专利名称:一种安全网关客户端的访问方法
技术领域:
本发明涉及一种客户端的访问方法,特别涉及一种适用于计算机信息安 全领域的安全网关客户端的访问方法。
背景技术:
随着网络的快速发展,跨网络的应用访问已经成为一种趋势,而保障在 跨网络过程中的数据安全性成为跨网络应用访问面临的一个重要问题。
现有的,通过将安全网关部署在网络边界来保证跨网络信息传输的安全、 保密和完整,实现客户端和服务器之间身份的有效认证、授权和数据传输安 全,安全网关的访问方法是网关技术中重要的环节。
传统的安全网关都是使用代理(proxy)的应用模式,然而仅仅是代理模 式,通过代理使用户能够通过探测、侦听等手段获得目标资料地址,给用户 带来不便的同时也带来了安全的隐患。
因此,特别需要一种安全网关客户端的访问方法,对所有经过安全网关 的网络流量都进行处理,然后传递给被保护的应用服务,使用户可以自由访 问安全网关保护的多个应用系统,访问更安全。
发明内容
本发明所要解决的技术问题在于提供一种安全网关客户端的访问方法, 通过将重定向和代理访问相结合,先使用重定向技术将连接重定向到客户端, 再使用代理模式进行访问,对所有经过安全网关的网络流量都进行处理,然 后传递给被保护的应用服务,使用户可以自由访问网关保护的多个应用系统, 保证了访问的安全。
本发明所要解决的技术问题可以通过以下技术方案来实现 一种安全网关客户端的访问方法,其特征在于,当应用客户端向应用服务器发起连接时,由重定向模块将应用客户端连接到安全网关客户端,安全 网关客户端通过代理服务模块访问安全网关服务器,由安全网关服务器与应 用服务器连接。
在本发明的一个实施例中,所述重定向模块加载在每个进程的运行空间中。
在本发明的一个实施例中,当所述重定向模块检测到所述应用客户端发 往应用服务器的连接后,修改所述应用客户端连接的目的地址和端口,并保 存所述应用客户端原来要连接的目的地址和端口 。
在本发明的一个实施例中,所述重定向模块将所述应用客户端连接的目 的地址和端口修改为所述安全网关客户端的本地服务监听端口 (通常为
127.0.0.1:9986)。
在本发明的一个实施例中,所述重定向模块通过重定向规则控制,所述 重定向规则由应用客户端名称、目标地址、目标端口、协议、是否有效和过 滤条件构成。
在本发明的一个实施例中,当所述应用客户端与所述安全网关客户端连 接成功后,所述重定向模块将原来的目的地址发送给安全网关客户端,所述 安全网关客户端通过代理服务模块与安全网关服务器通讯。
在本发明的一个实施例中,所述代理服务模块将所有连接到所述安全网 关客户端的本地服务监听端口都转发到所述应用服务器上。
在本发明的一个实施例中,所述安全网关客户端会检测所述代理服务模 块连接的目标地址和端口,取出此次代理所需要的网关服务器及端口,并将 信息组合,发送给所述安全网关服务器,所述安全网关服务器再去连接所述 应用服务器。
在本发明的一个实施例中,所述代理服务模块通过代理规则控制,所述 代理规则包括目标地址、目标端口、网关地址、网关端口和网关代理模式构 成。
在本发明的一个实施例中,所述目标地址可以是域名,也可以是IP地址。 本发明的一种安全网关客户端的访问方法,采用重定向和代理访问相结 合的访问方法,首先检测用户访问行为,根据用户行为,将用户访问重定向 到客户端,客户端采用代理的方法访问网关服务器,网关服务器再去连接应
5用服务器,使用户可以自由访问网关保护的多个应用系统,保证了访问的安 全,实现本发明的目的。
图1为本发明的安全网关客户端的访问方法的总体框图; 图2为本发明的安全网关客户端的访问方法的选择模式图。
具体实施方法
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了 解,下面结合具体图示,进一步阐述本发明。
如图1所示,图1为本发明的安全网关客户端的访问方法的总体框图; 其中,包括应用客户端、安全网关客户端、安全网关服务器和应用服务器; 安全网关客户端和安全网关服务器设置在应用客户端和应用服务器之间,用 于对应用客户端和应用服务器之间传输的数据进行安全防护。
本发明的安全网关客户端的访问方法中,应用客户端先连接到安全网关 客户端,安全认证客户端再连接到安全网关服务器,最后由安全网关服务器 再连接到应用服务器,数据通过安全网关在应用客户端和应用服务器传输。
本发明的安全网关客户端的访问方法中,在数据的流动过程中,为了让 应用客户端首先连接安全网关客户端而不是直接连接应用服务器,当应用客 户端向应用服务器发起连接时,应用客户端通过重定向模块向安全网关客户 端发送初始化信息,初始化信息中包括主要应用服务器的地址和端口,安全 网关客户端收到初始化信息之后,会将应用客户端发送过来的信息通过代理 服务模块访问组合成安全网关服务器所能够理解的信息传送给安全网关服务 器,安全网关服务器收到这些信息之后,提取出应用服务器的地址和端口, 然后连接应用服务器。
如图2所示,图2为本发明的安全网关客户端的访问方法的选择模式图; 重定向模块和代理服务模块主要由安全网关客户端控制。首先,安全网关客 户端会检查应用客户端的行为,记录应用客户端访问应用服务器的端口和地 址,并检査是否是合法的应用客户访问行为,如果不是,重定向模块和代理 服务模块则不进行工作。重定向模块由重定向规则控制,代理服务模块由代理规则控制,图2中 实线箭头代表从应用角度的数据流动方向,虚线表示实际的数据流动方向。
在本发明的一个实施例中,所述重定向模块加载在每个进程的运行空间 中;当所述重定向模块检测到所述应用客户端发往应用服务器的连接后,所 述重定向模块将所述应用客户端连接的目的地址和端口修改为所述安全网关
客户端的本地服务监听端口 (通常为127.0.0.1:9986),并保存所述应用客户 端原来要连接的目的地址和端口 。
当所述应用客户端与所述安全网关客户端连接成功后,所述重定向模块 将原来的目的地址发送给安全网关客户端,所述安全网关客户端通过代理服 务模块与安全网关服务器通讯。
所述重定向模块通过重定向规则对检测到所述应用客户端发往应用服务 器的连接进行判断;此时,应用客户端并不知道自己连接的目标地址已经被 更改了。
所述重定向规则由应用客户端名称、目标地址、目标端口、协议、是否 有效和过滤条件构成。
应用客户端名称可执行程序的文件名,例如IE的可执行文件名为 iexplore.exe,引号是必须加的,"*"表示任意的应用程序,重定向模块首先 会检测应用客户端程序执行名称,根据应用客户端的程序名确定重定向的方 法。
目标地址应用客户端要连接的应用服务器的IP地址,支持*通配。 目标端口应用客户端要连接的应用服务器的端口, *表示任意端口,
目标端口支持端口范围,表示一个范围的格式为起始端口 结束端口,例
如"10 20"表示从10到20的所有端口。
协议访问的目标端口对应的协议,支持HTTP, HTTPS, TCP三种协议。
是否有效是否启用这一条重定向规则,Enable表示有效,Disable表示 无效。
过滤条件应用客户端会从安全网关客户端下载过滤条件,内容包括访 问应用客户端的黑白名单、端口、链路等,根据这些过滤条件确定从何种链 路过来的程序,应该从何种端口进行重定向,不符合过滤条件的请求被丢弃。重定向规则建立以后,重定向模块会自动检测应用客户端发起网络连接 时所连接的目标IP地址和端口的请求,重定向模块在重定向规则列表中首先 应用过滤条件,再自动査找下一条符合当前网络连接的重定向规则,根据这 一条规则来处理当前的网络连接,而不会继续检査剩下的重定向规则。
因此,在具体的实施过程中我们可以根据这一特点来完成一些复杂的重 定向配置。对于符合重定向规则的网络连接,重定向模块会将此连接的目标 IP和端口修改成代理客户端的监听地址和端口并向代理服务模块发送消息。
重定向模块内部内嵌两条默认的规则①"MainApp.exe" *.*.*.* * TCP Disable,②"*" 127.0.0.1 * TCP Disalbe,这两条规则总是在检査外置规则之 前检测。这两条规则的含义是①所有由安全网关客户端发出的连接都不被 代理。②所有连接到本机环回地址(127.0.0.1)的网络连接都不被代理。
安全网关客户端需要为每一个需要代理的应用客户端建立一个代理服 务,此服务需要设置一个被代理的应用服务器的地址和端口,所有连接到此 服务本地监听端口的连接都会被转发到该应用服务器上去。
所述安全网关客户端会检测所述代理服务模块连接的目标地址和端口, 取出此次代理所需要的网关服务器及端口,并将信息组合,发送给所述安全 网关服务器,所述安全网关服务器再去连接所述应用服务器。
当代理服务模块接收到根据重定向规则要求的一个新的代理连接时,它 也会检测此代理连接的目标地址和端口,这里的地址可以是域名,也可以是 IP地址,根据网络连接的不同,自动检测,然后搜索代理服务的代理规则配 置文件,根据代理规则配置文件来决定此次代理的模式,和此次代理所需要 的安全网关服务器及端口。当找不到规则时,使用该服务的默认配置。
所述代理规则包括目标地址、目标端口、网关地址、网关端口和网关代 理模式构成
目标地址应用服务器的地址,可以是IP地址也可以是域名。 目标端口应用服务器的服务端口。 网关地址网关服务器的地址 网关端口网关服务器的端口
网关代理模式网关地址和端口所对应服务的代理模式,主要是三种, 代理模式、穿透模式、IP模式。代理服务模块在代理规则列表中遍历,找到一条符合当前网络连接的规 则后,会根据这一条规则来处理当前的网络连接,而不会继续检査剩下的规 则。因此在具体的实施过程中我们可以根据这一特点来完成一些复杂的代理 配置。
以上显示和描述了本发明的基本原理和主要特征及其优点。本行业的技 术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描 述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明 还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。 本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1、一种安全网关客户端的访问方法,其特征在于,当应用客户端向应用服务器发起连接时,由重定向模块将应用客户端连接到安全网关客户端,安全网关客户端通过代理服务模块访问安全网关服务器,由安全网关服务器与应用服务器连接。
2、 如权利要求1所述的访问方法,其特征在于,所述重定向模块加载在每个进程的运行空间中。
3、 如权利要求l所述的访问方法,其特征在于,当所述重定向模块检测到所述应用客户端发往应用服务器的连接后,修改所述应用客户端连接的目的地址和端口 ,并保存所述应用客户端原来要连接的目的地址和端口 。
4、 如权利要求3所述的访问方法,其特征在于,所述重定向模块将所述应用客户端连接的目的地址和端口修改为所述安全网关客户端的本地服务监听端口。
5、 如权利要求1所述的访问方法,其特征在于,当所述应用客户端与所述安全网关客户端连接成功后,所述重定向模块将原来的目的地址发送给安全网关客户端,所述安全网关客户端通过代理服务模块与安全网关服务器通讯。
6、 如权利要求l所述的访问方法,其特征在于,所述重定向模块通过重定向规则控制,所述重定向规则由应用客户端名称、目标地址、目标端口、协议、是否有效和过滤条件构成。
7、 如权利要求1所述的访问方法,其特征在于,所述代理服务模块将所有连接到所述安全网关客户端的本地服务监听端口都转发到所述应用服务器上。
8、 如权利要求1所述的访问方法,其特征在于,所述安全网关客户端会检测所述代理服务模块连接的目标地址和端口,取出此次代理所需要的网关服务器及端口,并将信息组合,发送给所述安全网关服务器,所述安全网关服务器再去连接所述应用服务器。
9、 如权利要求l所述的访问方法,其特征在于,所述代理服务模块通过代理规则控制,所述代理规则包括目标地址、目标端口、网关地址、网关端口和网关代理模式构成。
10、如权利要求9所述的访问方法,其特征在于,所述目标地址为域名或IP地址。
全文摘要
本发明公开一种安全网关客户端的访问方法,当应用客户端向应用服务器发起连接时,由重定向模块将应用客户端连接到安全网关客户端,安全网关客户端通过代理服务模块访问安全网关服务器,由安全网关服务器与应用服务器连接;采用重定向和代理访问相结合的访问方法,首先检测用户访问行为,根据用户行为,将用户访问重定向到客户端,客户端采用代理的方法访问网关服务器,网关服务器再去连接应用服务器,使用户可以自由访问网关保护的多个应用系统,保证了访问的安全,实现本发明的目的。
文档编号H04L9/00GK101662357SQ200810042250
公开日2010年3月3日 申请日期2008年8月29日 优先权日2008年8月29日
发明者周国勇, 欣 李, 欧阳满, 沈寒辉, 福 王, 袁艺芳, 翔 邹, 兵 陈 申请人:公安部第三研究所