专利名称:虚拟域名解析代理方法及系统的制作方法
技术领域:
本发明涉及计算机通信技术,特别涉及基于TCP或者SSL协议的(安全)应用代理技术。
背景技术:
在应用代理中,用户的被代理服务器(受保护资源)放在应用代理服务器(Proxy Server)的后面,内部的地址资源是需要保密的。为了访问被保护的WEB服务器,应用代理可以通过端口映射的方式,在不泄露内部地址资源的情况下进行代理或者安全代理。但是当所保护的资源有不止一台WEB服务器,并且各服务器之间存在相互链接的情况下,无法通过端口转换,透明的实现代理。
现有的(安全)应用代理解决方法,一种是要求用户修改WEB服务器中相关页面上的链接,要求链接指向代理服务器或者代理终端的某一个为这个WEB服务器打开的特定的端口,以实现端口与服务器之间的映射关系。
第二种方法是要求用户修改WEB服务器中相关页面上的链接,要求链接指向服务器的某一个特定的IP地址,以实现该地址与被代理保护的WEB服务器之间的映射关系。
上述的两种方法都要求用户修改WEB服务器的页面,不能对应用透明,两种方案会要求用户将内部安全代理服务器具有多个IP或者打开多个端口,尤其是要求具有多个IP,在实际IP资源紧张的环境下,其实用性会受到一定影响。
发明内容
本发明要解决的技术问题是,提供一种透明的安全代理方法,能够实现在不修改用户WEB服务器页面的情况下,对服务器提供保护。
本发明解决所述技术问题所采用的技术方案是,提供一种虚拟域名解析代理方法,在具有服务器的内网与远程终端之间通过外网连接,终端与内网之间通过应用代理系统连接,所述应用代理系统包括代理服务器和代理客户端,所述代理服务器连接内网与外网,所述代理客户端通过外网与代理服务器连接,终端对内网服务器访问的数据包由代理客户端标注其目的服务器,在代理服务器解析后发送到目的服务器。
所述代理服务器和代理客户端内存储有内网服务器地址——内网服务器别名的映射表,所述代理客户端以内网服务器的IP地址或者别名标注来自终端的数据包的目的服务器。所述代理服务器根据内网服务器地址——内网服务器别名的映射表对访问进行解释,并将相关数据传送到对应的内网服务器。代理客户端根据内网服务器打开相应数量的本地端口,并建立内网服务器——本地端口的映射关系。代理客户端将所述映射关系注入PAC脚本。所述代理客户端从代理服务器下载取得内网服务器地址——内网服务器别名的映射表。
本发明还提供一种虚拟域名解析代理系统,包括代理服务器和代理客户端,所述代理服务器与代理客户端通过公网连接,所述代理服务器连接内网与公网,所述内网中至少有一台具有内网地址的服务器;所述代理客户端内存储有内网服务器地址——内网服务器别名的映射表,终端向内网服务器发送的数据在代理客户端内按内网服务器别名标注其目的;所述代理服务器内存储有内网服务器地址——内网服务器别名的映射表,来自代理客户端的数据在代理服务器内按内网服务器地址标注其目的。
本发明的有益效果是(1)保护了用户的内部地址资源、DNS资源;(2)达到了在外网可以安全访问内部资源的目的;(3)在(安全)应用代理中,实现了既能单独访问某台WEB服务器,也可以通过链接直接访问多台WEB服务器。
本发明使用了虚拟服务器及DNS的方法,在既能不暴露用户的内部网络,保护用户的内部资源的同时,又可以透明的在外部访问到这些资源。
以下结合说明书附图和具体实施方式
对本发明作进一步的说明。
图1是本发明的方法流程图。
图2是本发明一个实施例的网络结构示意图。
具体实施例方式
在本具体实施方式
的网络环境中,具有内网地址的服务器称为内网服务器,或称内部服务器。以下涉及到的WEB服务器即是一种内网服务器。
本发明为所保护的每台WEB服务器设置一个别名,并建立各服务器IP与别名的对应关系。在代理客户端提出对某台WEB服务器的访问时,由代理服务器来负责对其进行解释,即由代理服务器充当一个虚拟的DNS服务器。如图1所示,其步骤如下(1)代理客户端代理IE等终端的连接请求,并实现端口与内部服务器的映射。
(2)代理服务器提供WEB服务器信息的配置功能,由用户设置WEB服务器的IP以及别名等信息,相当于实现DNS中IP与域名的映射关系。
(3)代理客户端负责与代理服务器建立一个或者多个逻辑信道。
(4)代理客户端建立通信信道后,从代理服务器自动下载服务器对WEB服务器的信息,包括WEB服务器的IP,别名等的对应关系。
(5)代理客户端通过下载到的内部信息,自动选择打开相应数量的本地端口,并将这些端口与WEB服务器自动做映射,由代理客户端维护映射表。
(6)代理客户端在本地采用PAC脚本,将该表的映射关系(服务器地址与本地端口的映射关系)注入到PAC脚本中,以便IE等能够根据相应的配置,向代理客户端的不同端口发送连接请求,这是实现虚拟DNS解析的重要步骤之一。
(7)代理客户端在本地打开相应的监听端口,截获终端的访问请求,并根据映射表的关系,重组数据报文,并通过已经建立的逻辑信道传输数据。
(8)代理服务器根据协议还原收到的代理客户端传输来的数据,并根据同一张内部服务器的映射关系表,由代理服务器对访问进行解释,并将相关的数据传输到相应的服务器,从而实现了虚拟的DNS功能。
如上所述步骤(2)中,在代理服务器端通过配置,生成被保护的WEB服务器中的服务器的IP与别名等的映射关系,代理客户端是内部服务器的访问数据流目标地址解析的重要组成,是虚拟DNS解析的执行端。所述步骤(3)所有的连接请求由代理客户端发起,在代理终端与代理服务器之间,建立一个或者多个逻辑信道,以便能够进行数据的交换。所述步骤(4)中WEB服务器信息是由代理终端自动下载到本地终端。所述步骤(5)中代理客户端根据内部服务器的数量,自动在本地打开相应数量的端口,并监听这些端口,同时维护端口与对应内部服务器的对应关系表。所述步骤(6)中代理客户端根据从服务器下载取得的内部服务器的映射表,自动生成PAC脚本,以便能够区分不同的访问请求,并定向到不同的本地打开的端口上。所述步骤(7)中代理客户端根据从服务器下载取得的内部服务器的映射表在本地打开,监听相应的端口,截获终端的访问请求,并根据映射表的关系,重组数据报文,并通过已经建立的逻辑信道传输数据。代理服务器根据协议还原收到的代理客户端传输来的数据,并根据同一张内部服务器的映射关系表,由代理服务器对访问进行解释,并将相关的数据传输到相应的内网服务器,从而实现了虚拟的DNS。
本发明所述“别名”可以是各种类型的字符,包括字母、符号、数字等,或者其组合。
如图2,更具体的实施例如下。
在被保护内网与外网之间,布署代理服务器12,其外网接口地址为202.115.72.23,内部网接口地址192.168.0.1;在代理服务器上配置被保护对象的信息,包括其内部的IP与别名对应关系,以及通信协议中约定的内部服务器的标识等信息,对应关系表如下IP地址 别名192.168.0.23——mis192.168.0.25——erp192.168.0.27——mrp在终端上安装、布署代理客户端,通过拨号等方式取得IP地址,本实施例子中,代理客户端的IP地址为202.115.2.4,由于所述的逻辑信道由代理客户端发起,因此要求代理客户端能够通过公共网络(即外网)访问到代理服务器。在代理客户端配置服务器端外网的IP地址,本实施例中,代理服务器端外网的IP为202.115.72.23。
代理客户端通过公共网络与代理服务器建立逻辑信道,并从服务器端下载配置信息,如被保护的内部服务器的地址——域名映射表等信息。代理客户端打开监听端口,并生成PAC脚本,这些脚本匹配用户应用层的访问数据流,将不同的用户请求发重新定向到本地代理客户端的不同端口上,本实施例中,被保护的服务器总共有三台,因此代理客户端打开三个端口,3330,3331,3332,并将对三台不同的WEB服务器的访问请求映射到这三个端口上,即,将对192.168.0.23或者mis(在浏览器url上输入http//192.168.0.23或者http//mis)的访问请求重新定向到本地3330端口上,将192.168.0.25或者erp的访问定位到本地端口3331上,将192.168.0.27或者mrp的访问请求重新定向到本地3332端口上。代理客户端接收到来自不同端口的请求,将请求数据格式化成事先约定的通信协议的格式,并通过逻辑信道发送到代理服务器。代理服务器根据接收到的请求数据,解释本次访问的目的WEB服务器,连接对应的WEB服务器,实现通信中继,完成虚拟服务器及DNS解析的功能。
权利要求
1.虚拟域名解析代理方法,在具有服务器的内网与远程终端之间通过外网连接,其特征在于,终端与内网之间通过应用代理系统连接,所述应用代理系统包括代理服务器和代理客户端,所述代理服务器连接内网与外网,所述代理客户端通过外网与代理服务器连接,终端对内网服务器访问的数据包由代理客户端标注其目的服务器,在代理服务器解析后发送到目的服务器。
2.如权利要求1所述的虚拟域名解析代理方法,其特征在于,所述代理服务器和代理客户端内存储有内网服务器地址——内网服务器别名的映射表,所述代理客户端以内网服务器的IP地址或者别名标注来自终端的数据包的目的服务器。
3.如权利要求2所述的虚拟域名解析代理方法,其特征在于,所述代理服务器根据内网服务器地址——内网服务器别名的映射表对访问进行解释,并将相关数据传送到对应的内网服务器。
4.如权利要求2所述的虚拟域名解析代理方法,其特征在于,代理客户端根据内网服务器打开相应数量的本地端口,并建立内网服务器——本地端口的映射关系。
5.如权利要求4所述的虚拟域名解析代理方法,其特征在于,代理客户端将所述映射关系注入PAC脚本。
6.如以上任一权利要求所述的虚拟域名解析代理方法,其特征在于,所述代理客户端从代理服务器下载取得内网服务器地址——内网服务器别名的映射表。
7.虚拟域名解析代理系统,其特征在于,包括代理服务器和代理客户端,所述代理服务器与代理客户端通过公网连接,所述代理服务器连接内网与公网,所述内网中至少有一台具有内网地址的服务器;所述代理客户端内存储有内网服务器地址——内网服务器别名的映射表,终端向内网服务器发送的数据在代理客户端内按内网服务器别名标注其目的;所述代理服务器内存储有内网服务器地址——内网服务器别名的映射表,来自代理客户端的数据在代理服务器内按内网服务器地址标注其目的。
全文摘要
虚拟域名解析代理方法,涉及计算机通信技术,特别涉及基于TCP或者SSL协议的(安全)应用代理技术。本发明在具有服务器的内网与远程终端之间通过外网连接,终端与内网之间通过应用代理系统连接,所述应用代理系统包括代理服务器和代理客户端,所述代理服务器连接内网与外网,所述代理客户端通过外网与代理服务器连接,终端对内网服务器访问的数据包由代理客户端标注其目的服务器,在代理服务器解析后发送到目的服务器。本发明的有益效果是保护了用户的内部地址资源、DNS资源;达到了在外网可以安全访问内部资源的目的;在(安全)应用代理中,实现了既能单独访问某台WEB服务器,也可以通过链接直接访问多台WEB服务器。
文档编号H04L12/66GK1700682SQ20041002257
公开日2005年11月23日 申请日期2004年5月21日 优先权日2004年5月21日
发明者孟春雷, 丁满义, 杜勇 申请人:迈普(四川)通信技术有限公司