衡器;
所述第一负载均衡器,用于接收所述互联网端发送的第一入访流量,对各个所述SSL设备进行负载分发,获取每个所述SSL设备对应的SSL地址,基于各个所述SSL地址,将所述第一入访流量发送至各个所述SSL设备;当接收任意一个SSL设备发送的第一回包流量时,启用所述第一负载均衡器内设置的Auto lasthop功能,将所述第一回包流量返回所述互联网端;
第二负载均衡器,用于接收任意一个SSL设备发送的第二入访流量,对各个所述WAF进行负载分发,获得每个所述WAF对应的WAF地址,基于各个所述WAF地址,将所述第二入访流量发送至各个所述WAF;当接收到任意一个WAF发送的第二回包流量时,启用所述第二负载均衡器内设置的Auto lasthop功能,将所述第二回包流量返回各个所述SSL设备;
第三负载均衡器,用于接收任意一个WAF发送的第二入访流量,并获取每个所述服务器的服务器地址,将所述第二入访流量及各个所述服务器地址发送至所述交换机,使得所述交换机基于各个所述服务器地址将所述第二入访流量转发至各个所述服务器;当接收到所述交换机发送的第二回包流量时,启用所述第三负载均衡器内设置的Auto lasthop功能,将所述第二回包流量返回各个所述WAF。
上述的安全交互系统,可选的,所述第一负载均衡器,包括:
第一虚拟服务和第一功能模块;
所述第一虚拟服务,用于接收所述互联网端发送的第一入访流量,并对各个所述SSL设备进行负载分发,将所述第一入访流量指向各个所述SSL设备;
所述第一功能模块,用于当接收到任一SSL设备发送的第二回包流量时,启用Autolast hop功能,将所述第二回包流量返回至所述互联网端。
上述的安全交互系统,可选的,所述第二负载均衡器,包括:
第二虚拟服务和第二功能模块;
所述第二虚拟服务,用于当接收到任一SSL设备发送的第二入访流量时,对各个所述WAF进行负载分发,将所述第二入访流量指向各个所述WAF;
所述第二功能模块,用于当接收到任一WAF发送的第二回包流量时,启用Autolasthop功能,将所述第二回包流量返回所述SSL设备。
上述的安全交互系统,可选的,所述第三负载均衡器,包括:
第三虚拟服务和第三功能模块;
所述第三虚拟服务,用于当接收到任一WAF发送的第二入访流量时,对各个所述服务器进行负载分发,将待发送至各个服务器的第二入访流量指向所述交换机;
所述第二功能模块,用于当接收到所述交换机发送的第二回包流量时,启用Autolast hop功能,将所述第二回包流量返回所述WAF。
上述的安全交互系统,可选的,当所述第一负载均衡器获得各个所述SSL地址时;所述第一负载均衡器与所述交换机进行二层互联,以经过二层交换机及各个所述SSL地址将所述第一入访流量转发至各个所述SSL设备。
上述的安全交互系统,可选的,当所述第二负载均衡器获得各个所述WAF地址时;所述第二负载均衡器与所述交换机进行二层互联,以经过二层交换机及各个所述WAF地址将所述第二入访流量转发至各个所述WAF。
上述的安全交互系统,可选的,还包括:
核心交换机CSW;
所述CSW,用于接收所述互联网端发送的第一入访流量,并将所述第一入访流量转发至所述LB资源池;当接收到所述LB资源池发送的第一回包流量时,将所述第一回包流量发送至所述互联网端。
上述的安全交互系统,可选的,还包括:
服务器接入交换机DSW;
所述DSW,用于接收所述交换机发送的第二入访流量,并将所述第二入访流量转发至各个所述服务器;当接收到任一服务器发送的第二回包流量时,将所述第二回包流量发送至所述交换机。
一种安全交互方法,所述方法应用于LB资源池,所述方法包括:
当互联网端向所述LB资源池发送第一入访流量时,对预先设置的各个SSL设备进行负载分发,并将所述第一入访流量发送至各个所述SSL设备;
当接收到任一SSL设备发送的所述第一入访流量对应的第二入访流量时,对预先设置的各个WAF进行负载分发,将所述第二入访流量发送至各个所述WAF;
当所述WAF通过对所述第二入访流量的安全检测时,对预先设置的各个服务器进行负载分发,获得每个所述服务器的服务器地址;
将各个所述服务器地址及所述第二入访流量发送至预先设置的交换机,触发所述交换机基于各个所述服务器地址,将所述第二入访流量转发至各个所述服务器;
当接收到任一服务器经由所述交换机发送的,所述第二入访流量对应的第二回包流量时,启用预先设置的Auto lasthop功能,基于所述Auto lasthop功能将所述第二回包流量返回各个所述WAF;
当任一WAF通过对所述第二回包流量的安全检测时,基于所述Auto last hop功能,将所述第二回包流量返回各个所述SSL设备;
当接收到任一SSL设备发送的所述第二回包流量对应的第一回包流量时,基于所述Auto lasthop功能,将所述第一回包流量返回所述互联网端,完成所述互联网端与所述服务器之间的安全交互过程。
与现有技术相比,本发明包括以下优点:
本发明提供了一种安全交互系统,包括:互联网端、LB资源池、多个SSL设备、多个WAF、交换机及多个服务器;互联网端向LB资源池发送入访流量,并接收服务器反馈的经由LB资源池反馈的回包流量。LB资源池对SSL设备进行负载分发,并将入访流量发送至SSL设备,SSL设备对入访流量进行解密,LB资源池对WAF进行负载分发,将解密后的入访流量发送至WAF进行安全检测,LB资源池对各个服务器进行负载分发,将通过安全检测的入访流量经由交换机发送至各个服务器。当服务器返回回包流量时,根据Auto lasthop功能将回包流量返回上游设备,进而将回包流量返回互联网端。应用本发明提供的系统,在流量入访和回包的过程无需多次经过交换机中的路由策略,简化引流过程,并节约设备资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种安全交互系统的系统结构图;
图2为本发明实施例提供的一种安全交互系统的另一系统结构图;
图3为本发明实施例提供的一种安全交互方法的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本发明实施例提供了一种安全交互方法,该方法可以应用在多种系统平台,其执行主体可以为计算机终端或各种移动设备的处理器,所述方法的方法流程图如图1所示,具体包括:
互联网端100、负载均衡LB资源池200、安全套接字协议SSL设备集群300、web应用防火墙WAF集群400、交换机500及服务器组600;
所述SSL设备集群包括至少一个SSL设备301;
所述WAF集群包括至少一个WAF401;
所述服务器组包括至少一个服务器601;
所述LB资源池200连接各个SSL设备301及各个WAF401;
所述互联网端100,用于当所述互联网端100需要与服务器601进行交互时,向所述LB资源池200发送第一入访流量,并接收所述LB资源池200发送的,由任意一个服务器反馈的所述第一入访流量对应的第一回包流量;
所述LB资源池200,用于在接收到所述互联网端100发送的第一入访流量时,对各个所述SSL设备301进行负载分发,将所述第一入访流量发送至各个所述SSL设备301;在接收到任意一个SSL设备301返回的所述第一入访流量对应的第二入访流量时,对各个所述WAF401进行负载分发,将所述第二入访流量发送至各个所述WAF401;在接收到任意一个WAF401返回所述第二入访流量时,对各个所述服务器601进行负载分发,获得每个所述服务器601的服务器地址,将所述第二入访流量及各个所述服务器地址发送至所述交换机50,经由所述交换机50将所述第二入访流量发送至各个所述服务器601;在接收到任意一个服务器601经由所述交换机500发送的所述第二入访流量对应的第二回包流量时,启用预先设置的自动上一跳Auto last hop功能,将所述第二回包流量返回各个所述WAF401;在接收到任意一个WAF401返回所述第二回包流量时,启用所述Auto last hop功能,将所述第二回包流量返回各个所述SSL设备301;在接收到任意一个SSL设备301返回的所述第二回包流量对应的第一回包流量时,启用所述Auto lasthop功能,将所述第一回包流量返回所述互联网端100;
每个所述SSL设备301,用于接收所述LB资源池200发送的第一入访流量,并对所述第一入访流量进行解密,获得第二入访流量,将所述第二入访流量返回所述LB资源池200;在接收到所述LB资源池200发送的第二回包流量时,对所述第二回包流量进行加密,获得第一回包流量,并将所述第一回包流量返回所述LB资源池200;
每个所述WAF401,用于接收所述LB资源池200发送的第二入访流量,应用预先设置的安全策略,对所述第二入访流量进行安全检测;当通过对所述第二入访流量的安全检测时,将所述第二入访流量返回所述LB资源池200;在接收到所述LB资源池200发送的第二回包流量时,对所述第二回包流量进行安全检测,当通过对所述第二回包流量的安全检测时,将所述第二回包流量返回所述LB资源池200;
所述交换机500,用于在接收到所述LB资源池200发送的各个服务器地址及第二入访流量时,基于各个所述服务器地址,应用所述交换机500的三层架构中预设的虚拟局域网VLAN间路由,将所述第二入访流量转发至各个所述服务器600;在接收到任意一个服务器600发送的第二回包流量时,应用所述VLAN间路由,将所述第二回包流量转发至所述LB资源池200;
每个所述服务器601,用于接收所述交换机500发送的第二入访流量,并基于所述第二入访流量生成第二回包流量,将所述第二回包流量发送至所述交换机。
本发明实施例提供的安全交互系统中,该系统中的各个设备可以实现流量入访和流量回包的过程。其中,流量入访的过程为:
互联网端100在需要与服务器进行数据流量的交互时,生成对应的第一入访流量。例如,用户需要通过互联网端100访问服务器时,互联网端100对应生成用户的访问数据。互联网端100将第一入访流量发送至LB资源池200中,该LB资源池200具有负载均衡的功能,能够将入访流量或回包流量通过负载分发的方式分发至多个设备中。当LB资源池200接收到第一入访流量时,对各个SSL设备301进行负载分发。其中,该第一入访流量为加密数据,在将第一入访流量发送至服务器601时,需要对该第一入访流量进行解密。SSL设备301应用于网络的传输层和应用层,可以对网络进行加密和解密,在将第一入访流量发送至SSL设备301后,SSL设备301对第一入访流量进行解密,获得明文形式的第二入访流量。为保证数据传输的安全性,在向服务器601发送入访流量前,需要对第二入访流量进行安全认证。当SSL设备301对第一入访流量进行解密后,SSL设备301将第二入访流量主动发送至LB资源池200,LB资源池200对WAF集群400中的各个WAF401进行负载分发,将该第二入访流量发送至各个WAF401,WAF401在接收到第二入访流量后,对第二入访流量进行安全检测,该WAF401内设置有对应的安全策略,通过该安全策略检测第二入访流量中的各个字符串、数据头以及流量内容等信息是否符合该安全策略中设定的传输规则,若符合,则表征该第二入访流量安全。当WAF401通过对第二入访流量的检测,将该第二入访流量发送至LB资源池200,LB资源池200对各个服务器601进行负载分发,以获得每个服务器601的服务器地址,将各个服务器地址及第二入访流量发送至交换机500,具体是将第二入访流量发送至交换机的三层架构中。交换机500的三层架构具有部分路由功能,其内部设置有对应的路由策略,该交换机预设的VLAN间路由根据每个服务器地址,查找每个服务器对应的接口,以将第二入访流量转发至各个服务器601。当服务器接收到第二入访流量,结束流量入访的过程。
流量回包的过程为:
当服务器组600中任意的服务器601接收到第二入访流量后,针对该第二入访流量生成对该互联网端100进行响应的第二回包流量,并将该第二回包流量按照第二入访流量的原路径返回至上一级设备,即,将第二入访流量发送至交换机500。交换机500再按照明细路由将第二回包流量发送至LB资源池200。当LB资源池200接收到第二回包流量后,开启Auto lasthop功能,Auto Last Hop是一个全局的设置的功能,用来追踪访问进来的连接所携带的mac地址。当启用Auto Last Hop功能时,LB资源池200将会根据流量入访时的路径,将回包流量返回至互联网端100。因此,当LB资源池200在接收到交换机500发送的第二回包流量时,将该第二回包流量发送至各个WAF401中,WAF401对第二回包流量进行安全检测,其检测过程与第二入访流量的检测过程一致。当任一WAF401通过对第二回包流量的检测后,将其返回至LB资源池200,LB资源池200再通过Auto lasthop功能,将第二回包流量发送至各个SSL设备301。SSL设备301对需要发送至互联网端100的流量进行加密,因此在SSL设备301将第二回包流量加密后,获得对应的第一回包流量,将该第一回包流量返回LB资源池200。LB资源池200在接收到第一回包流量后,通过Auto lasthop功能将该第一回包流量返回互联网端100。互联网端100接收到第一回包流量,结束流量回包的过程。
需要说明的是,该交换机500具体可以是LB交换机。
还需要说明的是,各个SSL设备301以及WAF401中也相对应设置有Auto lasthop功能,通过该auto lasthop功能,在流量回包时按照原先入访的路径将需要回包的流量返回至上一级设备。
可选的,当互联网端100向LB资源池200发送第一入访流量时,可以先将第一入访流量发送至交换机500的二层,由交换机500的二层将第一入访流量转发至LB资源池200。同样的,若第一入访流量由互联网端100经由交换机500的二层向LB资源池200进行发送,则当LB资源池200在获得第一回包流量后,也先将第一回包流量发送至交换机500的二层,再由交换机500的二层转发第一回包流量至互联网端100。
本发明实施例提供的系统中,由流量入访和流量回包的过程构成一个完整的安全交互过程,在流量入访和回包的过程无需多次经过交换机中的路由策略,简化引流过程,并节约设备资源。
参考图2,本发明实施例提供的系统中,所述LB资源池200,包括:
第一负载均衡器201、第二负载均衡器202和第三负载均衡器203;
所述第一负载均衡器201,用于接收所述互联网端100发送的第一入访流量,对各个所述SSL设备301进行负载分发,获取每个所述SSL设备301对应的SSL地址,基于各个所述SSL地址,将所述第一入访流量发送至各个所述SSL设备301;当接收任意一个SSL设备301发送的第一回包流量时,启用所述第一负载均衡器201内设置的Auto lasthop功能,将所述第一回包流量返回所述互联网端100;
第二负载均衡器202,用于接收任意一个SSL设备301发送的第二入访流量,对各个所述WAF401进行负载分发,获得每个所述WAF401对应的WAF地址,基于各个所述WAF地址,将所述第二入访流量发送至各个所述WAF401;当接收到任意一个WAF401发送的第二回包流量时,启用所述第二负载均衡器202内设置的Auto lasthop功能,将所述第二回包流量返回各个所述SSL设备301;
第三负载均衡器203,用于接收任意一个WAF401发送的第二入访流量,并获取每个所述服务器601的服务器地址,将所述第二入访流量及各个所述服务器地址发送至所述交换机500,使得所述交换机500基于各个所述服务器地址将所述第二入访流量转发至各个所述服务器601;当接收到所述交换机500发送的第二回包流量时,启用所述第三负载均衡器203内设置的Auto last hop功能,将所述第二回包流量返回各个所述WAF401。
本发明实施例提供的安全交互系统中,LB资源池200设置有第一负载均衡器201、第二负载均衡器202和第三负载均衡器203。其中,在流量入访的过程中,第一负载均衡器201接收互联网端100发送的第一入访流量,第一负载均衡器201在接收到第一入访流量后,对各个SSL设备301进行负载分发,获得各个SSL设备301的SSL地址,基于各个SSL地址,将去往SSL设备的第一入访流量指向各个SSL设备301。每个SSL设备301中预先存储有第二负载均衡器202的设备地址,当SSL设备301在接收到第一入访流量,并对第一入访流量进行解密获得第二入访流量后,根据第二负载均衡器的设备地址,将第二入访流量发送至第二负载均衡器202。第二负载均衡器202在接收到第二入访流量后,对各个WAF401进行负载分发,获得每个WAF401的WAF地址。基于各个WAF地址,将第二入访流量发送至各个WAF401。每个WAF401中预先存储第三负载均衡器203的设备地址,当WAF401在接收到第二入访流量后,对第二入访流量进行安全检测,当通过对第二入访流量的安全检测后,WAF401基于第三负载均衡器地址将第二入访流量发送至第三负载均衡器203,第三负载均衡器203对各个服务器601进行负载分发,将去往各个服务器601的服务器地址发送至交换机500,交换机500在接收到各个服务器601的服务器地址后,通过WLAN间路由将第二入访流量发送至各个服务器601。针对流量回包过程,服务器601通过默认路由将返回互联网端100的第二回包流量指向交换机500,交换机500通过明细路由将服务器601返回互联网端100的第二回包流量指向第三负载均衡器203,第三负载均衡器203通过auto lasthop功能将需要返回互联网端100的第二回包流量自动返回给WAF401,WAF401对第二回包流量进行安全检测,并检测通过后,应用auto last hop功能将返回互联网端的第二回包流量自动返回给第二负载均衡器202。第二负载均衡器202通过auto lasthop功能将返回互联网端100的流量自动返回给各个SSL设备301,SSL设备301对第二回包流量进行加密后获得第一回包流量,并应用auto lasthop功能将返回互联网端100的流量自动返回给第一负载均衡器201,第一负载均衡器201通过auto lasthop功能将返回互联网端100的流量自动返回给互联网端100。
需要说明的是,第一负载均衡器201对各个SSL设备301进行负载分发后,获得各个SSL地址,并将去往各个SSL设备301的第一入访流量通过明细路由指向每个SSL地址对应的SSL设备301;第二负载均衡器202对各个WAF401进行负载分发后,获得各个WAF地址,并将去往各个WAF401的第二入访流量通过明细路由指向每个WAF地址对应的WAF401;第三负载均衡器203对各个服务器601进行负载分发后,获得各个服务器地址,并将去往各个服务器601的第二入访流量通过明细路由指向交换机500,再由交换机500根据每个服务器地址将该第二入访流量指向每个服务器地址对应的服务器601。
应用本发明实施例提供的方法,将通过三层负载均衡器对每个阶段的流量进行发送。
本发明实施例提供的系统中,LB资源池200中的每个负载均衡器实现的功能基本一致,在接收到入访流量时,对下一级设备进行负载分发,将去往下一级设备的入访流量指向下一级设备;且每个负载均衡器在接收到回包流量时,均启用其预先设置的auto lasthop功能,将回包流量返回上一跳交互的设备。因此,每个负载均衡器针对流量入访和流量回包的过程均设置对应的模块以实现流量的交付过程。
具体的,本发明实施例提供的系统中,所述第一负载均衡器201,包括:
第一虚拟服务和第一功能模块;
所述第一虚拟服务,用于接收所述互联网端发送的第一入访流量,并对各个所述SSL设备进行负载分发,将所述第一入访流量指向各个所述SSL设备;
所述第一功能模块,用于当接收到任一SSL设备发送的第二回包流量时,启用Autolasthop功能,将所述第二回包流量返回至所述互联网端。
具体的,本发明实施例提供的系统中,所述第二负载均衡器,包括:
第二虚拟服务和第二功能模块;
所述第二虚拟服务,用于当接收到任一SSL设备发送的第二入访流量时,对各个所述WAF进行负载分发,将所述第二入访流量指向各个所述WAF;
所述第二功能模块,用于当接收到任一WAF发送的第二回包流量时,启用Autolasthop功能,将所述第二回包流量返回所述SSL设备。
具体的,本发明实施例提供的系统中,所述第三负载均衡器,包括:
第三虚拟服务和第三功能模块;
所述第三虚拟服务,用于当接收到任一WAF发送的第二入访流量时,对各个所述服务器进行负载分发,将待发送至各个服务器的第二入访流量指向所述交换机;
所述第二功能模块,用于当接收到所述交换机发送的第二回包流量时,启用Autolasthop功能,将所述第二回包流量返回所述WAF。
本发明实施例提供的安全交互系统中,每个负载均衡器中均设置有虚拟服务和功能模块,虚拟服务具体可以是负载分发服务器,其主要用于对下一级设备进行负载分发。其中,第一负载均衡器中的第一虚拟服务用于对各个SSL设备进行负载分发;第二负载均衡服务器中的第二虚拟服务用于对各个WAF进行负载分发;第三负载均衡服务器中的第三虚拟服务用于对各个服务器进行负载分发。负载均衡器内设置有功能模块,该功能模块用于在流量回包时开启auto lasthop功能,该功能不再根据设备的地址对流量数据进行转发,而是根据入访流量的原路径进行返回至负载均衡器的上一级设备。其中,第三负载均衡器中的第三功能模块用于在接收到服务器经由交换机发送的第二回包流量时,启用autolasthop,将第二回包流量转发回第三负载均衡器的上一级设备,即,将第二回包流量转发至各个WAF;第二负载均衡器中的第二功能模块用于在接收到任一WAF返回的第二回包流量时,启用auto lasthop,将第二回包流量转发回第二负载均衡器的上一级设备,即,将第二回包流量转发至各个SSL设备;第一负载均衡器中的第一功能模块用于在接收到任一SSL设备发送的第一回包流量时,启用auto lasthop,将第一回包流量转发回第一负载均衡器的上一级设备,即,将第一回包流量转发至互联网端。
可选的,本发明实施例提供的系统中,在进行安全交互的过程中,需要应用三个不同负载均衡器中的虚拟服务和功能模块实现流量的入访和回包,但对于每个负载均衡器来说,其内部不仅可以只设置一个虚拟服务,因此,在流量入访和回包的过程中,可以仅经过一个负载均衡器,在该负载均衡器中设置三层虚拟服务,互联网端、SSL设备以及WAF中分别设置每一层虚拟服务的服务地址,实现对负载均衡器的复用。
本发明实施例提供的系统中,为避免流量在回包的过程中经过交换机的三层架构,导致回包过程过于复杂,因此在流量入访时在经过SSL设备和WAF的入访流量无需经过交换机的三层架构,只通过交换机的二层作为透明层,该交换机的二层只可以根据提供的地址实现对数据的转发,因此,当入访流量需要经过SSL设备和WAF时,可以由二层交换机实现对入访流量的转发。
参考图2,第一负载均衡器201连接交换机500,第二负载均衡器202也连接交换机500。当第一负载均衡器201和第二负载均衡器202连接交换机时,在流量入访时,第一入访流量和第二入访流量仅经过交换机的二层,具体为:
当所述第一负载均衡器201获得各个所述SSL地址时,所述第一负载均衡器201与所述交换机500进行二层互联,以经过二层交换机及各个所述SSL地址将所述第一入访流量转发至各个所述SSL设备301。
当所述第二负载均衡器201获得各个所述WAF地址时,所述第二负载均衡器101与所述交换机500进行二层互联,以经过二层交换机及各个所述WAF地址将所述第二入访流量转发至各个所述WAF401。
可以理解的是,交换机500的二层仅支持对数据进行转发,不包含路由功能,当第一负载均衡器201接收到第一入访流量时,通过对各个SSL设备301的负载分发,将去往各个SSL设备301的流量的明细路由经过二层交换机指向各个SSL设备301,交换机500的二层则读取各个SSL设备301的MAC地址将第一入访流量转发至各个SSL设备301。同理,当第二负载均衡器202接收到第二入访流量时,通过对各个WAF401的负载分发,将去往各个服务器的流量的明细路由指向各个WAF401,交换机500的二层读取各个WAF401的MAC地址将第二入访流量转发至各个WAF401。
应用本发明实施例提供的方法,第一负载均衡器和第二负载均衡器仅与交换机进行二层互联,避免在流量入访和回包时需要经过三层交换机上的路由引流问题。
参考图2,本发明实施例提供的系统中,还包括:核心交换机CSW700以及服务器接入交换机DSW800;
所述CSW700,用于接收所述互联网端100发送的第一入访流量,并将所述第一入访流量转发至所述LB资源池200;当接收到所述LB资源池200发送的第一回包流量时,将所述第一回包流量发送至所述互联网端100。
所述DSW800,用于接收所述交换机500发送的第二入访流量,并将所述第二入访流量转发至各个所述服务器601;当接收到任一服务器601发送的第二回包流量时,将所述第二回包流量发送至所述交换机500。
本发明实施例提供的系统中,CSW700与互联网端100进行连接,用于接收互联网端100发送的各个数据,并根据数据内容将数据转发至对应的设备。因此,当CSW700在接收到互联网端100发送的入访流量时,确定该入访流量需要发送至服务器601中,因此连接LB资源池200,并向LB资源池200转发入访流量。同样的,当接收到LB资源池200向CSW700反馈第一回包流量时,将该第一回包流量转发回互联网端100。DSW800与服务器组600连接,其在接收到交换机500发送的第二入访流量后,再根据交换机500所指向的各个服务器601,将第二入访流量转发至各个服务器601。同样的,在接收到任意一个服务器601根据第二入访流量向互联网端100返回第二回包流量时,将该第二回包流量按照原路径返回给上一级设备,即,将第二回包流量发送至交换机500。
可选的,如图2所示,由于交换机500二层为透明层,在需要将互联网端100的第一入访流量发送至服务器601时,CSW700可以将该第一入访流量经由交换机500二层转发至LB资源池200。
上述各个实施例的具体实施过程及其衍生方式,均在本发明的保护范围之内。
与图1所述的方法相对应,本发明实施例还提供了一种安全交互方法,用于对图1中方法的具体实现,本发明实施例提供的安全交互方法应用于LB资源池,该方法的方法流程图如图3所示,具体包括:
S901:当互联网端向所述LB资源池发送第一入访流量时,对预先设置的各个SSL设备进行负载分发,并将所述第一入访流量发送至各个所述SSL设备;
在本发明实施例中,LB资源池主要用于对设备进行负载分发,当接收到互联网端发送的入访流量时,对多个SSL设备进行负载分发,将第一入访流量发送至各个SSL设备,由各个SSL设备将第一入访流量转换成明文形式。
S902:当接收到任一SSL设备发送的所述第一入访流量对应的第二入访流量时,对预先设置的各个WAF进行负载分发,将所述第二入访流量发送至各个所述WAF;
在本发明实施例中,当任意一个SSL设备对第一入访流量后,向LB资源池反馈第二入访流量,该第二入访流量为解密后的第一入访流量。LB资源池在接收到第二入访流量时,对各个WAF进行负载分发,向各个WAF发送第二入访流量。
S903:当任一WAF通过对所述第二入访流量的安全检测时,对预先设置的各个服务器进行负载分发,获得每个所述服务器的服务器地址;
在本发明实施例中,WAF用于对流量进行安全检测,确定当前进行传输的流量是否符合安全策略所规定的传输规定。通过安全检测后第二入访流量再从WAF返回LB资源池,LB资源池对服务器进行负载分发,获得每个服务器的服务器地址。
S904:将各个所述服务器地址及所述第二入访流量发送至预先设置的交换机,触发所述交换机基于各个所述服务器地址,将所述第二入访流量转发至各个所述服务器;
在本发明实施例中,当将服务器的服务器地址及第二访问流量发送至交换机,交换机应用VLAN间路由将第二入访流量转发至各个服务器。
需要说明的是,只有交换机的三层才可以实现VLAN间路由的应用,因此,在将第二入访流量发送至各个服务器时,需要通过交换机的第三层架构进行转发。
S905:当接收到任一服务器经由所述交换机发送的,所述第二入访流量对应的第二回包流量时,启用预先设置的Auto last hop功能,基于所述Auto last hop功能将所述第二回包流量返回各个所述WAF;
在本发明实施例中,服务器在接收到第二入访流量后,对互联网端进行响应,并向互联网端反馈回包流量。在进行流量回包的过程中,将需要回包的第二回包流量经由交换机再次转发回LB资源池,LB资源池在接收到回包流量后,根据Auto lasthop功能将第二回包流量转发至各个WAF,各个WAF再次对回包流量进行安全检测。
S906:当任一WAF通过对所述第二回包流量的安全检测时,基于所述Auto lasthop功能,将所述第二回包流量返回各个所述SSL设备;
在本发明实施例中,当LB资源池接收到任意一个WAF反馈的已通过安全检测的第二回包流量时,启用Auto lasthop功能将该第二回包流量发送至各个实施例设备。
S907:当接收到任一SSL设备发送的所述第二回包流量对应的第一回包流量时,基于所述Auto lasthop功能,将所述第一回包流量返回所述互联网端,完成所述互联网端与所述服务器之间的安全交互过程。
在本发明实施例中,SSL设备对第二回包流量进行加密,获得第一回包流量,LB资源池在接收到第一回包流量后根据Auto lasthop功能,将该第一回包流量按照原路径返回互联网端。
本发明实施例提供的安全交互方法中,LB资源池接收互联网端发送的第一入访流量,将第一入访流量发送至各个SSL设备进行解密,获得第二入访流量。再将第二入访流量发送至各个WAF,有WAF对第二入访流量进行安全检测,当通过安全检测,则量第二入访流量经由交换机转发至各个服务器。在进行流量入访的过程中,LB资源池需要对各个SSL设备、WAF以及服务器进行负载分发,以加快安全交互的过程。当服务器在接收到第二入访流量后,根据该第二入访流量进行响应,并返回第二回包流量。当LB资源池在接收到交换机发送的第二回包流量后,启用Auto lasthop功能将该第二回包流量按照原路径返回至各个WAF,并在接收到任一WAF反馈的第二回包流量,再根据Auto lasthop功能将第二回包流量返回各个SSL设备,SSL设备对第二回包流量加密后返回第一回包流量,LB资源池则再次根据Auto lasthop功能将第一回包流量返回互联网端,以此实现互联网端与服务器端之间的安全交互过程。
可选的,在进行安全交互过程中,当LB资源池在接收到互联网端发送的第一入访流量时,可以与交换机进行二层互联,由交换机二层将第一入访流量转发至各个SSL设备。同样的,当LB资源池在接收到第二入访流量时,由交换机二层将第二入访流量转发至各个WAF。由于交换机二层仅用于实现数据的转发,因此在流量回包和入访过程中无需每次都经过交换机三层的路由,而且LB资源池开启了Auto last hop功能,在流量回包时,也不经过交换机二层。
应用本发明实施例提供的方法,简化流量入访和回包的过程,加快互联网端和服务器之间的安全交互。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现。
为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种安全交互系统,其特征在于,包括:
互联网端、负载均衡LB资源池、安全套接字协议SSL设备集群、web应用防火墙WAF集群、交换机及服务器组;
所述SSL设备集群包括至少一个SSL设备;
所述WAF集群包括至少一个WAF;
所述服务器组包括至少一个服务器;
所述LB资源池连接各个SSL设备及各个WAF;
所述互联网端,用于当所述互联网端需要与服务器进行交互时,向所述LB资源池发送第一入访流量,并接收所述LB资源池发送的,由任意一个服务器反馈的所述第一入访流量对应的第一回包流量;
所述LB资源池,用于在接收到所述互联网端发送的第一入访流量时,对各个所述SSL设备进行负载分发,将所述第一入访流量发送至各个所述SSL设备;在接收到任意一个SSL设备返回的所述第一入访流量对应的第二入访流量时,对各个所述WAF进行负载分发,将所述第二入访流量发送至各个所述WAF;在接收到任意一个WAF返回所述第二入访流量时,对各个所述服务器进行负载分发,获得每个所述服务器的服务器地址,将所述第二入访流量及各个所述服务器地址发送至所述交换机,经由所述交换机将所述第二入访流量发送至各个所述服务器;在接收到任意一个服务器经由所述交换机发送的所述第二入访流量对应的第二回包流量时,启用预先设置的自动上一跳Auto last hop功能,将所述第二回包流量返回各个所述WAF;在接收到任意一个WAF返回所述第二回包流量时,启用所述Auto last hop功能,将所述第二回包流量返回各个所述SSL设备;在接收到任意一个SSL设备返回的所述第二回包流量对应的第一回包流量时,启用所述Auto last hop功能,将所述第一回包流量返回所述互联网端;
每个所述SSL设备,用于接收所述LB资源池发送的第一入访流量,并对所述第一入访流量进行解密,获得第二入访流量,将所述第二入访流量返回所述LB资源池;在接收到所述LB资源池发送的第二回包流量时,对所述第二回包流量进行加密,获得第一回包流量,并将所述第一回包流量返回所述LB资源池;
每个所述WAF,用于接收所述LB资源池发送的第二入访流量,应用预先设置的安全策略,对所述第二入访流量进行安全检测;当通过对所述第二入访流量的安全检测时,将所述第二入访流量返回所述LB资源池;在接收到所述LB资源池发送的第二回包流量时,对所述第二回包流量进行安全检测,当通过对所述第二回包流量的安全检测时,将所述第二回包流量返回所述LB资源池;
所述交换机,用于在接收到所述LB资源池发送的各个服务器地址及第二入访流量时,基于各个所述服务器地址,应用所述交换机的三层架构中预设的虚拟局域网VLAN间路由,将所述第二入访流量转发至各个所述服务器;在接收到任意一个服务器发送的第二回包流量时,应用所述VLAN间路由,将所述第二回包流量转发至所述LB资源池;
每个所述服务器,用于接收所述交换机发送的第二入访流量,并基于所述第二入访流量生成第二回包流量,将所述第二回包流量发送至所述交换机。
2.根据权利要求1所述的安全交互系统,其特征在于,所述LB资源池,包括:
第一负载均衡器、第二负载均衡器和第三负载均衡器;
所述第一负载均衡器,用于接收所述互联网端发送的第一入访流量,对各个所述SSL设备进行负载分发,获取每个所述SSL设备对应的SSL地址,基于各个所述SSL地址,将所述第一入访流量发送至各个所述SSL设备;当接收任意一个SSL设备发送的第一回包流量时,启用所述第一负载均衡器内设置的Auto last hop功能,将所述第一回包流量返回所述互联网端;
第二负载均衡器,用于接收任意一个SSL设备发送的第二入访流量,对各个所述WAF进行负载分发,获得每个所述WAF对应的WAF地址,基于各个所述WAF地址,将所述第二入访流量发送至各个所述WAF;当接收到任意一个WAF发送的第二回包流量时,启用所述第二负载均衡器内设置的Auto lasthop功能,将所述第二回包流量返回各个所述SSL设备;
第三负载均衡器,用于接收任意一个WAF发送的第二入访流量,并获取每个所述服务器的服务器地址,将所述第二入访流量及各个所述服务器地址发送至所述交换机,使得所述交换机基于各个所述服务器地址将所述第二入访流量转发至各个所述服务器;当接收到所述交换机发送的第二回包流量时,启用所述第三负载均衡器内设置的Auto last hop功能,将所述第二回包流量返回各个所述WAF。
3.根据权利要求2所述的安全交互系统,其特征在于,所述第一负载均衡器,包括:
第一虚拟服务和第一功能模块;
所述第一虚拟服务,用于接收所述互联网端发送的第一入访流量,并对各个所述SSL设备进行负载分发,将所述第一入访流量指向各个所述SSL设备;
所述第一功能模块,用于当接收到任一SSL设备发送的第二回包流量时,启用Autolast hop功能,将所述第二回包流量返回至所述互联网端。
4.根据权利要求2所述的安全交互系统,其特征在于,所述第二负载均衡器,包括:
第二虚拟服务和第二功能模块;
所述第二虚拟服务,用于当接收到任一SSL设备发送的第二入访流量时,对各个所述WAF进行负载分发,将所述第二入访流量指向各个所述WAF;
所述第二功能模块,用于当接收到任一WAF发送的第二回包流量时,启用Auto lasthop功能,将所述第二回包流量返回所述SSL设备。
5.根据权利要求2所述的安全交互系统,其特征在于,所述第三负载均衡器,包括:
第三虚拟服务和第三功能模块;
所述第三虚拟服务,用于当接收到任一WAF发送的第二入访流量时,对各个所述服务器进行负载分发,将待发送至各个服务器的第二入访流量指向所述交换机;
所述第三功能模块,用于当接收到所述交换机发送的第二回包流量时,启用Auto lasthop功能,将所述第二回包流量返回所述WAF。
6.根据权利要求2所述的安全交互系统,其特征在于,当所述第一负载均衡器获得各个所述SSL地址时;所述第一负载均衡器与所述交换机进行二层互联,以经过二层交换机及各个所述SSL地址将所述第一入访流量转发至各个所述SSL设备。
7.根据权利要求2所述的安全交互系统,其特征在于,当所述第二负载均衡器获得各个所述WAF地址时;所述第二负载均衡器与所述交换机进行二层互联,以经过二层交换机及各个所述WAF地址将所述第二入访流量转发至各个所述WAF。
8.根据权利要求1~7任意一项所述的安全交互系统,其特征在于,还包括:
核心交换机CSW;
所述CSW,用于接收所述互联网端发送的第一入访流量,并将所述第一入访流量转发至所述LB资源池;当接收到所述LB资源池发送的第一回包流量时,将所述第一回包流量发送至所述互联网端。
9.根据权利要求1~7任意一项所述的安全交互系统,其特征在于,还包括:
服务器接入交换机DSW;
所述DSW,用于接收所述交换机发送的第二入访流量,并将所述第二入访流量转发至各个所述服务器;当接收到任一服务器发送的第二回包流量时,将所述第二回包流量发送至所述交换机。
10.一种安全交互方法,其特征在于,所述方法应用于LB资源池,所述方法包括:
当互联网端向所述LB资源池发送第一入访流量时,对预先设置的各个SSL设备进行负载分发,并将所述第一入访流量发送至各个所述SSL设备,所述互联网端用于当所述互联网端需要与服务器进行交互时,向所述LB资源池发送第一入访流量,并接收所述LB资源池发送的,由任意一个服务器反馈的所述第一入访流量对应的第一回包流量;
当接收到任一SSL设备发送的所述第一入访流量对应的第二入访流量时,对预先设置的各个WAF进行负载分发,将所述第二入访流量发送至各个所述WAF,其中,每个所述SSL设备用于接收所述LB资源池发送的第一入访流量,并对所述第一入访流量进行解密,获得第二入访流量,将所述第二入访流量返回所述LB资源池,在接收到所述LB资源池发送的第二回包流量时,对所述第二回包流量进行加密,获得第一回包流量,并将所述第一回包流量返回所述LB资源池;
当任一WAF通过对所述第二入访流量的安全检测时,对预先设置的各个服务器进行负载分发,获得每个所述服务器的服务器地址,其中,每个所述WAF用于接收所述LB资源池发送的第二入访流量,应用预先设置的安全策略,对所述第二入访流量进行安全检测,当通过对所述第二入访流量的安全检测时,将所述第二入访流量返回所述LB资源池,在接收到所述LB资源池发送的第二回包流量时,对所述第二回包流量进行安全检测,当通过对所述第二回包流量的安全检测时,将所述第二回包流量返回所述LB资源池;
将各个所述服务器地址及所述第二入访流量发送至预先设置的交换机,触发所述交换机基于各个所述服务器地址,将所述第二入访流量转发至各个所述服务器,所述交换机用于在接收到所述LB资源池发送的各个服务器地址及第二入访流量时,基于各个所述服务器地址,应用所述交换机的三层架构中预设的虚拟局域网VLAN间路由,将所述第二入访流量转发至各个所述服务器,在接收到任意一个服务器发送的第二回包流量时,应用所述VLAN间路由,将所述第二回包流量转发至所述LB资源池;
当接收到任一服务器经由所述交换机发送的,所述第二入访流量对应的第二回包流量时,启用预先设置的Auto last hop功能,基于所述Auto lasthop功能将所述第二回包流量返回各个所述WAF,其中,每个所述服务器用于接收所述交换机发送的第二入访流量,并基于所述第二入访流量生成第二回包流量,将所述第二回包流量发送至所述交换机;
当任一WAF通过对所述第二回包流量的安全检测时,基于所述Auto last hop功能,将所述第二回包流量返回各个所述SSL设备;
当接收到任一SSL设备发送的所述第二回包流量对应的第一回包流量时,基于所述Auto last hop功能,将所述第一回包流量返回所述互联网端,完成所述互联网端与所述服务器之间的安全交互过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011580254.7A CN112738217B (zh) | 2020-12-28 | 2020-12-28 | 安全交互系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011580254.7A CN112738217B (zh) | 2020-12-28 | 2020-12-28 | 安全交互系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738217A CN112738217A (zh) | 2021-04-30 |
| CN112738217B true CN112738217B (zh) | 2022-05-27 |
Family
ID=75606343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011580254.7A Active CN112738217B (zh) | 2020-12-28 | 2020-12-28 | 安全交互系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738217B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116192533B (zh) * | 2023-04-24 | 2023-07-21 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种waf部署系统、方法、设备及介质 |
| CN116155838B (zh) * | 2023-04-24 | 2023-07-21 | 远江盛邦(北京)网络安全科技股份有限公司 | 流量透传方法、装置和电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621509A (zh) * | 2009-07-31 | 2010-01-06 | 浪潮电子信息产业股份有限公司 | 一种应用ssl通信协议安全负载均衡的设计架构及方法 |
| CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
| CN107645479A (zh) * | 2016-07-22 | 2018-01-30 | 平安科技(深圳)有限公司 | 一种实现防火墙多活高可用性的方法及终端 |
| CN108377222A (zh) * | 2018-01-15 | 2018-08-07 | 顺丰科技有限公司 | 基于软件的负载均衡实现方法、装置、设备及存储介质 |
| CN108737471A (zh) * | 2017-04-20 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种网络访问方法及装置 |
| CN109743197A (zh) * | 2018-12-24 | 2019-05-10 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
| WO2019109809A1 (zh) * | 2017-12-04 | 2019-06-13 | 腾讯科技(深圳)有限公司 | 媒体数据的处理方法、计算设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922021B (zh) * | 2017-12-12 | 2022-03-08 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN110324282A (zh) * | 2018-03-29 | 2019-10-11 | 华耀(中国)科技有限公司 | Ssl/tls可视化流量的负载均衡方法及其系统 |
-
2020
- 2020-12-28 CN CN202011580254.7A patent/CN112738217B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621509A (zh) * | 2009-07-31 | 2010-01-06 | 浪潮电子信息产业股份有限公司 | 一种应用ssl通信协议安全负载均衡的设计架构及方法 |
| CN107645479A (zh) * | 2016-07-22 | 2018-01-30 | 平安科技(深圳)有限公司 | 一种实现防火墙多活高可用性的方法及终端 |
| CN108737471A (zh) * | 2017-04-20 | 2018-11-02 | 苏宁云商集团股份有限公司 | 一种网络访问方法及装置 |
| CN107426206A (zh) * | 2017-07-17 | 2017-12-01 | 北京上元信安技术有限公司 | 一种对web服务器的防护装置和方法 |
| WO2019109809A1 (zh) * | 2017-12-04 | 2019-06-13 | 腾讯科技(深圳)有限公司 | 媒体数据的处理方法、计算设备及存储介质 |
| CN108377222A (zh) * | 2018-01-15 | 2018-08-07 | 顺丰科技有限公司 | 基于软件的负载均衡实现方法、装置、设备及存储介质 |
| CN109743197A (zh) * | 2018-12-24 | 2019-05-10 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| SSL/TLS Web服务器集群负载均衡技术的研究;郭少杰;《中国硕士学位论文全文库》;20091130;全文 * |
| X.H.Huang.Algorithm SESP of Wireless Sensor Network node.《 2014 International Conference on Engineering Management and Industrial Engineering(EMIE2014)》.2014, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738217A (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107409079B (zh) | 用于全局虚拟网络的系统和方法 | |
| CN107306214B (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| US20230133809A1 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
| CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| US11882199B2 (en) | Virtual private network (VPN) whose traffic is intelligently routed | |
| US10447590B2 (en) | Systems and methods for dynamic connection paths for devices connected to computer networks | |
| US9246872B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
| CN112738217B (zh) | 安全交互系统及方法 | |
| KR20030019356A (ko) | 이동 데이터 통신용 보안 동적 링크 할당 시스템 | |
| CN110392128B (zh) | 提供准无地址IPv6公开万维网服务的方法及系统 | |
| CN109698791B (zh) | 一种基于动态路径的匿名接入方法 | |
| CN107659930A (zh) | 一种ap接入控制方法和装置 | |
| CN109450849B (zh) | 一种基于区块链的云服务器组网方法 | |
| US7616625B1 (en) | System and method for selective enhanced data connections in an asymmetrically routed network | |
| CN110213346A (zh) | 加密信息的传输方法及装置 | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
| CN105812499B (zh) | 通信方法和通信系统及虚拟客户终端设备 | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| CN113179268A (zh) | 一种路由器和路由器网络异常重定向的方法 | |
| JP5947763B2 (ja) | 通信システム、通信方法、および、通信プログラム | |
| CN108540493A (zh) | 认证方法、用户设备、网络实体以及业务侧服务器 | |
| CN114866327B (zh) | 主机安全扫描方法、装置、电子设备及系统 | |
| CN114268499B (zh) | 数据传输方法、装置、系统、设备和存储介质 | |
| JP7161108B2 (ja) | 通信方法、通信システム、中継装置および中継プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |