专利名称:一种ssl vpn的访问链接改写方法
技术领域:
本发明涉及网络安全技术领域,具体涉及一种SSL VPN的访问链接改写方法。
背景技术:
SSL VPN是一种采用SSL (Security Socket Layer,安全套接层)加密连接实现远 程访问的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN的主要功能之一是实现远程对内网WEB应用的访问控制。具体实现为 远程主机通过HTTPS访问与SSL VPN网关建立SSL连接,以加密方式在Internet上传送报 文;SSL VPN网关作为代理,与内网的TOB服务器建立HTTP连接,以明文方式传送远程主机 发送来的请求,并将服务器的应答通过SSL连接发给远程主机。目前,安装部署SSL VPN的 原因主要有两点1、客户端不需要安装软件,也不需要配置,使用灵活方便2、对用户访问 控制权限控制严格,针对每个访问用户可以定制不同资源访问策略,安全性高。因此,SSL VPN自身对于资源访问的控制将决定SSL VPN产品是否成熟的一个重要标志。现有技术存在的问题是用户访问内网WEB资源时,请求信息中包含内网主机或 服务器的真实URL地址,对于该请求的应答信息中同样含有内网主机或服务器的真实地 址,这样很容易将内网WEB资源直接暴露给外部用户,造成内网信息的泄漏,安全性不高。
发明内容
本发明的主要目的是提供一种SSL VPN对内网TOB资源访问的链接改写方法,解 决现有技术存在的用户访问WEB资源时,内网的TOB资源易暴露,安全性不高的问题。为了解决现有技术存在的问题,本发明提供了一种SSL VPN的访问链接改写方法, 它通过以下几个步骤来实现步骤一管理员配置要访问的TOB资源,对于每个TOB资源,都有唯一标明其身份 的标识,标识包括资源标识符和内网URL地址。资源标识符是含有该资源名称的URL虚拟 路径,内网URL地址是该资源在内网中真实的URL地址,资源标识符和内网URL地址保存在 资源标识表中;步骤二 用户通过含有资源标识符的虚拟URL路径访问TOB资源;步骤二 SSL VPN网关对于用户的HTTP或HTTPS请求的URL路径进行检查,如果 发现该路径中存在与资源标识表中相对应的资源标识符,则对于该URL请求中的资源标识 部分进行改写,替换成对应的内网URL地址,以便能够正常访问到内网资源。另外,在对该 请求进行回应时,在HTTP或HTTPS应答数据包中加入链接改写脚本,链接改写脚本在用户 浏览器端执行,执行时对应答HTTP或HTTPS数据包中含有内网URL路径的信息进行重新改 写,替换成对应含有资源标识符的虚拟路径。与现有技术相比较,该发明的优点是对于HTTP数据包中的绝对路径不进行替 换,保证绝对路径能够正常访问;HTTP数据包的改写在VPN网关完成,而URL路径的替换在 客户端完成,避免了 VPN网关由于处理事务过多引起的额外负担。
附图为本发明SSL VPN的访问链接改写方法流程图。
具体实施例方式下面将通过在SSL VPN设备中实施本发明进行详细描述。实施时,需要将SSL VPN 链接改写模块部署到SSL VPN设备中,该模块完成SSL VPN访问连接的改写功能。一种SSL VPN的访问链接改写方法,它通过以下几个步骤来实现(一)管理员配置SSLVPN提供的内部TOB资源,每一个内部TOB资源生成唯一的 资源标识符与之对应,存放于资源标识表中。(二)户访问内部TOB资源的URL请求路径是含有该资源标识符的虚拟网关路径。 用户访问SSL VPN提供的TOB资源时,链接改写模块对于用户的HTTP或HTTPS请求进行监 控,如果发现请求数据包中含有资源标识表中存在的资源标识符,则对该请求进行标记,并 记录其包含的资源标识符;(三)链接改写模块对步骤二中URL请求中的资源标识部分进行改写,替换成对应 的内网URL地址,并将修改过的请求数据包中重定向到对应的内部WEB服务器上,等待TOB 服务器处理后返回结果;链接改写模块得到WEB服务器返回结果,并找到该回应数据包对 应的请求来源,如果该请求已被打过标记,说明是执行过步骤二的对于内部WEB资源的访 问请求,对于这些请求的回应,进行回应内容的改写,将链接改写脚本加入回应数据包的末 尾,并将对应的资源标识符作为参数传送给链接改写脚本;链接改写模块将回应的数据包 发送到用户客户端浏览器,浏览器执行得到页面内容,由于链接改写脚本位于数据包末尾, 因此最后被执行,执行时对于数据包中的所有内网资源URL地址进行改写,替换成对应的 WEB资源的虚拟路径,保证了用户看到的URL都是经过改写的虚拟地址,提高系统安全性。
权利要求
一种SSL VPN的访问链接改写方法,它通过以下几个步骤来实现步骤一管理员配置要访问的WEB资源,对于每个WEB资源,都有唯一标明其身份的标识,标识包括资源标识符和内网URL地址。资源标识符是含有该资源名称的URL虚拟路径,内网URL地址是该资源在内网中真实的URL地址,资源标识符和内网URL地址保存在资源标识表中;步骤二用户通过含有资源标识符的虚拟URL路径访问WEB资源;步骤二SSL VPN网关对于用户的HTTP或HTTPS请求的URL路径进行检查,如果发现该路径中存在与资源标识表中相对应的资源标识符,则对于该URL请求中的资源标识部分进行改写,替换成对应的内网URL地址,以便能够正常访问到内网资源。另外,在对该请求进行回应时,在HTTP或HTTPS应答数据包中加入链接改写脚本,链接改写脚本在用户浏览器端执行,执行时对应答HTTP或HTTPS数据包中含有内网URL路径的信息进行重新改写,替换成对应含有资源标识符的虚拟路径。
全文摘要
本发明涉及网络安全技术领域,具体涉及一种SSL VPN的访问链接改写方法。本发明要解决现有技术存在的用户访问WEB资源时,内网的WEB资源易暴露,安全性不高的问题,现提供了一种SSL VPN的访问链接改写方法,它通过以下几个步骤来实现步骤一管理员配置要访问的WEB资源,对于每个WEB资源,都有唯一标明其身份的标识,标识包括资源标识符和内网URL地址。步骤二用户通过含有资源标识符的虚拟URL路径访问WEB资源;步骤二SSL VPN网关对于用户的HTTP或HTTPS请求的URL路径进行检查,替换成对应的内网URL地址,以便能够正常访问到内网资源。与现有技术相比较,该发明的优点是安全性好。
文档编号H04L9/00GK101989909SQ20091002350
公开日2011年3月23日 申请日期2009年8月4日 优先权日2009年8月4日
发明者刘亚轩, 孙选安 申请人:西安交大捷普网络科技有限公司