CN116761173A - 一种访问流量控制方法、装置、设备和存储介质 - Google Patents
一种访问流量控制方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN116761173A CN116761173A CN202310776615.2A CN202310776615A CN116761173A CN 116761173 A CN116761173 A CN 116761173A CN 202310776615 A CN202310776615 A CN 202310776615A CN 116761173 A CN116761173 A CN 116761173A
- Authority
- CN
- China
- Prior art keywords
- internal
- access request
- external
- access
- check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000007246 mechanism Effects 0.000 claims abstract description 39
- 238000012795 verification Methods 0.000 claims description 58
- 238000004590 computer program Methods 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及计算机领域,公开了一种访问流量控制方法、装置、设备和存储介质。该方法包括:通过外部反向代理机制拦截外部访问请求,并对拦截到的外部访问请求进行安全校验,在安全校验通过时,将外部访问请求分发至相应的内部网络服务器;通过内部反向代理机制扫描内部访问请求,并对内部访问请求进行安全校验,在安全校验通过时,将内部访问请求分发至相应的内部网络服务器或外部网络服务器。本申请实施例通过搭建一个外部反向代理机制和内部反向代理机制,实现对外部访问请求和内部访问请求流量的自动化安全校验,以保证各个网络服务器之间的数据及信息的安全性。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种访问流量控制方法、装置、设备和存储介质。
背景技术
伴随着移动网络的快速普及,越来越多的用户通过移动互联网接入到某一服务平台的内部网络服务中,而在某些行业领域内,如金融科技等领域,因其业务对接的复杂性和隐私性,对内部网络服务安全极其重视。
进而,在某些设备或客户端通过wifi或者PC端接入企业内部网络的网络访问流量时,由于不能确保每一个设备都是安全的,也不能保证每一个外部访问进入的流量都是安全的,因此,该内部网络服务的安全措施显得格外重要。例如,客户端通过wifi访问银行内部的某一业务系统获取该内部网络服务时,银行内部网络服务的安全性难以保证。
目前业界对于内部网络安全采用了多种手段,诸如设置防火墙、杀毒软件等措施,但是针对内部网络服务和外部网络服务两者并存的情况,服务平台并不能同时监控两者的网络访问流量的安全监控,故而导致内部网络安全性大大降低。
发明内容
有鉴于此,为了解决现有技术存在的不足,本申请提供了一种可应用于如金融科技等领域或其他领域的访问流量控制方法、装置、设备和存储介质。
第一方面,本申请提供一种访问流量控制方法,包括:
通过外部反向代理机制拦截外部访问请求,并对拦截到的所述外部访问请求进行安全校验,在安全校验通过时,将所述外部访问请求分发至相应的内部网络服务器;
通过内部反向代理机制扫描内部访问请求,并对所述内部访问请求进行安全校验,在安全校验通过时,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器。
在可选的实施方式中,在所述对拦截到的所述外部访问请求进行安全校验之前,还包括:
预先对用于发起外部访问请求的客户端设置访问权限,根据各个所述客户端的访问权限,生成权限白名单;
通过所述权限白名单,对拦截的所述外部访问请求进行访问权限校验;
若所述权限白名单包含有所述外部访问请求对应的客户端,则确定通过访问权限校验,进而对相应的外部访问请求进行安全校验;
若所述权限白名单未包含有所述外部访问请求对应的客户端,则确定未通过访问权限校验,并向所述客户端发送访问失败信息。
在可选的实施方式中,所述对所述外部访问请求进行安全校验,包括:
采用预设的安全规则库中的各项外部校验规则,依次对所述外部访问请求进行校验;其中,一个所述外部校验规则对应一个外部校验项目,所述外部校验规则包括IP校验规则、MAC地址校验规则、证书校验规则、AK/SK校验规则和用户认证校验规则中的任意一种或多种;
若所述外部访问请求通过了所有所述外部校验项目,则确定所述外部访问请求通过安全校验;
若所述外部访问请求未通过所有所述外部校验项目中的任意一个外部校验项目,则确定所述外部访问请求未通过安全校验。
在可选的实施方式中,所述方法还包括:在确定所述外部访问请求的安全校验未通过时,向所述外部访问请求对应的客户端发送访问失败信息。
在可选的实施方式中,所述对所述内部访问请求进行安全校验,包括:
采用预设的内部校验规则,对所述内部访问请求进行校验;其中,一个所述内部校验规则对应一个内部校验项目,所述内部校验规则包括权限校验、签名校验中的任意一种或多种;
若所述内部访问请求通过了所有所述内部校验项目,则确定所述内部访问请求通过安全校验;
若所述内部访问请求未通过所有所述内部校验项目中的任意一个内部校验项目,则确定所述内部访问请求未通过安全校验。
在可选的实施方式中,所述方法还包括:在确定所述内部访问请求的安全校验未通过时,拦截所述内部访问请求。
在可选的实施方式中,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器,包括:
获取所述内部访问请求携带的网络服务器标识信息,并识别所述网络服务器标识信息的隶属类别;
若所述网络服务器标识信息对应的隶属类别为外部网络服务器,则将所述内部访问请求发送至所述外部网络服务器;
若所述网络服务器标识信息对应的隶属类别为内部网络服务器,则将所述内部访问请求发送至所述内部网络服务器。
第二方面,本申请提供一种访问流量控制装置,包括:
外部访问控制模块,用于通过外部反向代理机制拦截外部访问请求,并对拦截到的所述外部访问请求进行安全校验,在安全校验通过时,将所述外部访问请求分发至相应的内部网络服务器;
内部访问控制模块,用于通过内部反向代理机制扫描内部访问请求,并对所述内部访问请求进行安全校验,在安全校验通过时,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器。
第三方面,本申请提供一种计算机设备,所述计算机设备包括存储器和至少一个处理器,所述存储器存储有计算机程序,所述处理器用于执行所述计算机程序以实施前述的访问流量控制方法。
第四方面,本申请提供一种计算机存储介质,其存储有计算机程序,所述计算机程序被执行时,实施根据前述的访问流量控制方法。
本申请实施例具有如下有益效果:
本申请实施例提供了一种访问流量控制方法,该方法包括:通过外部反向代理机制拦截外部访问请求,并对拦截到的外部访问请求进行安全校验,在安全校验通过时,将外部访问请求分发至相应的内部网络服务器;通过内部反向代理机制扫描内部访问请求,并对内部访问请求进行安全校验,在安全校验通过时,将内部访问请求分发至相应的内部网络服务器或外部网络服务器。本申请实施例通过搭建一个外部反向代理机制和内部反向代理机制,实现对外部访问请求和内部访问请求流量的自动化安全校验,以保证各个网络服务器之间的数据及信息的安全性,避免各种非法的访问请求在接入服务平台以获取网络服务时,导致出现服务平台内部数据或信息遭泄露或篡改等安全问题。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对本申请保护范围的限定。在各个附图中,类似的构成部分采用类似的编号。
图1示出了本申请实施例的访问流量控制方法的第一个实施方式示意图;
图2示出了本申请实施例的访问流量控制方法的第二个实施方式示意图;
图3示出了本申请实施例的访问流量控制方法的第三个实施方式示意图;
图4示出了本申请实施例的访问流量控制方法的第四个实施方式示意图;
图5示出了本申请实施例的访问流量控制方法的第五个实施方式示意图;
图6示出了本申请实施例的访问流量控制装置的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。
通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
在下文中,可在本申请的各种实施例中使用的术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本申请的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本申请的各种实施例中被清楚地限定。
一个小型服务平台的网络基建的安全性,对于企业来说是非常重要的,当基建出现问题时,影响的是一个集体的效率,导致整体效能降低。基于此,本实施例提供了一种访问流量控制方法,采用集中管理网络访问流量、接入控制,搭建出整体的网络基础框架,保证基本的网络通畅。所有的网络接入需要经过安全验证准入,所有的请求通过集中管理的方式来控制。
可以理解,针对如金融科技等领域的银行内部的业务系统,实现对其网络访问流量的集中管控即是将所有的网络访问请求和输出响应进行统一管理、集中处理,确保接收到的所有网络访问流量都经过安全校验,以保证内部网络服务的安全性。
请参照图1,下面对该方法进行详细说明。
S10,通过外部反向代理机制拦截外部访问请求,并对拦截到的外部访问请求进行安全校验,在安全校验通过时,将外部访问请求分发至相应的内部网络服务器。
S20,通过内部反向代理机制扫描内部访问请求,并对内部访问请求进行安全校验,在安全校验通过时,将内部访问请求分发至相应的内部网络服务器或外部网络服务器。
现有的互联网服务平台为平台用户提供各类型的相关在线服务,平台用户通过客户端来向服务平台发起网络请求,以获取相关的网络服务,如获取相应业务系统的数据等。
可以理解,一个服务平台搭载有多个内部服务器,每个内部服务器内部搭载有多个内部业务系统,多个内部业务系统之间发起内部访问请求来实现内部业务系统之间的交互。也即是该服务平台可通过各个内部服务器之间的访问请求实现数据或信息的交互。而该服务平台未搭载的服务器即为外部服务器,外部服务器如需请求获取该内部服务器内的数据时,则向该内部服务器发起外部访问请求。
示例的,在实际应用场景中,如银行等,外部服务器、内部服务器和服务平台类似于客户端、银行内部服务器和银行。也即是,客户端可向银行内部服务器发起外部访问请求,以获取相应的数据;以及银行内部服务器之间发起内部访问请求以获取相应业务系统的数据。
在本实施例中,通过搭建一个外部反向代理机制和内部反向代理机制,实现对外部访问请求和内部访问请求流量的自动化安全校验,通过该自动化安全校验以保证各个网络服务器之间的数据及信息的安全性,避免各种非法的访问请求在接入服务平台以获取网络服务时,导致出现服务平台内部数据或信息遭泄露或篡改等安全问题。
进而,在外部访问请求或内部访问请求通过该安全校验时,将其分发至相应的网络服务器以获取网络服务。
具体地,可通过Nginx架构进行反向代理的模式来实现网络访问流量控制,通过在网络访问流量入口处设置一套外部反向代理机制,控制外部访问请求流量,同时在内部的局域网内架设一套内部反向代理机制,管控内部访问请求流量,从而确保了内外部物理隔离的安全性。
例如,银行内部的管理系统、存款系统等业务系统在访问银行内部的数据时,以及一部分需要外连关联业务公网数据的,服务平台都可以通过外部反向代理机制和内部反向代理机制来对其进行集中管理控制。
此外,外部反向代理机制和内部反向代理机制这两种代理机制,都可以通过增加灵活应用常用的硬件设备来提升网络服务的安全性能。
在一实施方式中,如图2所示,本实施例中“对外部访问请求进行安全校验”具体包括如下步骤:
S11,采用预设的安全规则库中的各项外部校验规则,依次对外部访问请求进行校验;其中,一个外部校验规则对应一个外部校验项目。
S12,若外部访问请求通过了所有外部校验项目,则确定外部访问请求通过安全校验。
S13,若外部访问请求未通过所有外部校验项目中的任意一个外部校验项目,则中断校验,并确定外部访问请求未通过安全校验。
在本实施例中,对于外部访问请求的安全校验,预先设置一个安全规则库,该安全规则库包括了多个外部校验规则,进而外部反向代理机制通过该安全规则库中所有的外部校验规则,依次对外部访问请求进行校验。
该外部校验规则可预先根据实际需求进行设置,本实施例对此不做限定,例如,该外部校验规则包括如IP校验规则、MAC地址校验规则、证书校验规则、AK/SK校验规则和用户认证校验规则中的任意一种或多种。
一个外部校验规则对应一个外部校验项目,进而,若该外部访问请求通过了所有的外部校验项目,则确定该外部访问请求通过了安全校验;反之,若该外部访问请求未通过其中任意一个外部校验项目,则确定该外部访问请求未通过安全校验,说明该外部访问请求存在安全风险。
进一步地,在确定外部访问请求的安全校验未通过时,向外部访问请求对应的客户端发送访问失败信息。
示例的,在实际场景中,若非法用户(即非法客户端)伪造了外部访问请求,要求访问服务平台内部某个业务系统,以相应获取该业务系统内的数据;进而服务平台可通过外部访问代理机制拦截该外部访问请求时,通过对其进行安全校验确定该外部访问请求是否为非法请求(即确定该外部访问请求是否通过安全校验),若确定该外部访问请求为非法请求,则向发起该外部访问请求的客户端发送访问失败信息,以拒绝该客户端访问相应的业务系统,从而保障服务平台内部各个业务系统的数据安全。
作为一种可选的实施方式,如图3所示,在对外部访问请求进行安全校验之前,本实施例还具体包括如下步骤:
S31,预先对用于发起外部访问请求的客户端设置访问权限,根据各个客户端的访问权限,生成权限白名单。
S32,通过权限白名单,对拦截的外部访问请求进行访问权限校验。
S33,若权限白名单包含有外部访问请求对应的客户端,则确定通过访问权限校验,进而对外部访问请求进行安全校验。
S34,若权限白名单未包含有外部访问请求对应的客户端,则确定未通过访问权限校验,并向客户端发送访问失败信息。
服务平台预先对用于发起外部访问请求的所有客户端设置访问权限,该访问权限规定了各个客户端可授权访问的业务系统的范围。例如,规定某一客户端可授权访问服务平台的业务系统A和业务系统B,进而,若后续该客户端发起访问业务系统C的外部访问请求时,由于该客户端不具备访问业务系统C的访问权限,则该服务平台会通过外部反向代理机制拒绝该外部访问请求。
进而根据每个客户端的访问权限设置,对应生成每个业务系统的权限白名单。该权限白名单标示了可授权访问该业务系统的所有客户端;进而,该外部反向代理机制获取该外部访问请求对应请求访问的业务系统的权限白名单,通过该权限白名单来对拦截的外部访问请求进行访问权限校验。
其中,若该权限白名单内包含有该外部访问请求对应的客户端时,则说明该外部访问请求具备访问权限,从而确定该外部访问请求通过访问权限校验。反之,若该权限白名单内未包含有该外部访问请求对应的客户端时,则说明该外部访问请求不具备访问权限,从而确定该外部访问请求未通过访问权限校验,并向该外部访问请求的客户端发送访问失败信息。
需要说明的是,先对拦截的所有外部访问请求进行访问权限校验,可极大的减少需要进行安全校验的外部访问请求的数量,也即是,通过设置访问权限校验流程,优先丢弃没有访问权限的外部访问请求,方便后续快速对外部访问请求进行安全校验,提高安全校验效率;且设置两个校验流程对外部访问请求依次进行校验,有效避免非法客户端的未授权外部访问请求,从而相应提高了业务系统数据的安全性。
另外,该权限校验还可以包括对外部访问请求的客户端进行实名认证校验,以判断该客户端对应的用户名是否正确。也即是所有接入网络服务的用户(客户端)必须实名认证,经登记授权后方可接入内部局域网,进而避免了非授权用户通过内部网络接入影响到局域网内的安全。
而对于未登记的用户名(即客户端),为确保内部网络服务安全,通过采用单独无线访问接入点(即AP),同时使用公网通道来接入内部局域网,进而获取内部网络服务,从而无需经过权限校验直接进行安全校验。
在一实施方式中,如图4所示,本实施例中“对内部访问请求进行安全校验”具体包括如下步骤:
S21,采用预设的内部校验规则,对内部访问请求进行校验;其中,一个内部校验规则对应一个内部校验项目。
S22,若内部访问请求通过了所有内部校验项目,则确定内部访问请求通过安全校验。
S23,若内部访问请求未通过所有内部校验项目中的任意一个内部校验项目,则确定内部访问请求未通过安全校验。
在本实施例中,内部反向代理机制通过内部校验规则,对拦截的所有内部访问请求进行安全校验。该内部校验规则预先根据实际需求进行设置,该内部校验规则与外部校验规则可以是一致的或是存在区别的,本实施例对此不做限定,例如,该内部校验规则包括如权限校验、签名校验等中的任意一种或多种。
一个内部校验规则对应一个内部校验项目,进而,若该内部访问请求通过了所有的内部校验项目,则确定该内部访问请求通过了安全校验;反之,若该内部访问请求未通过其中任意一个内部校验项目,则确定该内部访问请求未通过安全校验,说明该内部访问请求存在安全风险。
在确定内部访问请求的安全校验未通过时,说明该内部访问请求存在安全问题,则丢弃该内部访问请求。进而,该内部访问请求被丢弃后,无法将其分发至相应的网络服务器,也即是拒绝为该内部网络访问请求提供网络服务,从而避免不安全的内部访问请求对网络服务器造成安全影响。
进一步地,本实施例可通过内部反向代理机制实现对所有不安全的内部访问请求的自动化丢弃,也即是,通过该内部反向代理机制来对内部访问请求进行安全校验,并自动将未通过安全校验的内部访问请求进行丢弃,从而提高了服务器的安全性。
可以理解,内部反向代理机制通过检测内部访问请求,对其进行安全监测,实际场景中通过采用贴合内部使用习惯的一些内部校验规则,当监测到不安全的内部访问请求时,对该内部访问请求予以拒绝。对通过安全校验的内部访问请求放行给内部网络服务器或外部访问服务器。例如,若内部某些业务系统,若权限校验未通过,即说明该内部访问请求越权访问了部分非该业务系统授权访问的业务系统,进而通过内部反向代理机制对该内部访问请求进行丢弃处理,从而提高了内部业务系统之间的交互安全性。
在一实施方式中,如图5所示,本实施例中“将内部访问请求分发至相应的内部网络服务器或外部网络服务器”具体包括如下步骤:
S24,获取内部访问请求携带的网络服务器标识信息,并识别网络服务器标识信息的隶属类别。
S25,若网络服务器标识信息对应的隶属类别为外部网络服务器,则将内部访问请求发送至外部网络服务器。
S26,若网络服务器标识信息对应的隶属类别为内部网络服务器,则将内部访问请求发送至内部网络服务器。
在本申请实施例中,预先为各个网络服务器按照外部网络服务器和内部网络服务器的隶属类别设置网络服务器标识信息,该网络服务器标识信息用于指示为该内部访问请求提供网络服务的网络服务器的隶属类别。
进一步地,当发起内部访问请求时,所发起的每个内部访问请求都携带有网络服务器标识信息。可以理解,可通过该网络服务器标识信息来确定用于接收该内部访问请求的网络服务器的隶属类别。
其中,网络服务器的隶属类别包括内部网络服务器和外部网络服务器。获取安全校验通过后的内部访问请求所携带的网络服务器标识信息,识别该网络服务器标识信息,以确定该网络服务器标识信息对应的隶属类别。
进而,若确定该网络服务器标识信息对应的隶属类别为外部网络服务器,则将该内部访问请求分发至外部网络服务器中的任一个网络服务器;若确定该网络服务器标识信息对应的隶属类别为内部网络服务器,则将该内部访问请求分发至内部网络服务器中的任一个网络服务器。
本申请实施例通过搭建一个外部反向代理机制和内部反向代理机制,实现对外部访问请求和内部访问请求流量的自动化安全校验,以保证各个网络服务器之间的数据及信息的安全性,避免各种非法的访问请求在接入服务平台以获取网络服务时,导致出现服务平台内部数据或信息遭泄露或篡改等安全问题,具有较好的实用性,从而提高管理人员对网络服务的管理效率。
请参阅图6,本申请实施例提供了一种访问流量控制装置,该装置包括:
外部访问控制模块110,用于通过外部反向代理机制拦截外部访问请求,并对拦截到的所述外部访问请求进行安全校验,在安全校验通过时,将所述外部访问请求分发至相应的内部网络服务器;
内部访问控制模块120,用于通过内部反向代理机制扫描内部访问请求,并对所述内部访问请求进行安全校验,在安全校验通过时,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器。
上述的访问流量控制装置对应于上述实施例的访问流量控制方法;上述实施例中的任何可选项也适用于本实施例,这里不再详述。
本申请实施例还提供了一种计算机设备,该所述计算机设备包括存储器和至少一个处理器,所述存储器存储有计算机程序,所述处理器用于执行所述计算机程序以实施上述实施例的访问流量控制方法。
存储器可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据(比如权限白名单等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述实施例的访问流量控制方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和结构图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或更多个模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种访问流量控制方法,其特征在于,包括:
通过外部反向代理机制拦截外部访问请求,并对拦截到的所述外部访问请求进行安全校验,在安全校验通过时,将所述外部访问请求分发至相应的内部网络服务器;
通过内部反向代理机制扫描内部访问请求,并对所述内部访问请求进行安全校验,在安全校验通过时,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器。
2.根据权利要求1所述的访问流量控制方法,其特征在于,在所述对拦截到的所述外部访问请求进行安全校验之前,还包括:
预先对用于发起外部访问请求的客户端设置访问权限,根据各个所述客户端的访问权限,生成权限白名单;
通过所述权限白名单,对拦截的所述外部访问请求进行访问权限校验;
若所述权限白名单包含有所述外部访问请求对应的客户端,则确定通过访问权限校验,进而对相应的外部访问请求进行安全校验;
若所述权限白名单未包含有所述外部访问请求对应的客户端,则确定未通过访问权限校验,并向所述客户端发送访问失败信息。
3.根据权利要求1所述的访问流量控制方法,其特征在于,所述对所述外部访问请求进行安全校验,包括:
采用预设的安全规则库中的各项外部校验规则,依次对所述外部访问请求进行校验;其中,一个所述外部校验规则对应一个外部校验项目,所述外部校验规则包括IP校验规则、MAC地址校验规则、证书校验规则、AK/SK校验规则和用户认证校验规则中的任意一种或多种;
若所述外部访问请求通过了所有所述外部校验项目,则确定所述外部访问请求通过安全校验;
若所述外部访问请求未通过所有所述外部校验项目中的任意一个外部校验项目,则确定所述外部访问请求未通过安全校验。
4.根据权利要求1或3所述的访问流量控制方法,其特征在于,所述方法还包括:在确定所述外部访问请求的安全校验未通过时,向所述外部访问请求对应的客户端发送访问失败信息。
5.根据权利要求1所述的访问流量控制方法,其特征在于,所述对所述内部访问请求进行安全校验,包括:
采用预设的内部校验规则,对所述内部访问请求进行校验;其中,一个所述内部校验规则对应一个内部校验项目,所述内部校验规则包括权限校验、签名校验中的任意一种或多种;
若所述内部访问请求通过了所有所述内部校验项目,则确定所述内部访问请求通过安全校验;
若所述内部访问请求未通过所有所述内部校验项目中的任意一个内部校验项目,则确定所述内部访问请求未通过安全校验。
6.根据权利要求1或5所述的访问流量控制方法,其特征在于,所述方法还包括:在确定所述内部访问请求的安全校验未通过时,拦截所述内部访问请求。
7.根据权利要求1所述的访问流量控制方法,其特征在于,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器,包括:
获取所述内部访问请求携带的网络服务器标识信息,并识别所述网络服务器标识信息的隶属类别;
若所述网络服务器标识信息对应的隶属类别为外部网络服务器,则将所述内部访问请求发送至所述外部网络服务器;
若所述网络服务器标识信息对应的隶属类别为内部网络服务器,则将所述内部访问请求发送至所述内部网络服务器。
8.一种访问流量控制装置,其特征在于,包括:
外部访问控制模块,用于通过外部反向代理机制拦截外部访问请求,并对拦截到的所述外部访问请求进行安全校验,在安全校验通过时,将所述外部访问请求分发至相应的内部网络服务器;
内部访问控制模块,用于通过内部反向代理机制扫描内部访问请求,并对所述内部访问请求进行安全校验,在安全校验通过时,将所述内部访问请求分发至相应的内部网络服务器或外部网络服务器。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和至少一个处理器,所述存储器存储有计算机程序,所述处理器用于执行所述计算机程序以实施权利要求1-7中任一项所述的访问流量控制方法。
10.一种计算机存储介质,其特征在于,其存储有计算机程序,所述计算机程序被执行时,实施根据权利要求1-7中任一项所述的访问流量控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310776615.2A CN116761173A (zh) | 2023-06-28 | 2023-06-28 | 一种访问流量控制方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310776615.2A CN116761173A (zh) | 2023-06-28 | 2023-06-28 | 一种访问流量控制方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116761173A true CN116761173A (zh) | 2023-09-15 |
Family
ID=87949482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310776615.2A Pending CN116761173A (zh) | 2023-06-28 | 2023-06-28 | 一种访问流量控制方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116761173A (zh) |
-
2023
- 2023-06-28 CN CN202310776615.2A patent/CN116761173A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11063928B2 (en) | System and method for transferring device identifying information | |
| US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
| US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
| US8407240B2 (en) | Autonomic self-healing network | |
| KR20190136011A (ko) | 코어 네트워크 액세스 제공자 | |
| US20150188911A1 (en) | System and method for biometric protocol standards | |
| JP6963609B2 (ja) | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 | |
| CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
| US10595320B2 (en) | Delegating policy through manufacturer usage descriptions | |
| US9548982B1 (en) | Secure controlled access to authentication servers | |
| EP3687140B1 (en) | On-demand and proactive detection of application misconfiguration security threats | |
| US11032270B1 (en) | Secure provisioning and validation of access tokens in network environments | |
| US20210314339A1 (en) | On-demand and proactive detection of application misconfiguration security threats | |
| US9787678B2 (en) | Multifactor authentication for mail server access | |
| US11706628B2 (en) | Network cyber-security platform | |
| US9338137B1 (en) | System and methods for protecting confidential data in wireless networks | |
| CN114157438A (zh) | 网络设备管理方法、装置及计算机可读存储介质 | |
| WO2019140276A1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| CN116761173A (zh) | 一种访问流量控制方法、装置、设备和存储介质 | |
| Dincer et al. | Big data security: Requirements, challenges and preservation of private data inside mobile operators | |
| CN110233816B (zh) | 一种工业数据资产授权管理方法及设备 | |
| US10560478B1 (en) | Using log event messages to identify a user and enforce policies | |
| Hauck | OpenID for Verifiable Credentials: formal security analysis using the Web Infrastructure Model | |
| CN115766067A (zh) | 一种函数服务管理方法及装置 | |
| CN115695045A (zh) | 安全组动态配置方法、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |