CN115150353B - 反向代理业务实现旁路的方法、装置、电子设备和存储介质 - Google Patents
反向代理业务实现旁路的方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115150353B CN115150353B CN202210770736.1A CN202210770736A CN115150353B CN 115150353 B CN115150353 B CN 115150353B CN 202210770736 A CN202210770736 A CN 202210770736A CN 115150353 B CN115150353 B CN 115150353B
- Authority
- CN
- China
- Prior art keywords
- strategy
- proxy
- bypass
- message
- reverse proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000013519 translation Methods 0.000 claims abstract description 71
- 238000006243 chemical reaction Methods 0.000 claims abstract description 48
- 230000006870 function Effects 0.000 claims description 48
- 238000004590 computer program Methods 0.000 claims description 3
- 238000011084 recovery Methods 0.000 claims description 3
- 230000008901 benefit Effects 0.000 abstract description 10
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种反向代理业务实现旁路的方法、装置、电子设备和存储介质,其中,反向代理业务实现旁路的方法包括:当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动;当所述旁路功能启动时,判断针对所述报文的代理策略是否为反向代理策略;当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,所述NAT地址转换策略具有隐藏性;基于所述NAT地址转换策略将所述报文转发至服务端。本申请用以在开启旁路功能以保证业务不被中断的前提,使反向代理业务的报文能够正确被服务端接收,避免反向代理业务失败。同时,本申请至少还具有实现简单的优点。
Description
技术领域
本申请涉及网络技术领域,具体而言,涉及一种反向代理业务实现旁路的方法、装置、电子设备和存储介质。
背景技术
随着信息安全问题的日益严重,网络中部署了越来越多的安全监控、态势感知和行为审计等的安全设备,这些设备或并联或串联在业务网络中,虽然并不参与实际的业务,但却为业务的正常进行保驾护航。
对于并联到网络中安全设备,是从网络中复制一份报文进行分析,对业务网不产生任何影响。对于串联到业务网络中的安全设备则就大不相同了,相当于在业务网络中引入了一个新的网络节点,此节点一旦发生故障,经过此节点的业务就会被中断,为此需要给出一个解决方案,避免因此原因导致的业务中断。
目前一个最优化又最简单可行的方案就是旁路方案。当安全引擎出现故障后,业务直接旁路安全引擎,到达服务器端,确保业务不会受损。
然而现有的旁路方案具有以下缺陷:旁路后的反向代理业务会失败,进而业务会受损。
发明内容
本申请实施例的目的在于提供一种反向代理业务实现旁路的方法、装置、电子设备和存储介质,用以在开启旁路功能以保证业务不被中断的前提,使反向代理业务的报文能够正确被服务端接收,避免反向代理业务失败。同时,本申请至少还具有实现简单的优点。
第一方面,本申请提供一种反向代理业务实现旁路的方法,所述方法应用于转发引擎,所述方法包括:
当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动;
当所述旁路功能启动时,判断针对所述报文的代理策略是否为反向代理策略;
当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,所述NAT地址转换策略具有隐藏性;
基于所述NAT地址转换策略将所述报文转发至服务端。
在本申请第一方面中,当接收到客户端发送的报文时,基于所述转发引擎的标志位能够判断旁路功能是否被启动,进而当所述旁路功能启动时,通过判断针对所述报文的代理策略是否为反向代理策略,能够在当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,其中,所述NAT地址转换策略具有隐藏性,最终能够基于所述NAT地址转换策略将所述报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
在可选的实施方式中,在所述基于所述转发引擎的标志位判断旁路功能是否被启动之前,所述方法还包括:
检测安全引擎是否故障或是否接收到旁路开启指令;
当所述安全引擎故障或接收到所述旁路开启指令时,将所述转发引擎的标志位设置为开启状态。
在本可选的实施方式中,通过检测安全引擎是否故障或是否接收到旁路开启指令,进而当所述安全引擎故障或接收到所述旁路开启指令时,能够将所述转发引擎的标志位设置为开启状态。
在可选的实施方式中,所述方法还包括:
扫描所述反向代理策略并得到代理IP地址和服务器IP地址;
基于所述代理IP地址和所述服务器IP地址生成所述NAT地址转换策略。
在本可选的实施方式中,通过扫描所述反向代理策略并得到代理IP地址和服务器IP地址,进而能够基于所述代理IP地址和所述服务器IP地址生成所述NAT地址转换策略。
在可选的实施方式中,在匹配所述NAT地址转换策略之后,所述方法还包括:
将所述NAT地址转换策略记录到NAT session表项中,以基于所述NAT session表项匹配所述客户端发送的下一个报文对应的NAT地址转换策略。
在本可选的实施方式中,通过将所述NAT地址转换策略记录到NAT session表项中,进而能够基于所述NAT session表项匹配所述客户端发送的下一个报文对应的NAT地址转换策略,从而降低NAT地址转换策略的匹配耗时,从而提高系统性能。
在可选的实施方式中,所述方法还包括:
当所述报文的代理策略为透明代理策略时,基于所述透明代理策略将所述报文转发至所述服务端。
在本可选的实施方式中,当所述报文的代理策略为透明代理策略时,能够基于所述透明代理策略将所述报文转发至所述服务端。
在可选的实施方式中,所述方法还包括:
检测安全引擎的故障是否恢复或是否接收到旁路关闭指令;
当所述安全引擎故障恢复或接收到所述旁路关闭指令时,将所述转发引擎的标志位设置为关闭状态。
在本可定的实施方式,通过检测安全引擎的故障是否恢复或是否接收到旁路关闭指令,进而当所述安全引擎故障恢复或接收到所述旁路关闭指令时,能够将所述转发引擎的标志位设置为关闭状态,从而避免旁路功能影响安全引擎的正常运行。
在可选的实施方式中,所述方法还包括:
当所述转发引擎的标志位设置为关闭状态时,删除所述NAT地址转换策略。
在本可选的实施方式中,当所述转发引擎的标志位设置为关闭状态时,通过删除所述NAT地址转换策略,能够避免NAT地址转换策略造成数据冗余而在造成占用存储空间。
第二方面,本申请提供一种反向代理业务实现旁路的装置,所述装置应用于转发引擎,所述方法包括:
第一判断模块,用于当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动;
第二判断模块,用于当所述旁路功能启动时,判断针对所述报文的代理策略是否为反向代理策略;
匹配模块,用于当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,所述NAT地址转换策略具有隐藏性;
转发模块,用于基于所述NAT地址转换策略将所述报文转发至服务端。
本申请第二方面的装置通过执行反向代理业务实现旁路的方法,能够在当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动,进而当所述旁路功能启动时,通过判断针对所述报文的代理策略是否为反向代理策略,能够在当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,其中,所述NAT地址转换策略具有隐藏性,最终能够基于所述NAT地址转换策略将所述报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
第三方面,本申请提供一种电子设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如前述实施方式任一项所述的反向代理业务实现旁路的方法。
本申请第三方面的电子设备通过执行反向代理业务实现旁路的方法,能够在当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动,进而当所述旁路功能启动时,通过判断针对所述报文的代理策略是否为反向代理策略,能够在当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,其中,所述NAT地址转换策略具有隐藏性,最终能够基于所述NAT地址转换策略将所述报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
第四方面,本申请提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如前述实施方式任一项所述的反向代理业务实现旁路的方法。
本申请第四方面的存储介质通过执行反向代理业务实现旁路的方法,能够在当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动,进而当所述旁路功能启动时,通过判断针对所述报文的代理策略是否为反向代理策略,能够在当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,其中,所述NAT地址转换策略具有隐藏性,最终能够基于所述NAT地址转换策略将所述报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种的反向代理业务实现旁路的方法流程示意图;
图2是本申请实施例公开的一种转发引擎向服务端转发报文的流程示意图;
图3是本申请实施例公开的另一种转发引擎向服务端转发报文的流程示意图;
图4是本申请实施例公开的一种反向代理业务实现旁路的装置的结构示意图;
图5是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种的反向代理业务实现旁路的方法流程示意图,其中,该方法应用转发引擎中。如图1所示,本申请实施例的方法包括以下步骤:
101、当接收到客户端发送的报文时,基于转发引擎的标志位判断旁路功能是否被启动;
102、当旁路功能启动时,判断针对报文的代理策略是否为反向代理策略;
103、当针对报文的代理策略为反向代理策略时,匹配NAT地址转换策略,NAT地址转换策略具有隐藏性;
104、基于NAT地址转换策略将报文转发至服务端。
在本申请实施例中,当接收到客户端发送的报文时,基于转发引擎的标志位能够判断旁路功能是否被启动,进而当旁路功能启动时,通过判断针对报文的代理策略是否为反向代理策略,能够在当针对报文的代理策略为反向代理策略时,匹配NAT地址转换策略,其中,NAT地址转换策略具有隐藏性,最终能够基于NAT地址转换策略将报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
在本申请实施例中,针对步骤101,转发引擎与客户端通信连接,进而能够接收客户端发送的报文,其中,客户端向转发引擎发送的报文可以是TCP SYN报文,也可是UDP报文,本申请实施例对此不作限定。
在本申请实施例中,针对步骤101,转发引擎还与服务端通信连接,用户将报文发送至服务端。
在本申请实施例中,针对步骤101,转发引擎与安全引擎为旁路部署,其中,当安全引擎故障时,转发引擎接收报文。
在本申请实施例中,针对步骤101,当转发引擎的标志位关联旁路功能的开启状态和关闭状态,例如,当转发引擎的标志位为1时,表示旁路功能的状态为开启状态,而当转发引擎的标志位为0时,表示旁路功能的状态为关闭状态。
在本申请实施例中,针对102,如图2所示,当客户端发送的报文携带DUT代理IP时,可确定针对报文的代理策略为反向代理策略。
在本申请实施例中,针对103,如图2所示,转发引擎能够基于NAT地址转换策略将报文转发至服务端。
在可选的实施方式中,在步骤:基于转发引擎的标志位判断旁路功能是否被启动之前,本申请实施例的方法还包括以下步骤:
检测安全引擎是否故障或是否接收到旁路开启指令;
当安全引擎故障或接收到旁路开启指令时,将转发引擎的标志位设置为开启状态。
在本可选的实施方式中,通过检测安全引擎是否故障或是否接收到旁路开启指令,进而当安全引擎故障或接收到旁路开启指令时,能够将转发引擎的标志位设置为开启状态。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
扫描反向代理策略并得到代理IP地址和服务器IP地址;
基于代理IP地址和服务器IP地址生成NAT地址转换策略。
在本可选的实施方式中,通过扫描反向代理策略并得到代理IP地址和服务器IP地址,进而能够基于代理IP地址和服务器IP地址生成NAT地址转换策略。
在本可选的实施方式中,基于代理IP地址和服务器IP地址生成NAT地址转换策略的时间可以在配置报文的代理策略之后触发执行,也可以在检测到安全引擎发生故障时触发执行,作为一种优选方式,本申请实施例配置报文的代理策略之后触发执行生成NAT地址转换策略,这样一来,能够避免生成NAT地址转换策略所消耗的时长导致业务恢复时间延长,尤其是在生成NAT地址转换策略所消耗的时长与配置的代理策略条数成正比的前提下,降低业务恢复时间延长的概率。
在本可选的实施方式中,作为一种示例,假设报文的代理策略为反向代理策略,且反向代理策略为“proxy_ip:代理IP地址;server_ip:服务器IP地址”,则基于代理IP地址和服务器IP地址生成NAT地址转换策略为“orig_dst:指明做nat转换数据流的目的地址,此处为proxy_ip;trans_src:指定nat转换后的源地址,此处为proxy_ip;trans_dst:指定nat转换后的目的地址,此处为server_ip”。
在可选的实施方式中,在步骤:匹配NAT地址转换策略之后,本申请实施例的方法还包括:
将NAT地址转换策略记录到NAT session表项中,以基于NAT session表项匹配客户端发送的下一个报文对应的NAT地址转换策略。
在本可选的实施方式中,通过将NAT地址转换策略记录到NAT session表项中,进而能够基于NAT session表项匹配客户端发送的下一个报文对应的NAT地址转换策略,从而降低NAT地址转换策略的匹配耗时,从而提高系统性能。
在本可选的实施方式中,session为网络应用中的会话控制对象,其中,NATsession为转发引擎与客服端之间的会话控制对象,进而NAT session的表项能够用于记录NAT地址转换策略。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
当报文的代理策略为透明代理策略时,基于透明代理策略将报文转发至服务端。
在本可选的实施方式中,当报文的代理策略为透明代理策略时,能够基于透明代理策略将报文转发至服务端。
在本可选的实施方式中,请参阅图3,图3是本申请实施例公开的另一种转发引擎向服务端转发报文的流程示意图。如图3所示,当报文的代理策略为透明代理策略时,能够基于透明代理策略将报文转发至服务端。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
检测安全引擎的故障是否恢复或是否接收到旁路关闭指令;
当安全引擎故障恢复或接收到旁路关闭指令时,将转发引擎的标志位设置为关闭状态。
在本可定的实施方式,通过检测安全引擎的故障是否恢复或是否接收到旁路关闭指令,进而当安全引擎故障恢复或接收到旁路关闭指令时,能够将转发引擎的标志位设置为关闭状态,从而避免旁路功能影响安全引擎的正常运行。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
当转发引擎的标志位设置为关闭状态时,删除NAT地址转换策略。
在本可选的实施方式中,当转发引擎的标志位设置为关闭状态时,通过删除NAT地址转换策略,能够避免NAT地址转换策略造成数据冗余而在造成占用存储空间。
实施例二
请参阅图4,图4是本申请实施例公开的一种反向代理业务实现旁路的装置的结构示意图,其中,该装置应用于转发引擎中,如图1所示,本申请实施例的装置包括以下功能模块:
第一判断模块201,用于当接收到客户端发送的报文时,基于转发引擎的标志位判断旁路功能是否被启动;
第二判断模块202,用于当旁路功能启动时,判断针对报文的代理策略是否为反向代理策略;
匹配模块203,用于当针对报文的代理策略为反向代理策略时,匹配NAT地址转换策略,NAT地址转换策略具有隐藏性;
转发模块204,用于基于NAT地址转换策略将报文转发至服务端。
本申请实施例的装置通过执行反向代理业务实现旁路的方法,能够在当接收到客户端发送的报文时,基于转发引擎的标志位判断旁路功能是否被启动,进而当旁路功能启动时,通过判断针对报文的代理策略是否为反向代理策略,能够在当针对报文的代理策略为反向代理策略时,匹配NAT地址转换策略,其中,NAT地址转换策略具有隐藏性,最终能够基于NAT地址转换策略将报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
需要说明的是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例三
请参阅图5,图5是本申请实施例公开的一种电子设备的结构示意图,如图5所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行如前述实施方式任一项的反向代理业务实现旁路的方法。
本申请实施例的电子设备通过执行反向代理业务实现旁路的方法,能够在当接收到客户端发送的报文时,基于转发引擎的标志位判断旁路功能是否被启动,进而当旁路功能启动时,通过判断针对报文的代理策略是否为反向代理策略,能够在当针对报文的代理策略为反向代理策略时,匹配NAT地址转换策略,其中,NAT地址转换策略具有隐藏性,最终能够基于NAT地址转换策略将报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
实施例四
本申请实施例提供一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行如前述实施方式任一项的反向代理业务实现旁路的方法。
本申请实施例的存储介质通过执行反向代理业务实现旁路的方法,能够在当接收到客户端发送的报文时,基于转发引擎的标志位判断旁路功能是否被启动,进而当旁路功能启动时,通过判断针对报文的代理策略是否为反向代理策略,能够在当针对报文的代理策略为反向代理策略时,匹配NAT地址转换策略,其中,NAT地址转换策略具有隐藏性,最终能够基于NAT地址转换策略将报文转发至服务端,这样一来,就能够通过旁路功能保证业务不被中断,并能够通过NAT地址转换策略使反向代理业务的报文能够在旁路开启的前提下正确被服务端接收,避免反向代理业务失败。同时,本申请基于NAT地址转换策略转发报文对于开发人员而言,其实现简单,从而具有实现的优点。另一方面,由于本申请的NAT地址转换策略具有隐藏性,因此其无法通过NAT命令被查询到,进而可避免NAT地址转换策略泄露。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种反向代理业务实现旁路的方法,其特征在于,所述方法应用于转发引擎,所述方法包括:
当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动;
当所述旁路功能启动时,判断针对所述报文的代理策略是否为反向代理策略;
当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,所述NAT地址转换策略具有隐藏性;
基于所述NAT地址转换策略将所述报文转发至服务端;
在所述基于所述转发引擎的标志位判断旁路功能是否被启动之前,所述方法还包括:
检测安全引擎是否故障或是否接收到旁路开启指令;
当所述安全引擎故障或接收到所述旁路开启指令时,将所述转发引擎的标志位设置为开启状态;
以及,所述方法还包括:
扫描所述反向代理策略并得到代理IP地址和服务器IP地址;
基于所述代理IP地址和所述服务器IP地址生成所述NAT地址转换策略。
2.如权利要求1所述的方法,其特征在于,在匹配所述NAT地址转换策略之后,所述方法还包括:
将所述NAT地址转换策略记录到NAT session表项中,以基于所述NAT session表项匹配所述客户端发送的下一个报文对应的NAT地址转换策略。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述报文的代理策略为透明代理策略时,基于所述透明代理策略将所述报文转发至所述服务端。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
检测安全引擎的故障是否恢复或是否接收到旁路关闭指令;
当所述安全引擎故障恢复或接收到所述旁路关闭指令时,将所述转发引擎的标志位设置为关闭状态。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
当所述转发引擎的标志位设置为关闭状态时,删除所述NAT地址转换策略。
6.一种反向代理业务实现旁路的装置,其特征在于,所述装置应用于转发引擎,所述装置包括:
第一判断模块,用于当接收到客户端发送的报文时,基于所述转发引擎的标志位判断旁路功能是否被启动;
第二判断模块,用于当所述旁路功能启动时,判断针对所述报文的代理策略是否为反向代理策略;
匹配模块,用于当针对所述报文的代理策略为所述反向代理策略时,匹配NAT地址转换策略,所述NAT地址转换策略具有隐藏性;
转发模块,用于基于所述NAT地址转换策略将所述报文转发至服务端;
以及,所述装置还用于在所述基于所述转发引擎的标志位判断旁路功能是否被启动之前,检测安全引擎是否故障或是否接收到旁路开启指令,当所述安全引擎故障或接收到所述旁路开启指令时,将所述转发引擎的标志位设置为开启状态;
以及,所述装置还用于:
扫描所述反向代理策略并得到代理IP地址和服务器IP地址;
基于所述代理IP地址和所述服务器IP地址生成所述NAT地址转换策略。
7.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-5任一项所述的反向代理业务实现旁路的方法。
8.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-5任一项所述的反向代理业务实现旁路的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210770736.1A CN115150353B (zh) | 2022-06-30 | 2022-06-30 | 反向代理业务实现旁路的方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210770736.1A CN115150353B (zh) | 2022-06-30 | 2022-06-30 | 反向代理业务实现旁路的方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150353A CN115150353A (zh) | 2022-10-04 |
| CN115150353B true CN115150353B (zh) | 2024-01-23 |
Family
ID=83409515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210770736.1A Active CN115150353B (zh) | 2022-06-30 | 2022-06-30 | 反向代理业务实现旁路的方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150353B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148767A (zh) * | 2011-05-12 | 2011-08-10 | 杭州华三通信技术有限公司 | 一种基于nat的数据路由方法及其装置 |
| CN102726075A (zh) * | 2011-08-19 | 2012-10-10 | 华为技术有限公司 | 业务旁路方法、接入网设备和安全网关 |
| EP2536097A1 (en) * | 2011-06-15 | 2012-12-19 | Juniper Networks, Inc. | Network integrated dynamic resource routing |
| CN108040134A (zh) * | 2017-12-06 | 2018-05-15 | 杭州迪普科技股份有限公司 | 一种dns透明代理的方法及装置 |
| CN109743197A (zh) * | 2018-12-24 | 2019-05-10 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
| CN114039880A (zh) * | 2021-11-08 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种无连接服务的性能测试方法、装置及系统 |
-
2022
- 2022-06-30 CN CN202210770736.1A patent/CN115150353B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148767A (zh) * | 2011-05-12 | 2011-08-10 | 杭州华三通信技术有限公司 | 一种基于nat的数据路由方法及其装置 |
| EP2536097A1 (en) * | 2011-06-15 | 2012-12-19 | Juniper Networks, Inc. | Network integrated dynamic resource routing |
| CN102726075A (zh) * | 2011-08-19 | 2012-10-10 | 华为技术有限公司 | 业务旁路方法、接入网设备和安全网关 |
| CN108040134A (zh) * | 2017-12-06 | 2018-05-15 | 杭州迪普科技股份有限公司 | 一种dns透明代理的方法及装置 |
| CN109743197A (zh) * | 2018-12-24 | 2019-05-10 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
| CN114039880A (zh) * | 2021-11-08 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种无连接服务的性能测试方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| "基于Linux反向代理技术在校园网的研究与实现";邵闻珠,张丽;《石河子大学学报(自然科学版)》;第第29卷卷(第第3期期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115150353A (zh) | 2022-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6721890B1 (en) | Application specific distributed firewall | |
| JP4283228B2 (ja) | コンピュータ侵入に対応するための方法及びシステム | |
| Liang et al. | Automatic generation of buffer overflow attack signatures: An approach based on program behavior models | |
| US8141126B2 (en) | Selective IPsec security association recovery | |
| US20030033542A1 (en) | Intrusion tolerant communication networks and associated methods | |
| CN113452717B (zh) | 通信软件安全防护的方法、装置、电子设备及存储介质 | |
| CN102135925B (zh) | 用于检测错误检查和纠正内存的方法和装置 | |
| CN112398699B (zh) | 一种网络流量抓包方法、装置及设备 | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN111800490B (zh) | 获取网络行为数据的方法、装置及终端设备 | |
| CN111669371B (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
| JP2007183773A (ja) | サーバ監視プログラム、サーバ監視装置、サーバ監視方法 | |
| CN105589764B (zh) | Cpu异常处理方法及装置 | |
| KR102059688B1 (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| US9380067B2 (en) | IPS detection processing method, network security device, and system | |
| CN115150353B (zh) | 反向代理业务实现旁路的方法、装置、电子设备和存储介质 | |
| CN115208606A (zh) | 一种网络安全防范的实现方法、系统及存储介质 | |
| JP4652851B2 (ja) | ネットワーク情報収集装置、制御方法およびプログラム | |
| Das | Attack development for intrusion detector evaluation | |
| CN111669342A (zh) | 基于广义鲁棒控制的网络防御方法、系统及交换机 | |
| CN106682040A (zh) | 数据管理方法及装置 | |
| KR200398406Y1 (ko) | 고가용성 네트워크 트래픽 제어장치 | |
| CN103401779A (zh) | 报文转发路径切换方法、装置及网络设备 | |
| CN114238967A (zh) | 一种嵌入式安全模块的安全加强处理方法 | |
| KR101511841B1 (ko) | 가상 머신 기반의 무중단 시스템 및 상기 시스템에서의 패킷 중재 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |