CN113872933B - 隐藏源站的方法、系统、装置、设备及存储介质 - Google Patents
隐藏源站的方法、系统、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113872933B CN113872933B CN202110962434.XA CN202110962434A CN113872933B CN 113872933 B CN113872933 B CN 113872933B CN 202110962434 A CN202110962434 A CN 202110962434A CN 113872933 B CN113872933 B CN 113872933B
- Authority
- CN
- China
- Prior art keywords
- connector
- server
- client
- target
- target application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提出一种隐藏源站的方法、系统、装置、设备及存储介质,该方法包括:获取与连接器客户端对应的至少一个连接器服务端的地址信息;根据获取的地址信息,连接器客户端建立与至少一个连接器服务端之间的会话连接,该会话连接为由连接器客户端至至少一个连接器服务端的出站连接;若连接器服务端接收到由边缘节点服务器转发的针对目标应用的访问请求,基于与连接器客户端之间的会话连接将访问请求发送至连接器客户端,连接器客户端再转发给目标应用,并将接收到的目标应用反馈的请求响应信息通过经由连接器服务端发送给边缘节点服务器。本申请可有效防止源站暴露,提升了源站安全性和安全管理效率。
Description
技术领域
本申请属于网络安全技术领域,具体涉及一种隐藏源站的方法、系统、装置、设备及存储介质。
背景技术
因特网是一个开放的世界,我们之所以能访问互联网上的内容,原因在于这些内容暴露于因特网上。然而互联网上有很多的安全威胁(如面临黑客的各类扫描、攻击等),因此将服务和应用暴露于因特网可能不安全。因为互联网上的任何应用程序都可能成为被攻击的目标,所以客户往往试图隐藏应用程序所属的源服务器,以保证源服务器的安全。
当前越来越多的互联网应用使用各类代理(如CDN、云WAF、或其他类型的四层或七层安全代理),客户访问的是代理节点,无法直接访问源站,源站得到了一定程度的隐藏。为了防止黑客获取到源站地址进而绕过代理进行攻击,在源站上一般设置代理节点IP列表为白名单并阻断其他IP的访问。但是维护这类安全策略需要维护代理IP列表,过程繁琐且效率低下。
发明内容
本申请提出一种隐藏源站的方法、系统、装置、设备及存储介质,实现目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请第一方面实施例提出了一种隐藏源站的方法,应用于连接器客户端,所述连接器客户端与至少一个目标应用相关联,包括:
获取与所述连接器客户端对应的至少一个连接器服务端的地址信息,所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息;
根据所述至少一个连接器服务端的地址信息,建立与所述至少一个连接器服务端之间的会话连接,所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接;
基于所述会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从所述目标应用对应的多个源服务器中确定目标源服务器,将所述访问请求发送至所述目标源服务器中的所述目标应用;
将接收到的请求响应信息向所述连接器服务端进行发送,所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。
本申请第二方面的实施例提供了一种隐藏源站的方法,应用于连接器服务端,包括:
接收由至少一个连接器客户端发送的连接请求;
根据所述连接请求,建立与所述至少一个连接器客户端之间的会话连接,所述会话连接为由所述至少一个连接器客户端至所述连接器服务端的出站连接;
接收由边缘节点服务器转发的针对目标应用的访问请求,基于第二负载均衡策略,从所述至少一个连接器客户端中确定与所述目标应用对应的目标连接器客户端;
根据与所述目标连接器客户端对应的会话连接,转发所述访问请求至所述目标连接器客户端。
本申请第三方面的实施例提供了一种隐藏源站的方法,应用于边缘节点服务器,包括:
接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的标识,所述目标应用的标识包括域名、协议、IP地址和端口中的至少一种;
根据所述目标应用的标识,获取与所述目标应用绑定的连接器客户端的配置信息,所述配置信息至少包括与所述连接器客户端对应的至少一个连接器服务端的地址信息;
基于第三负载均衡策略和获取的所述连接器客户端的配置信息,从所述目标应用对应的每个连接器服务端中确定目标连接器服务端;
根据所述目标连接器服务端的地址信息,转发所述访问请求至所述目标连接器服务端。
本申请第四方面的实施例提供了一种隐藏源站的方法,应用于管理平台,包括:
生成至少一个连接器客户端对应的配置信息,所述配置信息至少包括连接器客户端的标识信息和与所述连接器客户端对应的连接器服务端的地址信息;
生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种;
发送所述连接器客户端的配置信息;
发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接器客户端的配置信息;
接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统资源使用率中的至少之一。
本申请第五方面的实施例提供了一种隐藏源站的系统,包括:管理平台、边缘节点服务器、连接器服务端和连接器客户端;
管理平台,用于生成目标应用的应用配置信息,以及生成连接器客户端对应的配置信息;发送所述连接器客户端的配置信息;发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接器客户端的配置信息;接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统资源使用率中的至少之一;
边缘节点服务器,用于接收目标终端发送的针对目标应用的访问请求;并根据所述访问请求包含的目标应用的标识,将所述访问请求向对应的连接器服务端进行发送;
连接器服务端,用于接收所述边缘节点服务器发送的所述访问请求;根据在先建立的与连接器客户端的会话连接,将所述访问请求转发至对应的连接器客户端;
连接器客户端,用于接收所述连接器服务端发送的所述访问请求,并将所述访问请求转发至对应的目标应用。
本申请第六方面的实施例提供了一种隐藏源站的装置,应用于连接器客户端,包括:
配置获取模块,用于获取与所述连接器客户端对应的至少一个连接器服务端的地址信息,所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息;
建立会话模块,用于根据所述至少一个连接器服务端的地址信息,建立与所述至少一个连接器服务端之间的会话连接,所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接;
源服务器确定模块,用于基于所述会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从所述目标应用对应的多个源服务器中确定目标源服务器;
第一发送模块,用于将所述访问请求发送至所述目标源服务器中的所述目标应用;将接收到的请求响应信息向所述连接器服务端进行发送,所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。
本申请第七方面的实施例提供了一种隐藏源站的装置,应用于连接器服务端,包括:
接收模块,用于接收由至少一个连接器客户端发送的连接请求;
建立会话模块,用于根据所述连接请求,建立与所述至少一个连接器客户端之间的会话连接,所述会话连接为由所述至少一个连接器客户端至所述连接器服务端的出站连接;
所述接收模块,还用于接收由边缘节点服务器转发的针对目标应用的访问请求;
连接器客户端确定模块,用于基于第二负载均衡策略,从所述至少一个连接器客户端中确定与所述目标应用对应的目标连接器客户端;
第二发送模块,用于根据与所述目标连接器客户端对应的会话连接,转发所述访问请求至所述目标连接器客户端。
本申请第八方面的实施例提供了一种隐藏源站的装置,应用于边缘节点服务器,包括:
接收模块,用于接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的标识,所述目标应用的标识包括域名、协议、IP地址和端口之间的一种或多种;
配置获取模块,用于根据所述目标应用的标识,获取与所述目标应用绑定的连接器客户端的配置信息,所述配置信息至少包括与所述连接器客户端对应的至少一个连接器服务端的地址信息;
连接器服务端确定模块,用于根据所述配置信息及第三负载均衡策略,从所述目标应用对应的每个连接器服务端中确定目标连接器服务端;
第三发送模块,用于根据所述目标连接器服务端的地址信息,转发所述访问请求至所述目标连接器服务端。
本申请第九方面的实施例提供了一种隐藏源站的装置,应用于管理平台,包括:
配置生成模块,用于生成至少一个连接器客户端对应的配置信息,所述配置信息至少包括连接器客户端的标识信息和与所述连接器客户端对应的连接器服务端的地址信息;生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种;
配置发送模块,用于发送所述连接器客户端所需的配置信息;发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接器客户端配置信息;
状态信息接收模块,用于接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统资源使用率中的至少之一。
本申请第十方面的实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序以实现上述第一至第四方面中任一方面所述的方法。
本申请第十一方面的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行实现上述第一至第四方面中任一方面所述的方法。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
在本申请实施例中,通过连接器客户端的设置并建立连接器客户端与连接器服务端之间的会话连接,该会话连接为连接器客户端至连接器服务端之间的出站连接,用户访问目标应用时先访问边缘节点服务器,边缘节点服务器经由连接器服务端将请求转发至连接器客户端,连接器客户端再将请求转发至目标应用。
本方法使得目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变的明显,或通过本申请的实践了解到。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。
在附图中:
图1示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图;
图2示出了本申请一实施例所提供的一种隐藏源站的方法的信令交互图;
图3示出了本申请一实施例所提供的目标应用的应用配置信息及连接器客户端的配置信息的示意图;
图4示出了本申请一实施例所提供的连接器客户端与连接器服务端建立会话连接的过程及连接器客户端的标识信息与会话的映射关系示意图;
图5示出了本申请一实施例所提供的边缘节点服务器通过负载均衡和健康检查选择连接服务端以及连接器服务端通过负载均衡和健康检查选择连接器客户端的示意图;
图6示出了本申请一实施例所提供的连接器客户端经由连接器服务端向管理平台上报状态信息的示意图;
图7示出了本申请一实施例所提供的一种隐藏源站的方法流程图;
图8示出了本申请一实施例所提供的连接器客户端对应于多个源服务器的示意图;
图9示出了本申请一实施例所提供的一种隐藏源站的方法中连接器客户端的操作流程图;
图10示出了本申请一实施例所提供的一种隐藏源站的方法中连接器服务端的操作流程图;
图11示出了本申请一实施例所提供的一种隐藏源站的方法中边缘节点服务器的操作流程图;
图12示出了本申请一实施例所提供的一种隐藏源站的方法中管理平台的操作流程图;
图13示出了本申请一实施例所提供的一种隐藏源站的方法中应用于连接器客户端的装置结构示意图;
图14示出了本申请一实施例所提供的一种隐藏源站的方法中应用于连接器服务端的装置结构示意图;
图15示出了本申请一实施例所提供的一种隐藏源站的方法中应用于边缘节点服务器的装置结构示意图;
图16示出了本申请一实施例所提供的一种隐藏源站的方法中应用于管理平台的装置结构示意图;
图17示出了本申请一实施例所提供的一种电子设备的结构示意图;
图18示出了本申请一实施例所提供的一种存储介质的示意图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
下面结合附图来描述根据本申请实施例提出的一种隐藏源站的方法、系统、装置、设备及存储介质。
本申请实施例提供了一种隐藏源站的方法,参见图1,该方法所基于的网络系统架构包括连接器服务端、连接器客户端、源服务器、边缘节点服务器、管理平台和目标终端。其中,源服务器可以采用VPC(Virtual Private Cloud,专有网络)/NAT(Network AddressTranslation,网络地址转换),源服务器中包含一个或多个目标应用,目标应用可以为内网中的内部应用,也可以为公网中的应用。同一个目标应用可以部署在多个源服务器中。
连接器客户端可以为用于进行网络通信的软件程序,连接器客户端部署在能与目标应用通信连接的任一网络中,如连接器客户端可以与目标应用部署在同一个网络中,也可以部署在任何能够与目标应用通信的网络中。需要说明的,一个网络中可以部署有一个或多个连接器客户端,同一个连接器客户端可以与多个目标应用通信连接,同一个目标应用也可以与多个连接器客户端通信连接。
图1中仅示意性地画出了一个连接器客户端,该连接器客户端与源服务器中的一个目标应用通信连接。连接器客户端与连接器服务端之间可以建立会话连接,该会话连接为连接器客户端至连接器服务端之间的出站连接,即出向的通信连接。该会话连接的会话协议类型为加密协议,该加密协议包括HTTPS、HTTP/2、HTTP/3、Websocket、TLS_TCP中的至少一种。该会话连接还可以是基于隧道协议建立的,隧道协议可以为VPN、GRE或者IPsec中的一种,应该理解的,其也可以采用其他隧道协议建立该会话连接,本申请对此不作特殊限定。
边缘节点服务器分别与连接器服务端和目标终端通信,管理平台与边缘节点服务器通信连接。目标终端可以包括但不限于智能手机、平板电脑、便携式电脑或者台式计算机中的一种或者多种。目标终端与边缘节点服务器之间的传输协议可以包括HTTP、HTTPS、TCP或UDP中的至少一种。应该理解的,图1中的目标终端、边缘节点服务器、连接器服务端、连接器客户端以及源服务器的数目仅仅是示意性的,根据实现需要,可以具有任意数目的目标终端、边缘节点服务器、连接器服务端、连接器客户端以及源服务器。例如,该网络架构中可以包括一个或多个边缘节点服务器以及一个或多个连接器服务端,图1中仅示意性地画出了一个边缘节点服务器和一个连接器服务端。
值得注意的是,本申请实施例提到的边缘节点服务器和连接器服务端,是两个逻辑概念,分开提出来是为了帮助理解,实践中可以分开部署,也可以部署在同一台服务器设备上,本申请对此不作特殊限定。
基于上述网络架构,目标终端针对目标应用的访问请求经边缘节点服务器发送至连接器服务端。连接器服务端确定与该目标应用关联的连接器客户端,通过与确定的客户端之间的出站连接将该访问请求发送给该连接器客户端。最后由该连接器客户端将该访问请求发送给对应的目标应用。如此该目标应用所属的目标源服务器可以阻断一切入向连接,实现隐藏源站的目的,目标源服务器不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了源服务器遭受恶意攻击的风险,保证了目标应用的安全性。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
图2示出了本申请一实施例所提供的一种隐藏源站的方法的信令交互图。参照图2所示,该方法至少包括步骤101至步骤114,详细介绍如下:
步骤101:管理平台生成至少一个连接器客户端对应的配置信息,该配置信息至少包括连接器客户端的标识信息和与连接器客户端对应的连接器服务端的地址信息。
其中,管理平台可以为云计算平台,如私有云或公有云等。连接器客户端对应的配置信息至少包括连接器客户端的标识信息和与连接器客户端对应的连接器服务端的地址信息。其中,标识信息可以用于标识连接器客户端,该标识信息可以为连接器客户端的IP地址、MAC(Media Access Control Address,硬件地址)地址或人为设定或自动生成的能够标识该连接器客户端的字符序列等。
连接器客户端可以为用于进行网络通信的软件程序,将连接器客户端安装在企事业单位或社会组织等团体的源服务器或能够与源服务器通信的网络中,使得能够通过连接器客户端与连接器服务端建立会话连接,通过建立的会话连接实现源服务器的远程访问,例如实现源服务器中所包含的目标应用的远程访问等等。
连接器服务端可以是能够与连接器客户端进行通信的服务器,其可以与连接器客户端之间建立用以传输信息的会话连接。应该理解的,连接器服务端的地址信息可以包括域名和/或IP地址,若为域名,则根据该域名可以解析到一个或多个连接器服务端的IP地址。需要说明的是,一个连接器服务端可以与一个或者多个连接器客户端进行通信连接,本申请对此不作特殊限定。
在本申请一示例性实施例中,在通过连接器客户端实现远程访问前,首先在管理平台上生成连接器客户端对应的配置信息,该配置信息可以作为连接器客户端对应的启动参数,以在根据该配置信息对连接器客户端进行配置之后启用该连接器客户端。
作为一种实现方式,客户可以自行配置连接器客户端对应的配置信息,具体地,管理平台可以支持客户的配置操作,接收客户配置的连接器客户端对应的配置信息。其也可以由客户将连接器客户端的相关配置信息提供给服务提供方,再由服务提供方在管理平台上配置该客户的连接器客户端对应的配置信息。
作为另一种实现方式,管理平台也可以自动生成连接器客户端对应的配置信息,具体地,管理平台可以为连接器客户端分配用于标识该连接器客户端的标识信息,以及根据整个网络系统架构中包括的所有连接器服务端的配置信息,分配与该连接器客户端对应的连接器服务端。其中,连接器服务端的配置信息中可以包括但不限于连接器服务端的地址信息、已关联的连接器客户端的数目、能关联的连接器客户端数目的上限值等。管理平台为该连接器客户端分配标识信息及相关联的连接器服务端后,将该标识信息及该连接器客户端对应的连接器服务端的地址信息等确定为该连接器客户端对应的配置信息。
在本申请一示例性实施例中,连接器客户端可以是在管理平台上创建的,管理平台可以为服务提供方提供用于创建连接器客户端的接口。连接器客户端可以运行在多种平台上,如VMware的虚拟机、Docker(应用容器引擎)、公有云云主机等。服务提供方利用管理平台提供的接口创建运行在不同平台上的连接器客户端。在创建出连接器客户端后,还生成连接器客户端对应的安装包和配置信息,该配置信息中包括连接器客户端的标识信息、连接器客户端对应的连接器服务端的地址信息等,该连接器服务端的地址信息可以包括连接器服务端的域名和/或IP地址。
需要说明的,管理平台上可以创建一个连接器客户端,也可以创建多个连接器客户端,且在各连接器客户端对应的配置信息中可以包括该连接器客户端所对应的一个或多个连接器服务端的地址信息,以便在源服务器中或在能够与源服务器通信的网络中安装并启动连接器客户端之后,该连接器客户端可以与图1所示系统架构中的一个或多个连接器服务端建立会话连接。
例如,图3中示出了一个连接器客户端的配置信息,该配置信息中包括连接器客户端的标识信息(以id为例):“连接器客户端id:12345”,以及连接器客户端对应的连接器服务端的域名“companyA.connector.com”。
另外,在一示例性实施例中,为了实现访问的高可用,连接器服务端的地址信息包括的域名至少会解析到两个连接器服务端的IP地址。由此,连接器客户端可以根据解析到的多个连接器服务端的IP地址,分别建立与多个连接器服务端之间的会话连接,从而在某一会话连接失效或者故障时,可以通过其他的会话连接进行信息传输。应该理解的,根据该多个连接器服务端所建立的会话连接可以是用于传输相同信息的会话连接,换言之,多个会话连接中有的可以作为主会话连接,其他的作为副会话连接,以在主会话连接失效时,可以通过副会话连接所传输的信息进行处理,以保证访问的稳定性。
步骤102:管理平台生成目标应用对应的应用配置信息,该应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种。
其中,目标应用可以为企事业单位或社会组织等团体的内网中的应用,如OA系统、Web(网站)、SSH(Secure Shell,安全外壳协议)、VNC(Virtual Network Console,虚拟网络控制台)、RDP(Remote Desktop Protocol,远程桌面协议)、内部IAM(Identity and AccessManagement,身份识别与访问管理)等。目标应用也可以为公网中的应用程序。
在本申请一示例性实施例中,在访问目标应用之前,由管理平台生成目标应用对应的应用配置信息。具体地,管理平台可以支持用户的配置操作,用户依据自身需求确定允许远程访问的目标应用,然后在管理平台上配置这些目标应用对应的应用配置信息,管理平台可以接收并存储用户所配置的应用配置信息,并将该应用配置信息与对应的目标应用相关联。
在一示例性实施例中,该应用配置信息可以包括回源地址、目标应用的域名及与该目标应用相关联的连接器客户端的标识信息等多种信息中的至少一种。其中,回源地址可以包括目标应用所在设备的IP地址及目标应用所在设备对外开放的端口号等。
例如,图3中示出的目标应用对应的应用配置信息中的回源地址为172.16.1.100:443,其中172.16.1.100为目标应用所在设备的IP地址即源服务器的IP地址,443表示目标应用所在设备对外开放的端口为443端口(即加密网页浏览端口)。图3中应用配置信息包括的目标应用的域名为“oa.companyA.com”,回源负载均衡策略为“轮询”,与该目标应用相关联的连接器客户端的唯一标识为“绑定连接器客户端:12345”。
通过步骤101和102的操作,在管理平台上生成连接器客户端对应的配置信息及目标应用对应的应用配置信息,通过在应用配置信息中设置相关联的连接器客户端的标识信息将该目标应用与连接器客户端关联起来。
需要说明的,目标应用与连接器客户端可以处于同一网络,例如均属于内部网络、均属于公共网络或者属于同一C段网络等,目标应用与连接器客户端也可以处于不同网络,例如一个在公网、另一个在内部网络等,本申请对此不作特殊限定,只需目标应用与连接器客户端之间可以通信即可。
请继续参考图2,步骤103:管理平台发送连接器客户端所需的配置信息。
在本申请一示例性实施例中,连接器客户端可以直接从管理平台中下载连接器客户端的安装包,依据下载的安装包在需要安装连接器客户端的设备本地安装连接器客户端。具体地,需要安装连接器客户端的设备发送获取请求给管理平台,管理平台根据接收到的获取请求,将连接器客户端的安装包发送给该设备。该设备从管理平台下载连接器客户端的安装包后,根据该安装包在本地安装该连接器客户端。其中,需要安装连接器客户端的设备可以为源服务器,也可以为能够与源服务器通信的其他设备。
或者,需要安装连接器客户端的设备的云主机中可以预先安装有连接器客户端。或者,还可以是该设备从管理平台中下载完整的连接器客户端镜像文件进行安装,等等。本申请实施例对如何安装连接器客户端的方式不作特殊限定。
在该设备安装连接器客户端后,可以从管理平台请求连接器客户端对应的配置信息。管理平台响应该请求,发送接器客户端对应的配置信息给该设备。该设备安装连接器客户端并从管理平台获得接器客户端对应的配置信息后,以该配置信息来启动此连接器客户端。在一示例中,该设备向管理平台发送配置信息获取请求,该配置信息获取请求中可以包含该连接器客户端的标识信息,管理平台可以根据该标识信息,将对应的连接器客户端的配置信息向该设备进行反馈。
在本申请实施例中,同一设备可以部署一个或多个连接器客户端。在部署多个连接器客户端的应用场景中,多个连接器客户端可以与相同的目标应用关联,对于该相同的目标应用来说,其关联的多个连接器客户端可以划分为主用连接器客户端和备用连接器客户端,以便在主用连接器客户端故障时采用备用连接器客户端进行通信,提高网络稳定性。
需要说明的,当一个设备中部署多个连接器客户端时,多个连接器客户端的标识信息均可以作为该设备的标识信息,例如在设备A中包含两个连接器客户端,两个连接器客户端的标识信息分别为123456和234567,那么,该设备A的标识信息可以为两个即123456和234567,等等。又或者,当一个设备中部署多个连接器时,可以为该设备配置一个标识信息,该设备的标识信息则可以与多个连接器客户端的标识信息存在映射关系。本领域技术人员可以根据实际实现需要确定对应的实现方式,本申请对此不作特殊限定。
步骤104:连接器客户端获取与该连接器客户端对应的至少一个连接器服务端的地址信息,该地址信息为离该连接器客户端最近的至少一个连接器服务端的地址信息。
在本申请一示例性实施例中,连接器客户端由管理平台中获取与该连接器客户端对应的至少一个连接器服务端的地址信息。可选的,连接器客户端可以直接从管理平台中获取该连接器客户端对应的配置信息。或者,连接器客户端也可以通过中间媒介间接从管理平台获取配置信息,例如管理平台将该连接器客户端对应的配置信息下发至配置中心,连接器客户端再从配置中心获取该配置信息。连接器客户端在获得配置信息后,从该配置信息中获取与该连接器客户端对应的至少一个连接器服务端的地址信息。该地址信息包括连接器服务端的IP地址和/或域名。连接器服务端的IP地址和/或域名可以是通过任播技术、智能解析技术、智能路由技术之一确定的。
在获取至少一个连接器服务端的地址信息的过程中可以根据连接器服务端的地理位置与连接器客户端的地理位置来获取,具体获取地理位置距离连接器客户端最近的至少一个连接器服务端的地址信息。或者,还可以依据地理位置,并结合网络质量、网络延迟等因素中的至少一种来获取连接器服务端的地址信息。如从距离该连接器客户端最近的一定数目的连接器服务端中获取网络质量最优的至少一个连接器服务端,或者,从距离该连接器客户端最近的一定数目的连接器服务端中获取网络延迟最短的至少一个连接器服务端。
步骤105:连接器客户端根据至少一个连接器服务端的地址信息,建立与至少一个连接器服务端之间的会话连接,该会话连接为由连接器客户端至所述至少一个连接器服务端的出站连接。
在本申请一示例性实施例中,安装连接器客户端,且连接器客户端运行正常之后,需要通过连接器客户端建立与该连接器客户端对应的至少一个连接器服务端之间的会话连接。若至少一个连接器服务端的地址信息中包括连接器服务端的IP地址,则根据至少一个连接器服务端的IP地址,直接建立该连接器客户端与至少一个连接器服务端之间的会话连接。
若至少一个连接器服务端的地址信息中仅包括连接器服务端的域名,则连接器客户端发送该至少一个连接器服务端的域名解析请求给域名服务器。域名服务器对每个域名进行域名解析,得到每个域名对应的IP地址,然后将每个域名对应的IP地址发送给连接器客户端。连接器客户端接收域名服务器返回的每个域名对应的IP地址,根据每个IP地址,分别发送连接请求给每个IP地址对应的连接器服务端,该连接请求包括该连接器客户端的标识信息,以建立并唯一标识该连接器客户端与其对应的至少一个连接器服务端之间的会话连接。
连接器客户端与连接器服务端之间的会话连接可以为加密的会话连接。在建立会话连接时,连接器客户端根据获取的至少一个连接器服务端的地址信息,发送认证信息给该至少一个连接器服务端。在该认证信息该被至少一个连接器服务端认证通过后,建立与该至少一个连接器服务端之间的加密的会话连接。
上述认证信息可以包括连接器客户端的标识信息、证书、密钥、加密token等信息中的至少一种,除列举的几种信息外,认证信息也可以包括其他任意形式的用以识别连接器客户端的其他认证信息,本申请实施例对此不作限定。
在一示例性实施例中,连接器客户端发送的认证信息中可以包括连接器客户端的标识信息及证书。连接器服务端上也预先配置了用于认证连接器客户端的证书,连接器服务端接收到该认证信息后,将该认证信息包括的证书与自身存储的证书进行比对,若两个证书一致,则认证通过,否则认证失败。
上述建立加密的会话连接所采取的加密协议可以为HTTPS、HTTP/2、HTTP/3、Websocket、TLS_TCP中的至少一种。
连接器客户端还可以基于隧道协议建立与至少一个连接器服务端之间的会话连接,所采用的隧道协议可以为VPN、GRE或者IPsec中的一种。
在本申请实施例中,该会话连接为由连接器客户端至所述至少一个连接器服务端的出站连接,这些会话连接是连接器客户端主动向外的通信连接。连接器客户端禁止入向的连接,具体地,可以在安装有连接器客户端的设备的防火墙中配置禁止入向的连接请求,从而能够通过防火墙禁止除上述建立的会话连接以外的所有入向请求。如此能够确保只能通过上述建立的会话连接接收入向的信息,通过建立的会话连接实现对目标应用程序的远程访问,同时能够避免其他入向访问,确保目标应用程序的安全性。在目标应用为内网的应用时,能够极大地提高内网的安全性。
步骤106:连接器服务端接收由至少一个连接器客户端发送的连接请求,根据连接请求,建立与至少一个连接器客户端之间的会话连接。
步骤105中连接器客户端建立与连接器服务端之间的会话连接之前,发送连接请求给连接器服务端,该连接请求中包括该连接器客户端的标识信息。由于一个连接器客户端可以与至少一个连接器服务端建立会话连接,因此连接器服务端能接收到至少一个连接器客户端发送的连接请求,根据接收的连接请求包括的标识信息,建立与这至少一个连接器客户端之间的会话连接,进一步地,该会话连接可以是连接器服务端与源服务器中安装的连接器客户端之间的会话连接。
在本申请实施例中,连接器服务端接收到的连接请求的数量可以为多个,连接请求中包含对应的连接器客户端的标识信息。连接器服务端根据多个连接请求,分别建立与至少一个连接器客户端之间的会话连接,并将各连接请求包括的标识信息与对应的会话连接相关联。具体地,连接器服务端将连接请求包括的标识信息与对应的会话存储在连接器客户端的标识信息与会话的映射关系中。
如图4所示,连接器服务端上维护连接器客户端的标识信息与会话之间的映射关系。图4中IP地址为“1.1.1.1”的连接器服务端分别与三个连接器客户端建立了出站的会话连接。因此连接器服务端上维护的映射关系中包括连接器客户端12345:会话1、连接器客户端34567:会话2以及连接器客户端45678:会话3。
在本申请实施例中,一个连接器客户端可以与一个或多个连接器服务端建立会话连接,一个连接器服务端也可以与一个或多个连接器客户端连接,如此能够避免某个连接器客户端或某个连接器服务端出现故障导致远程访问中断的情况。
在本申请实施例中,连接器客户端与连接器服务端之间的会话连接是建立在443端口(即加密网页浏览端口)上,在该会话连接上实现应用层的连接复用,并在该会话连接的回路上实现请求回源。为了实现连接器客户端的高可用,连接器客户端可以与多个连接器服务端建立持久的会话连接。对于源服务器来说,因为连接器客户端对应的会话连接是出向的,目标应用的回源访问只依赖于该会话连接,不需要建立任何入向的连接,因此内网防火墙或者VPC(Virtual Private Cloud,虚拟私有云)的安全策略里不需要设置很复杂的网络策略,只需要开放出向443端口并且阻断一切的入向连接即可,从而能够实现对源服务器的隐藏,保证源服务器的安全性。
管理平台上创建了连接器客户端及设置好目标应用对应的应用配置信息,以及在源服务器等需要安装连接器客户端的设备中安装连接器客户端,且连接器客户端与连接器服务端建立会话连接,并将允许进行远程访问的所有目标应用的域名均解析到边缘节点服务器的IP地址上,从而将这些目标应用直接发布在公网中。之后远程终端即可通过本申请实施例提供的方法来访问目标应用。
步骤107:边缘节点服务器接收由目标终端发送的针对目标应用的访问请求,该访问请求包括目标应用的标识,目标应用的标识包括域名、协议、IP地址和端口中的至少一种。
边缘节点服务器上提供了DDoS(Distributed Denial of Service,分布式拒绝服务)清洗、缓存加速、WAF(Web Application Firewall,Web应用防护系统)、负载均衡等功能,另外,边缘节点服务器还可以作为边缘安全网关以提供身份认证、权限管理、访问控制等功能。目标用户在访问目标应用时,先访问到边缘节点服务器。
在一具体应用场景中,在家办公或出差的员工需要访问公司内网中的目标应用时,通过目标终端查看公司在公网上发布的多个目标应用,从中选择自己需要访问的目标应用,例如可以通过点击的方式进行选择。目标终端监测到某个目标应用被点击时,获取被点击的目标应用的域名,发送针对该目标应用的域名的解析请求给域名服务器。域名服务器对该目标应用的域名进行解析,由于之前将发布到公网上的所有目标应用的域名均解析到了边缘节点服务器的IP地址上,因此域名服务器对当前的目标应用的域名进行解析能够得到对应的边缘节点服务器的IP地址。域名服务器将域名解析得到的IP地址返回给该目标终端。目标终端根据该IP地址,发送访问请求给对应的边缘节点服务器,该访问请求中包括目标用户需要访问的目标应用的标识。
在本申请的另一些实施例中,边缘节点服务器还可以记录目标用户的访问行为日志,该访问行为日志中可以包括访问时间、访问对象、身份信息等,这些信息可以便于企业的安全管理人员对用户的行为进行审计和管控。
步骤108:边缘节点服务器根据目标应用的标识,获取与该目标应用绑定的连接器客户端的配置信息。
在本申请一示例性实施例中,边缘节点服务器可以预先从管理平台中获取各目标应用对应的应用配置信息以及与各目标应用绑定的连接器客户端对应的配置信息。需要说明的,边缘节点服务器可以直接从管理平台中获取,也可以从配置中心等中间媒介获取该信息,本申请对此不作特殊限定。
当边缘节点服务器接收到针对目标应用的访问请求之后,可以获取该访问请求中所包含的目标应用的标识,根据该目标应用的标识,确定其对应的应用配置信息,再根据该应用配置信息确定与该目标应用相关联的连接器客户端的标识信息。基于所确定的连接器客户端的标识信息,确定该连接器客户端对应的配置信息,该配置信息至少包括与该连接器客户端对应的至少一个连接器服务端的地址信息。
在本申请另一示例性实施例中,边缘节点服务器向管理平台请求或接受管理平台关于目标应用的应用配置信息的推送。管理平台根据边缘节点服务器发送的包含该目标应用的标识的查询请求,查询该目标应用的应用配置信息,从该应用配置信息中获取与该目标应用相关联的连接器客户端的标识信息,然后根据该标识信息获取该连接器客户端对应的配置信息,发送该连接器客户端对应的配置信息给边缘节点服务器。
步骤109:边缘节点服务器基于第三负载均衡策略和获取的连接器客户端的配置信息,从该目标应用对应的每个连接器服务端中确定出目标连接器服务端。
获取的连接器客户端的配置信息中包括与该连接器客户端对应的至少一个连接器服务端的地址信息。本申请实施例中,边缘节点服务器中预先配置了第三负载均衡策略,边缘节点服务器基于第三负载均衡策略从与该连接器客户端对应的至少一个连接器服务端中确定出目标连接器服务端。
在一示例中,第三负载均衡策略可以是基于连接器服务端IP的哈希、加权轮询、主备轮询中至少之一。第三负载均衡策略还需从至少一个连接器服务端中选择满足预设健康条件的连接器服务端作为目标连接器服务端。预设健康条件可以包括与连接器服务端之间的网络状态(如网络延迟、网络连通性、建连时间)、连接器服务端的响应延迟(如首包时间)等至少之一。
边缘节点服务器可以从连接器服务端获得其网络状态、连接器服务端的响应延迟等。具体地,上述连接器客户端对应的配置信息中包括的连接器服务端的地址信息可以包括连接器服务端域名和/或IP地址,若该地址信息为域名,则边缘节点服务器可以将该连接器服务端的域名解析请求发送至域名服务器中进行解析,以使域名服务器反馈对应的连接器服务端的IP地址。
需要说明的,连接器服务端的地址信息可以是一个也可以是多个,例如具有多个连接器服务端的IP地址,或者域名服务器反馈的域名对应的IP地址为一个或者多个,等等。多个地址信息所对应的连接器服务端,有的可以作为主用的连接器服务端,其他的则可以作为备用的连接器服务端。
边缘节点服务器获得与该目标应用对应的每个连接器服务端的IP地址后,根据获得的IP地址,分别建立与每个连接器服务端之间的通信连接,基于该通信连接获得每个连接器服务端的网络状态、连接器服务端的响应延迟等。然后根据获取的网络状态、连接器服务端的响应延迟等信息从至少一个连接器服务端中选择满足预设健康条件的连接器服务端作为目标连接器服务端。
在另一示例中,预设健康条件还可以包括负载量小于预设阈值,网络状态、系统状态和磁盘状态无异常,预设健康条件中可以列举出网络状态、系统状态和磁盘状态的一些异常情况,如网络中断、系统资源占用率超过预设比例、磁盘剩余存储空间小于预设值等。
在确定目标连接器服务端之前,边缘节点服务器首先需要获取与该目标应用对应的每个连接器服务端的系统状态信息,该系统状态信息包括连接器服务端的负载量、CPU使用百分比、内存使用百分比、磁盘IO、网络IO中的至少之一。
在本申请的一些实施例中,边缘节点服务器可以直接从连接器服务端处获得其系统状态信息。具体地,边缘节点服务器获得与该目标应用对应的每个连接器服务端的IP地址后,根据获得的IP地址,分别建立与每个连接器服务端之间的通信连接。然后分别从每个连接器服务端获得各连接器服务端的系统状态信息。
在本申请的另一些实施例中,边缘节点服务器可以从管理平台处获得与目标应用对应的每个连接器服务端的系统状态信息。
具体地,在本申请实施例的网络架构中,每个连接器服务端都可以周期性地向管理平台上报自身的系统状态信息。管理平台接收并存储每个连接器服务端的系统状态信息。管理平台还可以显示每个连接器服务端的系统状态信息。或者管理平台可以根据每个连接器服务端的系统状态信息分别对每个连接器服务端进行故障分析、状态分析等,然后显示每个连接器服务端的系统状态信息及分析结果。
由此,当边缘节点服务器接收到目标终端发送的针对目标应用的访问请求时,从管理平台获取与该目标应用对应的每个连接器服务端当前的系统状态信息。
边缘节点服务器通过上述任一方式获得与该目标应用对应的每个连接器服务端的系统状态信息之后,基于第三负载均衡策略,从每个连接器服务端中确定出满足预设健康条件的连接器服务端作为当前该访问请求对应的目标连接器服务端。
若边缘节点服务器确定出多个满足预设健康条件的连接器服务端,则可从中随机选取或者依次选取以确定一个目标连接器服务端。如图5所示,假设边缘节点服务器确定出与目标应用对应的连接器服务端1和2,然后边缘节点服务器通过上述方式对连接器服务端1和2进行负载均衡和健康检查,从而在连接器服务端1和2中选择出一个满足预设健康条件的连接器服务端作为目标连接器服务端。
在另一示例中,边缘节点服务器也可以确定至少两个目标连接器服务端,并向其中之一发送该访问请求,若此连接器服务器出现故障不可用,则通过另一个连接器服务端发送此访问请求,保证访问的稳定性。
步骤110:边缘节点服务器根据目标连接器服务端的地址信息,转发该访问请求至目标连接器服务端。
在本申请一示例性实施例中,若目标连接器服务端的地址信息包括目标连接器服务端的IP地址,则边缘节点服务器根据该IP地址,直接将该访问请求转发给目标连接器服务端。若该地址信息中仅包括目标连接器服务端的域名,则边缘节点服务器发送该目标连接器服务端的域名解析请求给域名服务器。域名服务器对边缘节点服务器发送的域名进行域名解析,得到对应的每个目标连接器服务端的IP地址,将得到的每个IP地址组成IP列表,返回该IP列表给边缘节点服务器,该IP列表中包括一个或多个目标连接器服务端的IP地址。
边缘节点服务器接收域名服务器返回的IP列表,从该IP列表中选择一个IP地址。具体地,若该IP列表中仅包括一个IP地址,则直接选择该IP地址。若该IP列表中包括多个IP地址,则从这多个IP地址中选择一个主用的目标连接器服务端的IP地址。边缘节点服务器根据选择的IP地址,建立与选择的IP地址对应的目标连接器服务端之间的通信连接,然后发送该访问请求给该目标连接器服务端。
在本申请的另一些实施例中,在发送该访问请求给目标连接器服务端之前,边缘节点服务器还可以与目标连接器服务端进行双向认证,进一步确保目标应用访问的安全性。例如,边缘节点服务器发送自身的第一证书给目标连接器服务端。该目标连接器服务端接收边缘节点服务器的第一证书,并对第一证书进行验证,验证第一证书是否由自己信赖的CA中心所签发,若是则验证通过,若不是,则可以向边缘节点服务器返回一个警告信息,警告边缘节点服务器这个第一证书不是可以信赖的。验证通过后,目标连接器服务端可以比较证书里的信息,例如域名和公钥,若该域名或公钥符合预先设定的信息传输规则,则认可该边缘节点服务器的合法身份。
边缘节点服务器也可以要求目标连接器服务端发送其自身的第二证书,收到该第二证书之后,边缘节点服务器可以对该第二证书进行验证,若没有通过验证,则拒绝连接,若通过验证,则二者之间可以进行信息传输。
在本申请实施例中,边缘节点服务器与目标连接器服务端之间通过上述方式进行双向认证,第一证书和第二证书中只要有一个认证不通过,边缘节点服务器就不会将访问请求发送给目标连接器服务端,大大提高了内网访问的安全性。进一步地,边缘节点服务器还可以先对访问请求进行加密,将加密后的数据发送给目标连接器服务端,以提高数据传输的安全性。
步骤111:连接器服务端接收由边缘节点服务器转发的针对目标应用的访问请求,基于第二负载均衡策略,从至少一个连接器客户端中确定与目标应用对应的目标连接器客户端。
在本申请一示例性实施例中,连接器服务端是一个中转媒介,可以实现边缘节点服务器与目标应用的打通,进一步地,当目标应用位于内网,可以实现边缘节点服务器与内网应用的打通。连接器服务端启动后,等待边缘节点服务器和连接器客户端的连接并转发来自边缘节点服务器的访问请求。
连接器服务端接收到边缘节点服务器转发的目标终端对目标应用的访问请求后,从建立会话连接的至少一个连接器客户端中确定出与目标应用关联的每个连接器客户端。
首先连接器服务端确定与该目标应用相关联的所有连接器客户端。具体地,将该访问请求中包括的目标应用的标识发送给管理平台。管理平台根据该目标应用的标识,获取该目标应用的应用配置信息,从该应用配置信息中查询与该目标应用相关联的连接器客户端的标识信息。管理平台将与该目标应用相关联的连接器客户端的标识信息发送给连接器服务端。连接器服务端接收与该目标应用相关联的连接器客户端的标识信息。
在本申请的另一些实施例中,也可以由边缘节点服务器从管理平台获取目标应用的应用配置信息,并由边缘节点服务器将访问请求及应用配置信息一并转发给连接器服务端。如此连接器服务端可以在本地从应用配置信息中获取与该目标应用相关联的连接器客户端的标识信息。
连接器服务端通过上述任一方式获得与该目标应用相关联的连接器客户端的标识信息后,根据本地存储的连接器客户端的标识信息与会话的映射关系,从与该连接器服务端建立会话连接的至少一个连接器客户端中确定出与目标应用相关联的每个连接器客户端。
本申请实施例中,连接器服务端中预先配置了第二负载均衡策略,连接器服务端通过上述任一方式获得与该目标应用相关联的连接器客户端的标识信息后,基于第二负载均衡策略以及建立了会话连接且与目标应用关联的连接器客户端的标识信息,确定出目标连接器客户端。
在一示例中,第二负载均衡策略可以是基于连接器客户端IP的哈希、加权轮询、主备轮询中至少之一。第二负载均衡策略还需从至少一个连接器客户端中选择满足预设健康条件的连接器客户端作为目标连接器客户端。预设健康条件可以包括与连接器客户端之间的网络状态(如网络延迟、网络连通性、建连时间)、连接器客户端的响应延迟(如首包时间)等至少之一。
连接器服务端获得建立了会话连接且与该目标应用相关联的连接器客户端的标识信息后,分别通过与每个连接器客户端之间的会话连接获取各连接器客户端的网络状态、响应延迟等信息。然后根据获取的网络状态、响应延迟等信息从至少一个连接器客户端中选择满足预设健康条件的连接器客户端作为目标连接器客户端。
在另一示例中,预设健康条件还可以包括负载量小于预设阈值,网络状态、系统状态和磁盘状态无异常,预设健康条件中可以列举出网络状态、系统状态和磁盘状态的一些异常情况,如网络中断、系统资源占用率超过预设比例、磁盘剩余存储空间小于预设值等。
在确定目标连接器客户端之前,连接器服务端首先需要获取与该目标应用相关联的每个连接器客户端的状态信息,该状态信息包括连接器客户端的心跳信息、负载量、CPU使用百分比、内存使用百分比、磁盘IO、网络IO中的至少之一。
在本申请的一些实施例中,连接器服务端可以直接从连接器客户端处获得其状态信息。连接器服务端获得建立了会话连接且与该目标应用相关联的连接器客户端的标识信息后,分别通过与每个连接器客户端之间的会话连接获取各连接器客户端的状态信息。
在本申请的另一些实施例中,每个连接器客户端都可以周期性地经由与自身建立会话连接的至少一个连接器服务端向管理平台上报自身的状态信息。管理平台接收并显示每个连接器客户端的状态信息,以方便直观了解连接器客户端的各类运行状态。或者,管理平台可以根据每个连接器客户端的状态信息分别对每个连接器客户端进行故障分析、状态分析等,如基于连接器客户端的状态信息包括的心跳信息可以分析连接器客户端是否正常运行。通过分析获得分析结果后,再显示每个连接器客户端的状态信息及对应的分析结果。如图6所示,连接器客户端经由与其建立会话连接的连接器服务端向管理平台上报状态信息,管理平台基于连接器客户端上报的信息进行数据分析,可以以数据报表的形式显示连接器客户端的状态信息、分析结果等,还可以在确定连接器客户端出现异常时进行监控告警。
在上报连接器客户端的状态信息的过程中,连接器服务端可以存储每个连接器客户端的标识信息与状态信息的对应关系。连接器服务端获得与该目标应用相关联的连接器客户端的标识信息后,可以直接从本地存储的该对应关系中获取与该目标应用相关联的连接器客户端的状态信息。
或者,连接器服务端也可以不存储连接器客户端的标识信息与状态信息的对应关系。而是在获得与该目标应用相关联的连接器客户端的标识信息后,根据与该目标应用相关联的连接器客户端的标识信息,从管理平台获取与该目标应用相关联的连接器客户端的状态信息。
连接器服务端通过上述任一方式获得建立了会话连接且与该目标应用对应的每个连接器客户端的状态信息之后,基于第二负载均衡策略,从每个连接器客户端中确定出满足预设健康条件的连接器客户端作为当前该访问请求对应的目标连接器客户端。
应该理解的,连接器服务端确定出的目标连接器客户端的数量可以为一个或多个。
若目标连接器客户端的数量为多个即两个或者两个以上的任意数量,则其中一个目标连接器客户端可以作为主目标连接器客户端,除主目标连接器客户端之外的为副目标连接器客户端,从而在主目标连接器客户端失效或者故障时,可以通过副目标连接器客户端进行访问目标应用。
应该理解的,主目标连接器客户端和副目标连接器客户端二者相关联的目标应用应是相同的,或者主目标连接器客户端所关联的目标应用被包含于副目标连接器客户端所关联的目标应用中,又或者主目标连接器客户端与副目标连接器客户端之间具有部分相同的相关联的目标应用,等等。
如图5所示,源服务器中部署有连接器客户端1和2,且连接器客户端1和2均与相同的源服务器相关联。连接器客户端1分别建立了与连接器服务端1和2之间的会话连接,且该会话连接是基于隧道协议建立的。连接器客户端1与连接器服务端1之间的会话连接为主隧道1,连接器客户端1与连接器服务端2之间的会话连接为备隧道1。相似地,连接器客户端2与连接器服务端1之间的会话连接为主隧道2,连接器客户端2与连接器服务端2之间的会话连接为备隧道2。假设边缘节点服务器通过负载均衡与健康检查选取了连接器服务端1作为目标连接器服务端,并将针对目标应用的访问请求发送给了连接器服务端1。则连接器服务端1按照上述方式对连接器客户端1和2进行负载均衡和健康检查,从而在连接器客户端1和2中选择出一个满足预设健康条件的连接器客户端作为目标连接器客户端。假设连接器服务端1选择了连接器客户端2作为目标连接器客户端,则连接器服务端1通过备隧道2将访问请求发送给连接器客户端2。然后连接器客户端2再将访问请求发送给源服务器中对应的目标应用。
步骤112:连接器服务端根据与目标连接器客户端对应的会话连接,转发访问请求至目标连接器客户端。
在本申请一示例性实施例中,连接器服务端根据确定出的目标连接器客户端的标识信息,从本地存储的连接器客户端的标识信息与会话之间的映射关系中,获取目标连接器客户端对应的会话连接。通过目标连接器客户端对应的会话连接,将该访问请求转发给目标连接器客户端。
在本申请的另一些实施例中,连接器服务端还可以通过轮询的方式来将访问请求转发给目标连接器客户端。具体地,连接器服务端中配置了预设轮询规则,预设轮询规则中规定了该目标应用关联的每个目标连接器客户端的轮询顺序,根据该轮询顺序从与该目标应用关联的每个目标连接器客户端中选择一个目标连接器客户端。根据选择的目标连接器客户端的标识信息,从标识信息与会话的映射关系中获取选择的目标连接器客户端对应的会话连接,通过获取的会话连接将该访问请求转发给该目标连接器客户端。
为了便于理解将目标终端的访问请求发送至目标连接器客户端的流程,下面结合附图进行说明。如图7所示,目标终端发送访问请求给边缘节点服务器,该访问请求包括待访问的目标应用的域名“oa.companyA.com”。边缘节点服务器根据该域名,从管理平台获取域名“oa.companyA.com”对应的应用配置信息,该应用配置信息中绑定的连接器客户端的标识为“12345”,也从管理平台获取连接器客户端12345的配置信息。边缘节点服务器获得该应用配置信息和连接器客户端对应的配置信息后,发送连接器客户端对应的配置信息包括的连接器服务端的域名“companyA.connector.com”的解析请求给域名服务器,接收域名服务器返回的解析出的连接器服务端的IP地址“1.1.1.1”,边缘节点服务器根据该IP地址“1.1.1.1”建立与该连接器服务端之间的通信连接,将访问请求及应用配置信息发送给该连接器服务端。IP地址为“1.1.1.1”的连接器服务端根据应用配置信息中包括的连接器客户端的标识“12345”,从预存的映射关系中获得该连接器客户端对应的会话连接,通过该会话连接将该访问请求发送给企业A的网络中的连接器客户端12345。
步骤113:连接器客户端基于与连接器服务端之间的会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从目标应用对应的多个源服务器中确定目标源服务器,将访问请求发送至目标源服务器中的目标应用。
在本申请实施例中,连接器客户端中可以配置有与其关联的每个目标应用的域名与回源地址的映射关系。或者管理平台可以将每个目标应用的回源地址或应用配置信息下发给连接器客户端。或者,由连接器服务端从管理平台或者边缘节点服务器处获得该目标应用对应的应用配置信息,该应用配置信息中包括目标应用对应的回源地址,连接器服务端在将该访问请求转发给连接器客户端时还可以将该应用配置信息发送给连接器客户端。连接器客户端若接收到连接器服务端通过二者之间的会话连接发送的针对目标应用的访问请求,则连接器客户端根据该访问请求包括的目标应用的域名,在本地查询目标应用的回源地址。查询到的每个回源地址即为目标应用对应的每个源服务器的地址。
本申请实施例中,连接器客户端中预先配置了第一负载均衡策略,连接器客户端获得目标应用对应的每个源服务器的回源地址后,基于第一负载均衡策略从获得的每个源服务器的回源地址中确定出目标源服务器的回源地址。
在一示例中,第一负载均衡策略可以是基于源服务器IP的哈希、加权轮询、主备轮询中至少之一。第一负载均衡策略还需从至少一个源服务器中选择满足预设健康条件的源服务器作为目标源服务器。预设健康条件可以包括与源服务器之间的网络状态(如网络延迟、网络连通性、建连时间)、源服务器的响应延迟(如首包时间)等至少之一。
连接器客户端分别根据每个源服务器的回源地址,分别建立与每个源服务器之间的通信连接,基于建立的通信连接获取每个源服务器的网络状态、响应延迟等信息。之后基于第一负载均衡策略和每个源服务器的网络状态、响应延迟等信息,从每个源服务器中确定出满足预设健康条件的源服务器作为目标源服务器。然后连接器客户端根据目标源服务器的回源地址,将访问请求发送至目标源服务器中的目标应用。
在另一示例中,预设健康条件还可以包括负载量小于预设阈值,网络状态、系统状态和磁盘状态无异常,预设健康条件中可以列举出网络状态、系统状态和磁盘状态的一些异常情况,如网络中断、系统资源占用率超过预设比例、磁盘剩余存储空间小于预设值等。
在确定目标源服务器之前,连接器客户端首先需要获取每个源服务器的系统状态信息,该系统状态信息包括源服务器的负载量、CPU使用百分比、内存使用百分比、磁盘IO、网络IO中的至少之一。
连接器客户端分别根据每个源服务器的回源地址,分别从每个源服务器获取每个源服务器的系统状态信息。之后基于第一负载均衡策略和每个源服务器的系统状态信息,从每个源服务器中确定出满足预设健康条件的源服务器作为目标源服务器。然后连接器客户端根据目标源服务器的回源地址,将访问请求发送至目标源服务器中的目标应用。
如图8所示,连接器客户端分别与源服务器1、2和3相关联,假设源服务器1、2和3均包括当前的访问请求对应的目标应用,则连接器客户端依据第一负载均衡策略,从源服务器1、2和3中选择一个源服务器作为目标源服务器,假设选取的目标源服务器为源服务器2,则将访问请求发送给源服务器2。
步骤114:连接器客户端将接收到的请求响应信息向连接器服务端进行发送,该请求响应信息由目标源服务器中的目标应用根据访问请求进行反馈。
在本申请一示例性实施例中,目标应用根据访问请求进行反馈生成请求响应信息,发送该请求响应信息给该连接器客户端。该连接器客户端再通过自身与连接器服务端之间的会话连接将该请求响应信息发送给连接器服务端。连接器服务端将该请求响应信息发送给边缘节点服务器,边缘节点服务器再将该请求响应信息发送给该目标终端。
在本申请实施例中,连接器客户端与连接器服务端之间的会话连接的传输协议可以为加密传输协议,连接器客户端与连接器服务端之间的数据都是加密传输,以确保传输过程中的数据安全性。
在本申请实施例中,多个连接器客户端可以与相同的目标应用关联,对于该相同的目标应用来说,其关联的多个连接器客户端可以包括主用连接器客户端和备用连接器客户端,在主用连接器客户端故障时,可以通过备用连接器客户端对应的会话连接接收目标终端对目标应用的访问请求,或通过备用连接器客户端对应的会话连接发送目标应用对访问请求进行响应而产生的请求响应信息。一个源服务器中也可以包括多个连接器客户端,分成主连接器客户端和副连接器客户端,在主连接器客户端故障或者达到负载上限后,由副连接器客户端来进行数据传输。
另外,源服务器还可以每隔预设时间段(例如2min、0.5h或者1h等)发送自身的健康状态信息给管理平台,管理平台根据源服务器的健康状态信息及判断源服务器是否出现异常,若有异常则及时向管理人员发出告警信息。
远程用户发送访问请求给边缘节点服务器,该访问请求包括目标应用的标识。边缘节点服务器从管理平台获取待访问的目标应用的应用配置信息和与该目标应用关联的连接器客户端对应的配置信息。边缘节点服务器将连接器客户端对应的配置信息包括的连接器服务端的域名的域名解析请求发送给域名服务器,根据域名服务器返回的连接器服务端的IP地址,将访问请求和应用配置信息发送到连接器服务端中。
如图7所示,域名“companyA.connector.com”对应于IP地址为“1.1.1.1”的连接器服务端。假设访问请求是对企业A的网络中的目标应用的访问,则边缘节点服务器可以将访问请求及应用配置信息发送到IP地址为“1.1.1.1”的连接器服务端。连接器服务端再通过与连接器客户端12345之间的会话连接将访问请求发送给企业A中的目标应用。
在本申请实施例中,通过连接器客户端的设置并建立连接器客户端与连接器服务端之间的会话连接,该会话连接为连接器客户端至连接器服务端之间的出站连接,用户访问目标应用时先访问边缘节点服务器,边缘节点服务器经由连接器服务端将请求转发至连接器客户端,连接器客户端再将请求转发至目标应用。实现目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请的另一些实施例提供了一种隐藏源站的方法,该方法应用于连接器客户端。参见图9,该方法具体包括以下步骤:
步骤201:连接器客户端获取与连接器客户端对应的至少一个连接器服务端的地址信息,地址信息为离连接器客户端最近的至少一个连接器服务端的地址信息。
连接器客户端部署在能与目标应用通信连接的任一网络中,部署连接器客户端的网络中部署有一个或多个连接器客户端。
在本申请一示例性实施例中,连接器客户端接收由管理平台发送的连接器客户端对应的配置信息。在一示例中,连接器客户端可以直接从管理平台中获取配置信息。在另一示例中,连接器客户端也可以通过中间媒介间接从管理平台获取配置信息,例如管理平台将该连接器客户端对应的配置信息下发至配置中心,连接器客户端再从配置中心获取该配置信息。连接器客户端获得配置信息后,从该配置信息中获取与连接器客户端对应的至少一个连接器服务端的地址信息。该地址信息包括连接器服务端的IP地址和/或域名。
步骤202:连接器客户端根据至少一个连接器服务端的地址信息,建立与至少一个连接器服务端之间的会话连接,会话连接为由连接器客户端至至少一个连接器服务端的出站连接。
在本申请一示例性实施例中,连接器服务端的地址信息为通过任播技术、智能解析技术、智能路由技术之一确定的域名和/或IP地址。若连接器服务端的地址信息中仅包括IP地址,则连接器客户端根据至少一个连接器服务端的IP地址,建立与这至少一个连接器服务端之间的会话连接。若连接器服务端的地址信息中仅包括连接器服务端的域名,则连接器客户端发送这至少一个连接器服务端的域名给域名服务器;接收域名服务器返回的每个域名对应的IP地址;根据每个IP地址,分别发送连接请求给一个或多个连接器服务端,连接请求包括连接器客户端的标识信息,以建立连接器客户端与一个或多个连接器服务端之间的会话连接。
值得注意的是,该会话连接为连接器客户端到连接器服务端之间的出站连接,其是连接器客户端主动向外的通信连接,该连接器客户端禁止任何入向的连接请求,从而可以避免遭受他人的恶意攻击,保证目标应用的安全性。在一示例中,可以在连接器客户端对应的防火墙中配置禁止入向的连接请求,从而能够通过防火墙禁止除上述建立的会话连接以外的所有入向的请求。
在一示例中,该会话连接的传输协议为加密传输协议,即通过该会话连接进行传输的数据均通过加密后以密文的形式进行传输,以提高数据传输的安全性。
连接器客户端还可以根据至少一个连接器服务端的地址信息,发送认证信息给至少一个连接器服务端;在该认证信息被至少一个连接器服务端认证通过后,建立与至少一个连接器服务端之间的加密的会话连接。加密的会话连接的会话协议类型为加密协议,加密协议包括HTTPS、HTTP/2、HTTP/3、Websocket、TLS_TCP中的至少一种。
在另一些实施例中,还可以基于隧道协议建立上述会话连接,隧道协议为VPN、GRE或者IPsec中的一种。
步骤203:连接器客户端基于建立的会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从目标应用对应的多个源服务器中确定目标源服务器,将访问请求发送至目标源服务器中的目标应用。
步骤204:连接器客户端将接收到的请求响应信息向连接器服务端进行发送,该请求响应信息由目标源服务器中的目标应用根据访问请求进行反馈。
在本申请实施例中,连接器客户端可以包括主连接器客户端和副连接器客户端,在主连接器客户端故障时使用副连接器客户端。源服务器中可以部署多个连接器客户端,多个连接器客户端中包括主用连接器客户端和备用连接器客户端,主用连接器客户端和备用连接器客户端与相同的目标应用关联;在主用连接器客户端故障时,通过备用连接器客户端对应的会话连接接收目标终端对目标应用的访问请求。
连接器客户端还可以周期性地经由至少一个连接器服务端向管理平台上报连接器客户端的状态信息,状态信息至少包括心跳信息和系统状态信息中的至少之一。
在本申请实施例中,连接器客户端的具体操作细节均可参考上述任一实施例中连接器客户端的操作,在此不再赘述。
在本申请实施例中,连接器客户端建立了与连接器服务端之间的出站的会话连接,针对目标应用的访问请求经由该会话连接发送至连接器客户端,连接器客户端再将请求转发至目标应用。实现目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请的一些实施例提供了一种隐藏源站的方法,该方法应用于连接器服务端,参见图10,该方法具体包括以下步骤:
步骤301:连接器服务端接收由至少一个连接器客户端发送的连接请求。
在一示例中,连接请求的数量可以为多个,连接请求中包含对应的连接器客户端的标识信息。
步骤302:连接器服务端根据连接请求,建立与至少一个连接器客户端之间的会话连接,该会话连接为由至少一个连接器客户端至连接器服务端的出站连接。
在一示例中,连接器服务端根据多个连接请求,分别建立与至少一个连接器客户端之间的会话连接,并将各连接器客户端的标识信息与对应的会话连接相关联。
步骤303:连接器服务端接收由边缘节点服务器转发的针对目标应用的访问请求,基于第二负载均衡策略,从至少一个连接器客户端中确定与目标应用对应的目标连接器客户端。
步骤304:连接器服务端根据与目标连接器客户端对应的会话连接,转发访问请求至目标连接器客户端。
在一示例中,目标连接器客户端的数量可以为多个,连接器服务端根据与多个目标连接器客户端的标识信息相关联的会话连接,转发访问请求至每个目标连接器客户端。
具体地,连接器服务端从应用配置信息中提取出与目标应用关联的每个连接器客户端的标识信息;根据每个连接器客户端的标识信息,从映射关系中分别获取每个连接器客户端对应的会话连接;通过每个连接器客户端对应的会话连接或者从管理平台分别获取每个连接器客户端的状态信息;根据每个连接器服务端的状态信息,基于第二负载均衡策略,从每个连接器客户端中选择一个满足预设健康条件的目标连接器客户端,通过选择的目标连接器客户端对应的会话连接将访问请求转发给目标连接器客户端。
在本申请的另一些实施例中,连接器服务端还可以轮询的机制来转发访问请求。具体地,从应用配置信息中提取出与目标应用关联的每个连接器客户端的标识信息;根据预设轮询规则,从每个连接器客户端中选择一个目标连接器客户端;根据选择的目标连接器客户端的标识信息,从映射关系中获取选择的目标连接器客户端对应的会话连接;通过获取的会话连接将访问请求转发给目标连接器客户端。
连接器服务端的具体操作细节均可参考上述任一实施例中连接器服务端的操作,在此不再赘述。
在本申请实施例中,连接器服务端建立了与连接器客户端之间的出站的会话连接,连接器服务端将针对目标应用的访问请求经由该会话连接发送至连接器客户端,连接器客户端再将请求转发至目标应用。实现目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请的一些实施例提供了一种隐藏源站的方法,该方法应用于边缘节点服务器,参见图11,该方法具体包括以下步骤:
步骤401:边缘节点服务器接收由目标终端发送的针对目标应用的访问请求,访问请求包含目标应用的标识,目标应用的标识包括域名、协议、IP地址和端口中的至少一种。
步骤402:边缘节点服务器根据目标应用的标识,获取与目标应用绑定的连接器客户端的配置信息,该配置信息至少包括与连接器客户端对应的至少一个连接器服务端的地址信息。
步骤403:边缘节点服务器基于第三负载均衡策略和获取的连接器客户端的配置信息,从目标应用对应的每个连接器服务端中确定目标连接器服务端。
步骤404:边缘节点服务器根据目标连接器服务端的地址信息,转发访问请求至目标连接器服务端。
边缘节点服务器的具体操作细节均可参考上述任一实施例中边缘节点服务器的操作,在此不再赘述。
在本申请实施例中,边缘节点服务器将访问请求及应用配置信息转发给连接器服务端,连接器服务端通过与连接器客户端之间的出站的会话连接将访问请求转发给连接器客户端,连接器客户端再将请求转发至目标应用。实现目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请的一些实施例提供了一种隐藏源站的方法,该方法应用于管理平台,参见图12,该方法具体包括以下步骤:
步骤501:管理平台生成连接器客户端对应的配置信息,该配置信息至少包括连接器客户端的标识信息和与连接器客户端对应的连接器服务端的地址信息。
步骤502:管理平台生成目标应用对应的应用配置信息,应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种。
步骤503:管理平台发送连接器客户端所需的配置信息。
步骤504:管理平台发送边缘节点服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接器客户端的配置信息。
步骤505:管理平台接收并显示连接器客户端经由其对应的连接器服务端周期性上报的连接器客户端的状态信息,状态信息至少包括心跳信息和系统资源使用率中的至少之一。
管理平台的具体操作细节均可参考上述任一实施例中管理平台的操作,在此不再赘述。
在本申请实施例中,管理平台中生成了连接器客户端的配置信息,以及生成了目标应用的应用配置信息,将目标应用与连接器客户端相关联。并通过管理平台发送连接器客户端的配置信息给连接器客户端。发送边缘节点服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接器客户端的配置信息。接收并显示连接器客户端的状态信息,实现对连接器客户端的状态监控告警。基于管理平台生成的连接器客户端的配置信息及目标应用的应用配置信息,实现远程终端对目标应用的访问,且实现目标源服务器上只需要阻断一切入向连接,而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生,降低了遭受恶意攻击的风险,保证了目标应用的安全性。
本申请实施例提供了一种隐藏源站的系统,参见图1,该系统包括:边缘节点服务器、连接器服务端、管理平台和连接器客户端;
管理平台,用于生成目标应用的应用配置信息,以及生成连接器客户端对应的配置信息;发送连接器客户端的配置信息;发送边缘节点服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接器客户端的配置信息;接收并显示连接器客户端经由其对应的连接器服务端周期性上报的连接器客户端的状态信息,状态信息至少包括心跳信息和系统资源使用率中的至少之一;
边缘节点服务器,用于接收目标终端发送的针对目标应用的访问请求;并根据访问请求包含的目标应用的标识,将访问请求向对应的连接器服务端进行发送;
连接器服务端,用于接收边缘节点服务器发送的访问请求;根据在先建立的与连接器客户端的会话连接,将访问请求转发至对应的连接器客户端;
连接器客户端,用于接收连接器服务端发送的访问请求,并将访问请求转发至对应的目标应用。
在一示例性实施例中,会话连接为连接器客户端至连接器服务端的出站连接。
本申请的上述实施例提供的隐藏源站的系统与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种隐藏源站的装置,该装置用于执行上述任一实施例提供的隐藏源站的方法中连接器客户端的操作。参见图13,该装置包括:
配置获取模块601,用于获取与连接器客户端对应的至少一个连接器服务端的地址信息,地址信息为离连接器客户端最近的至少一个连接器服务端的地址信息;
建立会话模块602,用于根据至少一个连接器服务端的地址信息,建立与至少一个连接器服务端之间的会话连接,会话连接为由连接器客户端至至少一个连接器服务端的出站连接;
源服务器确定模块603,用于基于会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从目标应用对应的多个源服务器中确定目标源服务器;
第一发送模块604,用于将访问请求发送至目标源服务器中的目标应用;将接收到的请求响应信息向连接器服务端进行发送,请求响应信息由目标源服务器中的目标应用根据访问请求进行反馈。
地址信息为通过任播技术、智能解析技术、智能路由技术之一确定的域名和/或IP地址,建立会话模块602,用于若地址信息为域名,则向域名服务器发送至少一个连接器服务端的域名解析请求;接收由域名服务器发送的至少一个连接器服务端的域名对应的IP地址;根据各IP地址,分别向至少一个连接器服务端发送连接请求,以建立连接器客户端与至少一个连接器服务端之间的会话连接。
配置获取模块601,用于接收由管理平台发送的连接器客户端对应的配置信息;从配置信息中获取与连接器客户端对应的至少一个连接器服务端的地址信息。
建立会话模块602,用于根据至少一个连接器服务端的地址信息,发送认证信息给至少一个连接器服务端;在认证信息被至少一个连接器服务端认证通过后,建立与至少一个连接器服务端之间的加密的会话连接。
会话连接的会话协议类型为加密协议,加密协议包括HTTPS、HTTP/2、HTTP/3、Websocket、TLS_TCP中的至少一种。
建立会话模块602,用于基于隧道协议建立会话连接,隧道协议为VPN、GRE或者IPsec中的一种。
连接器客户端部署在能与目标应用通信连接的任一网络中,部署连接器客户端的网络中部署有一个或多个连接器客户端。
该装置还包括:信息上报模块,用于周期性地经由至少一个连接器服务端向管理平台上报连接器客户端的状态信息,状态信息至少包括心跳信息和系统状态信息中的至少之一。
本申请的上述实施例提供的隐藏源站的装置与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种隐藏源站的装置,该装置用于执行上述任一实施例提供的隐藏源站的方法中连接器服务端的操作。参见图14,该装置包括:
接收模块701,用于接收由至少一个连接器客户端发送的连接请求;
建立会话模块702,用于根据连接请求,建立与至少一个连接器客户端之间的会话连接,会话连接为由至少一个连接器客户端至连接器服务端的出站连接;
接收模块703,还用于接收由边缘节点服务器转发的针对目标应用的访问请求;
连接器客户端确定模块704,用于基于第二负载均衡策略,从至少一个连接器客户端中确定与目标应用对应的目标连接器客户端;
第二发送模块705,用于根据与目标连接器客户端对应的会话连接,转发访问请求至目标连接器客户端。
连接请求的数量为多个,连接请求中包含对应的连接器客户端的标识信息;
建立会话模块702,用于根据多个连接请求,分别建立与至少一个连接器客户端之间的会话连接,并存储各标识信息与对应的会话连接之间的映射关系。
连接器客户端确定模块704,用于从建立会话连接的至少一个连接器客户端中确定出与目标应用关联的每个连接器客户端;基于第二负载均衡策略,从确定出的每个连接器客户端中确定目标连接器客户端。
本申请的上述实施例提供的隐藏源站的装置与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种隐藏源站的装置,该装置用于执行上述任一实施例提供的隐藏源站的方法中边缘节点服务器的操作。参见图15,该装置包括:
接收模块801,用于接收由目标终端发送的针对目标应用的访问请求,访问请求包含目标应用的标识,目标应用的标识包括域名、协议、IP地址和端口之间的一种或多种;
配置获取模块802,用于根据目标应用的标识,获取与目标应用绑定的连接器客户端的配置信息,配置信息至少包括与连接器客户端对应的至少一个连接器服务端的地址信息;
连接器服务端确定模块803,用于根据配置信息及第三负载均衡策略,从目标应用对应的每个连接器服务端中确定目标连接器服务端;
第三发送模块804,用于根据目标连接器服务端的地址信息,转发访问请求至目标连接器服务端。
本申请的上述实施例提供的隐藏源站的装置与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施例还提供一种隐藏源站的装置,该装置用于执行上述任一实施例提供的隐藏源站的方法中管理平台的操作。参见图16,该装置包括:
配置生成模块901,用于生成至少一个连接器客户端对应的配置信息,配置信息至少包括连接器客户端的标识信息和与连接器客户端对应的连接器服务端的地址信息;生成目标应用对应的应用配置信息,应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种;
配置发送模块902,用于发送连接器客户端所需的配置信息;发送边缘节点服务器所需的目标应用的应用配置信息以及与目标应用相关联的连接器客户端配置信息;
状态信息接收模块903,用于接收并显示连接器客户端经由其对应的连接器服务端周期性上报的连接器客户端的状态信息,状态信息至少包括心跳信息和系统资源使用率中的至少之一。
本申请的上述实施例提供的隐藏源站的装置与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种电子设备,以执行上述隐藏源站的方法。请参考图17,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。如图17所示,电子设备10包括:处理器1000,存储器1001,总线1002和通信接口1003,所述处理器1000、通信接口1003和存储器1001通过总线1002连接;所述存储器1001中存储有可在所述处理器1000上运行的计算机程序,所述处理器1000运行所述计算机程序时执行本申请前述任一实施方式所提供的隐藏源站的方法。
其中,存储器1001可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个通信接口1003(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线1002可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器1001用于存储程序,所述处理器1000在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述隐藏源站的方法可以应用于处理器1000中,或者由处理器1000实现。
处理器1000可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1000中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1000可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1001,处理器1000读取存储器1001中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的隐藏源站的方法对应的计算机可读存储介质,请参考图18,其示出的计算机可读存储介质为光盘30,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的隐藏源站的方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的隐藏源站的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下示意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种隐藏源站的方法,其特征在于,应用于连接器客户端,所述连接器客户端与至少一个目标应用所在的源服务器相关联,包括:
从管理平台获取与所述连接器客户端对应的至少一个连接器服务端的地址信息,所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息;
根据所述至少一个连接器服务端的地址信息,建立与所述至少一个连接器服务端之间的会话连接,所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接;
基于所述会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从所述目标应用对应的多个源服务器中确定目标源服务器,将所述访问请求发送至所述目标源服务器中的所述目标应用;所述访问请求是由目标终端发送给边缘节点服务器,由边缘节点服务器基于所述管理平台提供的所述连接器客户端的配置信息转发给所述连接器服务端的;
将接收到的请求响应信息向所述连接器服务端进行发送,所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。
2.根据权利要求1所述的方法,其特征在于,所述地址信息为通过任播技术、智能解析技术、智能路由技术之一确定的域名和/或IP地址,所述根据所述至少一个连接器服务端的地址信息,建立与所述至少一个连接器服务端之间的会话连接,包括:
若所述地址信息为域名,则向域名服务器发送所述至少一个连接器服务端的域名解析请求;
接收由所述域名服务器发送的所述至少一个连接器服务端的域名对应的IP地址;
根据各所述IP地址,分别向所述至少一个连接器服务端发送连接请求,以建立所述连接器客户端与所述至少一个连接器服务端之间的会话连接。
3.根据权利要求1所述的方法,其特征在于,所述获取与所述连接器客户端对应的至少一个连接器服务端的地址信息,包括:
接收由管理平台发送的所述连接器客户端对应的配置信息;
从所述配置信息中获取与所述连接器客户端对应的至少一个连接器服务端的地址信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个连接器服务端的地址信息,建立与所述至少一个连接器服务端之间的会话连接,包括:
根据所述至少一个连接器服务端的地址信息,发送认证信息给所述至少一个连接器服务端;
在所述认证信息被所述至少一个连接器服务端认证通过后,建立与所述至少一个连接器服务端之间的加密的会话连接。
5.根据权利要求4所述的方法,其特征在于,所述会话连接的会话协议类型为加密协议,所述加密协议包括HTTPS、HTTP/2、HTTP/3、Websocket、TLS_TCP中的至少一种。
6.根据权利要求4所述的方法,其特征在于,基于隧道协议建立所述会话连接,所述隧道协议为VPN、GRE或者IPsec中的一种。
7.根据权利要求1所述的方法,其特征在于,所述连接器客户端部署在能与所述目标应用所在的源服务器通信连接的任一网络中,部署所述连接器客户端的网络中部署有一个或多个所述连接器客户端。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
周期性地经由所述至少一个连接器服务端向管理平台上报所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统状态信息中的至少之一。
9.一种隐藏源站的方法,其特征在于,应用于连接器服务端,包括:
接收由至少一个连接器客户端基于所述连接器服务端的地址信息发送的连接请求;其中,所述连接器服务端的地址信息包含在管理平台提供的所述至少一个连接器客户端对应的配置信息中;
根据所述连接请求,建立与所述至少一个连接器客户端之间的会话连接,所述会话连接为由所述至少一个连接器客户端至所述连接器服务端的出站连接;
接收由边缘节点服务器转发的目标终端针对目标应用的访问请求,基于第二负载均衡策略,从所述至少一个连接器客户端中确定与所述目标应用所在的源服务器关联的目标连接器客户端;
根据与所述目标连接器客户端对应的会话连接,转发所述访问请求至所述目标连接器客户端,以使所述目标连接器客户端将所述访问请求发送至所述目标应用所在的源服务器。
10.根据权利要求9所述的方法,其特征在于,所述连接请求的数量为多个,所述连接请求中包含对应的连接器客户端的标识信息;
根据所述连接请求,建立与所述至少一个连接器客户端之间的会话连接,包括:
根据多个所述连接请求,分别建立与所述至少一个连接器客户端之间的会话连接,并存储各所述标识信息与对应的会话连接之间的映射关系。
11.根据权利要求9所述的方法,其特征在于,所述基于第二负载均衡策略,从所述至少一个连接器客户端中确定与所述目标应用所在的源服务器关联的目标连接器客户端,包括:
从建立会话连接的所述至少一个连接器客户端中确定出与所述目标应用所在的源服务器关联的每个连接器客户端;
基于第二负载均衡策略,从确定出的每个所述连接器客户端中确定目标连接器客户端。
12.一种隐藏源站的方法,其特征在于,应用于边缘节点服务器,包括:
接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的标识;
根据所述目标应用的标识,从管理平台获取与所述目标应用所在的源服务器关联的连接器客户端的配置信息,所述配置信息至少包括与所述连接器客户端对应的至少一个连接器服务端的地址信息;
基于第三负载均衡策略和获取的所述连接器客户端的配置信息,从与所述连接器客户端对应的每个连接器服务端中确定目标连接器服务端;所述目标连接器服务端与所述连接器客户端之间建立有会话连接,所述会话连接为由所述连接器客户端至所目标连接器服务端的出站连接;
根据所述目标连接器服务端的地址信息,转发所述访问请求至所述目标连接器服务端,以使所述目标连接器服务端将所述访问请求转发给与所述目标应用所在的源服务器关联的目标连接器客户端,使所述目标连接器客户端将所述访问请求发送给所述源服务器。
13.一种隐藏源站的方法,其特征在于,应用于管理平台,包括:
生成至少一个连接器客户端对应的配置信息,所述配置信息至少包括连接器客户端的标识信息和与所述连接器客户端对应的连接器服务端的地址信息;所述连接器客户端与其对应的连接器服务端之间建立有会话连接,所述会话连接为由所述连接器客户端至其对应的连接器服务端的出站连接;
生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种;
发送所述连接器客户端的配置信息;
发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用所在的源服务器相关联的连接器客户端的配置信息,以使所述边缘节点服务器基于接收到的目标应用的配置信息和连接器客户端的配置信息将目标终端针对所述目标应用的访问请求转发给相应的连接器服务端,使所述连接器服务端基于所述出站连接将所述访问请求转发给相应的连接器客户端,使所述连接器客户端将所述访问请求转发给所述目标应用所在的源服务器;
接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统资源使用率中的至少之一。
14.一种隐藏源站的系统,其特征在于,包括:目标终端、目标应用所在的源服务器、管理平台、边缘节点服务器、连接器服务端和连接器客户端;
管理平台,用于生成目标应用的应用配置信息,以及生成连接器客户端对应的配置信息;发送所述连接器客户端的配置信息;发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用所在的源服务器相关联的连接器客户端的配置信息;接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统资源使用率中的至少之一;
边缘节点服务器,用于接收目标终端发送的针对目标应用的访问请求;并根据所述访问请求包含的目标应用的标识,将所述访问请求向对应的连接器服务端进行发送;
连接器服务端,用于接收所述边缘节点服务器发送的所述访问请求;根据在先建立的与连接器客户端的会话连接,将所述访问请求转发至对应的连接器客户端;所述会话连接为由所述连接器客户端至所述连接器服务端的出站连接;
连接器客户端,用于接收所述连接器服务端发送的所述访问请求,并将所述访问请求转发至对应的目标应用。
15.一种隐藏源站的装置,其特征在于,应用于连接器客户端,所述连接器客户端与至少一个目标应用所在的源服务器相关联,包括:
配置获取模块,用于从管理平台获取与所述连接器客户端对应的至少一个连接器服务端的地址信息,所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息;
建立会话模块,用于根据所述至少一个连接器服务端的地址信息,建立与所述至少一个连接器服务端之间的会话连接,所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接;
源服务器确定模块,用于基于所述会话连接,若接收到由连接器服务端转发的针对目标应用的访问请求,则基于第一负载均衡策略,从所述目标应用对应的多个源服务器中确定目标源服务器;所述访问请求是由目标终端发送给边缘节点服务器,由边缘节点服务器基于所述管理平台提供的所述连接器客户端的配置信息转发给所述连接器服务端的;
第一发送模块,用于将所述访问请求发送至所述目标源服务器中的所述目标应用;将接收到的请求响应信息向所述连接器服务端进行发送,所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。
16.一种隐藏源站的装置,其特征在于,应用于连接器服务端,包括:
接收模块,用于接收由至少一个连接器客户端基于所述连接器服务端的地址信息发送的连接请求;其中,所述连接器服务端的地址信息包含在管理平台提供的所述至少一个连接器客户端对应的配置信息中;
建立会话模块,用于根据所述连接请求,建立与所述至少一个连接器客户端之间的会话连接,所述会话连接为由所述至少一个连接器客户端至所述连接器服务端的出站连接;
所述接收模块,还用于接收由边缘节点服务器转发的目标终端针对目标应用的访问请求;
连接器客户端确定模块,用于基于第二负载均衡策略,从所述至少一个连接器客户端中确定与所述目标应用所在的源服务器关联的目标连接器客户端;
第二发送模块,用于根据与所述目标连接器客户端对应的会话连接,转发所述访问请求至所述目标连接器客户端,以使所述目标连接器客户端将所述访问请求发送至所述目标应用所在的源服务器。
17.一种隐藏源站的装置,其特征在于,应用于边缘节点服务器,包括:
接收模块,用于接收由目标终端发送的针对目标应用的访问请求,所述访问请求包含所述目标应用的标识;
配置获取模块,用于根据所述目标应用的标识,从管理平台获取与所述目标应用所在的源服务器关联的连接器客户端的配置信息,所述配置信息至少包括与所述连接器客户端对应的至少一个连接器服务端的地址信息;
连接器服务端确定模块,用于根据所述配置信息及第三负载均衡策略,从与所述连接器客户端对应的每个连接器服务端中确定目标连接器服务端;所述目标连接器服务端与所述连接器客户端之间建立有会话连接,所述会话连接为由所述连接器客户端至所目标连接器服务端的出站连接;
第三发送模块,用于根据所述目标连接器服务端的地址信息,转发所述访问请求至所述目标连接器服务端,以使所述目标连接器服务端将所述访问请求转发给与所述目标应用所在的源服务器关联的目标连接器客户端,使所述目标连接器客户端将所述访问请求发送给所述源服务器。
18.一种隐藏源站的装置,其特征在于,应用于管理平台,包括:
配置生成模块,用于生成至少一个连接器客户端对应的配置信息,所述配置信息至少包括连接器客户端的标识信息和与所述连接器客户端对应的连接器服务端的地址信息;生成目标应用对应的应用配置信息,所述应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种;所述连接器客户端与其对应的连接器服务端之间建立有会话连接,所述会话连接为由所述连接器客户端至其对应的连接器服务端的出站连接;
配置发送模块,用于发送所述连接器客户端所需的配置信息;发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用所在的源服务器相关联的连接器客户端配置信息,以使所述边缘节点服务器基于接收到的目标应用的配置信息和连接器客户端的配置信息将目标终端针对所述目标应用的访问请求转发给相应的连接器服务端,使所述连接器服务端基于所述出站连接将所述访问请求转发给相应的连接器客户端,使所述连接器客户端将所述访问请求转发给所述目标应用所在的源服务器;
状态信息接收模块,用于接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息,所述状态信息至少包括心跳信息和系统资源使用率中的至少之一。
19.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序以实现如权利要求1-13任一项所述的方法。
20.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行实现如权利要求1-13中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110962434.XA CN113872933B (zh) | 2021-08-20 | 2021-08-20 | 隐藏源站的方法、系统、装置、设备及存储介质 |
PCT/CN2022/113500 WO2023020606A1 (zh) | 2021-08-20 | 2022-08-19 | 一种隐藏源站的方法、系统、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110962434.XA CN113872933B (zh) | 2021-08-20 | 2021-08-20 | 隐藏源站的方法、系统、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113872933A CN113872933A (zh) | 2021-12-31 |
CN113872933B true CN113872933B (zh) | 2023-05-26 |
Family
ID=78988014
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110962434.XA Active CN113872933B (zh) | 2021-08-20 | 2021-08-20 | 隐藏源站的方法、系统、装置、设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113872933B (zh) |
WO (1) | WO2023020606A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872933B (zh) * | 2021-08-20 | 2023-05-26 | 上海云盾信息技术有限公司 | 隐藏源站的方法、系统、装置、设备及存储介质 |
CN117914935B (zh) * | 2024-03-05 | 2024-05-28 | 北京长亭科技有限公司 | 一种基于重路由技术的隐蔽通信方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102347959A (zh) * | 2011-11-18 | 2012-02-08 | 运软网络科技(上海)有限公司 | 基于身份和会话的资源访问系统和方法 |
CN112769835A (zh) * | 2021-01-13 | 2021-05-07 | 网宿科技股份有限公司 | 一种访问请求的发起方法及终端设备 |
CN113204730A (zh) * | 2021-05-19 | 2021-08-03 | 网宿科技股份有限公司 | 资源获取方法、webvpn代理服务器、系统及服务器 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10097523B2 (en) * | 2012-01-30 | 2018-10-09 | Martello Technologies Corporation | Method and system for providing secure remote external client access to device or service on a remote network |
EP3443721A4 (en) * | 2016-04-15 | 2020-03-18 | Qualcomm Incorporated | TECHNIQUES FOR MANAGING TRANSMISSIONS OF SECURE CONTENT IN A CONTENT BROADCASTING NETWORK |
CN108064443B (zh) * | 2017-09-30 | 2021-08-06 | 达闼机器人有限公司 | 一种代理转发方法和装置、代理服务器和多级代理网络 |
CN110166432B (zh) * | 2019-04-17 | 2023-10-17 | 平安科技(深圳)有限公司 | 对内网目标服务的访问方法、提供内网目标服务的方法 |
CN114995214A (zh) * | 2021-05-28 | 2022-09-02 | 上海云盾信息技术有限公司 | 远程访问应用的方法、系统、装置、设备及存储介质 |
CN113872933B (zh) * | 2021-08-20 | 2023-05-26 | 上海云盾信息技术有限公司 | 隐藏源站的方法、系统、装置、设备及存储介质 |
-
2021
- 2021-08-20 CN CN202110962434.XA patent/CN113872933B/zh active Active
-
2022
- 2022-08-19 WO PCT/CN2022/113500 patent/WO2023020606A1/zh unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102347959A (zh) * | 2011-11-18 | 2012-02-08 | 运软网络科技(上海)有限公司 | 基于身份和会话的资源访问系统和方法 |
CN112769835A (zh) * | 2021-01-13 | 2021-05-07 | 网宿科技股份有限公司 | 一种访问请求的发起方法及终端设备 |
CN113204730A (zh) * | 2021-05-19 | 2021-08-03 | 网宿科技股份有限公司 | 资源获取方法、webvpn代理服务器、系统及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN113872933A (zh) | 2021-12-31 |
WO2023020606A1 (zh) | 2023-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11831496B2 (en) | Providing access to configurable private computer networks | |
US9667619B1 (en) | Systems and methods for utilizing client side authentication to select services available at a given port number | |
US10951586B2 (en) | Providing location-specific network access to remote services | |
US11190493B2 (en) | Concealing internal applications that are accessed over a network | |
US10868715B2 (en) | Providing local secure network access to remote services | |
US8458786B1 (en) | Automated dynamic tunnel management | |
US10715493B1 (en) | Methods and systems for efficient cyber protections of mobile devices | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
US20170034174A1 (en) | Method for providing access to a web server | |
EP4022876B1 (en) | Preventing a network protocol over an encrypted channel, and applications thereof | |
WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
US9100369B1 (en) | Secure reverse connectivity to private network servers | |
WO2019246331A1 (en) | System and method for creating a secure hybrid overlay network | |
CN112437100A (zh) | 漏洞扫描方法及相关设备 | |
CN113422768B (zh) | 零信任中的应用接入方法、装置及计算设备 | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
US10305857B2 (en) | Technique for obtaining a policy for routing requests emitted by a software module running on a client device | |
CN117040965A (zh) | 通信方法及装置 | |
CN117614647A (zh) | 通信系统及通信方法 | |
CN116827629A (zh) | 一种资源访问方法、装置、设备及存储介质 | |
CN116846605A (zh) | 一种服务访问方法、装置及设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |