专利名称:一种兼顾内外网信息通畅性和安全性的网络安全保护方法
技术领域:
本发明涉及一种网络安全保护方法,尤其是一种兼顾内外网信息通畅性和安全性的网络安全保护方法。
背景技术:
目前,对公用网络也内部网络的通信,一般采用sslvpn的模式,如图1所示。该模式的优点:1.在公用网络的数据是实现了加密,保证了数据的在公用网络的安全。2.成功实现了内外网的分离。防止非法用户潜入内网。3.使用spv技术实现了对登录用户的身份确认。该模式的缺点:1.在b/s模式下,该模式不能很好的支持,不能把内网的HTTP应用转换城https应用。2.无法确保外网访问者的操作是否安全,如果外网是攻击者,在通过堡垒机的验证后,可以在内网中任意的操作,无用户权限控制。
发明内容
本发明提供了一种兼顾内外网信息通畅性和安全性的网络安全保护方法,既能保证内外网的通信畅通,又能保证通信信息不外泄以及服务器不被攻击。实现本发明目的的兼顾内外网信息通畅性和安全性的网络安全保护方法,包括如下步骤:(I)客户端通过外网请求连接到代理,代理传递信息到身份认证模块;(2)身份认证模块对其进行身份的鉴别,将鉴别结果返回给连接模块;(3)连接模块根据身份鉴别的结果确定是否接受连接,如果接受连接,则对服务器端发起连接,建立通信管道;(4)当客户端发出访问资源的请求时,代理把请求数据传到访问控制;(5)访问控制模块根据访问控制库对其进行判断,返回结果给代理;(6)代理根据访问控制返回的结果,确定是否向服务器代理数据。本发明的兼顾内外网信息通畅性和安全性的网络安全保护方法的有益效果如下:1、本发明的网络安全保护方法,在网络传输中的信息不被窃听,保证中的各种应用在系统中正常使用。2、确保外网访问者的身份可信。3、防止来自外网的攻击。4、防止合法访问者的非法操作。5、能过很轻松的代理b/s模式,把http协议转换成https协议。
图1为现有的网络安全保护方法的示意图。图2为本发明的兼顾内外网信息通畅性和安全性的网络安全保护方法的示意图。
具体实施例方式如图2所示,本发明的兼顾内外网信息通畅性和安全性的网络安全保护方法,包括如下步骤:(I)客户端通过外网请求连接到代理,代理传递信息到身份认证模块;(2)身份认证模块对其进行身份的鉴别,将鉴别结果返回给连接模块;(3)连接模块根据身份鉴别的结果确定是否接受连接,如果接受连接,则对服务器端发起连接,建立通信管道;(4)当客户端发出访问资源的请求时,代理把请求数据传到访问控制;(5)访问控制模块根据访问控制库对其进行判断,返回结果给代理;(6)代理根据访问控制返回的结果,确定是否向服务器代理数据。本发明的兼顾内外网信息通畅性和安全性的网络安全保护方法的优点如下:1、本发明的网络安全保护方法,在网络传输过程中,对外网通信的过程中进行加密,在互联网上,或者是非机房网络的外网,所有的通信都建立在SSL层的加密上的,对内网或者是机房内的网络,采用明文传输;这样既保证了对外网络的安全,也保证不需要修改应用。2、对访问者身份认证,确保访问者身份合法。身份验证可以采取多中验证方式,可以是简单的用户名和密码,也可以是动态的密码。或者是组合认证,这样保证了登录用户安全。3、防止网络上的攻击,保护数据信息安全。本发明可以应对网络上的攻击,如xss,sql注入等,保证了服务器的安全。4、对已经登录的用户行为进行监控,中断用户的非授权访问。本发明对登录系统的用户操作进行监控,如果登录用户有非授权操作(应用级别的),可以中断用户操作。5、完美转化http协议到https协议。本发明集成了 http和https的服务,可以对二者进行无缝的转换。上面所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神前提下,本领域普通工程技术人员对本发明技术方案做出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。
权利要求
1.一种兼顾内外网信息通畅性和安全性的网络安全保护方法,包括如下步骤: (1)客户端通过外网请求连接到代理,代理传递信息到身份认证模块; (2)身份认证模块对其进行身份的鉴别,将鉴别结果返回给连接模块; (3)连接模块根据身份鉴别的结果确定是否接受连接,如果接受连接,则对服务器端发起连接,建立通信管道; (4)当客户端发出访问资源的请求时,代理把请求数据传到访问控制; (5)访问控制模块根据访问控制库对其进行判断,返回结果给代理; (6)代理根据访问控制返回的结果,确定是否向服务器代理数据。
全文摘要
本发明提供了一种既能保证内外网的通信畅通,又能保证通信信息不外泄以及服务器不被攻击的兼顾内外网信息通畅性和安全性的网络安全保护方法,包括如下步骤(1)客户端通过外网请求连接到代理,代理传递信息到身份认证模块;(2)身份认证模块对其进行身份的鉴别,将鉴别结果返回给连接模块;(3)连接模块根据身份鉴别的结果确定是否接受连接,如果接受连接,则对服务器端发起连接,建立通信管道;(4)当客户端发出访问资源的请求时,代理把请求数据传到访问控制;(5)访问控制模块根据访问控制库对其进行判断,返回结果给代理;(6)代理根据访问控制返回的结果,确定是否向服务器代理数据。
文档编号H04L29/06GK103188254SQ20111046158
公开日2013年7月3日 申请日期2011年12月31日 优先权日2011年12月31日
发明者孙绍钢 申请人:北京市国路安信息技术有限公司