一种数据处理方法、网关设备及介质与流程

本申请涉及安全技术领域，尤其涉及一种数据处理方法、网关设备及介质。

背景技术：

随着电子技术和互联网技术的快速发展，越来越多的企业一般都会有内部网络，即内网，同时越来越多的企业也需要通过外网实现对内网的访问，以进行数据传输，从而实现整个企业的异地协同工作。而如何保障数据传输过程中内网的安全性，成为了当前的研究热点问题。

技术实现要素：

本申请实施例提供了一种数据处理方法、网关设备及介质，有助于提升网络防护效果，保障网络的安全性。

本申请实施例第一方面公开了一种数据处理方法，所述方法包括：

第一目标网关接收访问请求，并确定所述访问请求对应的访问命令包，其中，所述第一目标网关为所述多个第一网关中的一个；

若所述第一目标网关接收到第二目标网关发送的询问请求，则所述第一目标网关向所述第二目标网关发送所述访问命令包，其中，所述第二目标网关为与所述第一目标网关对应的第二网关；

所述第一目标网关接收所述第二目标网关响应于所述访问命令包发送的数据。

本申请实施例第二方面公开了另一种数据处理方法，所述方法包括：

第二目标网关向第一目标网关发送询问请求，其中，所述第一目标网关为所述多个第一网关中的一个，所述第二目标网关为与所述第一目标网关对应的第二网关；

所述第二目标网关接收所述第一目标网关发送的访问命令包；

所述第二目标网关根据所述访问命令包获取所述访问命令包对应的数据，并向所述第一目标网关发送所述访问命令包对应的数据。

本申请实施例第三方面公开了一种数据处理装置，所述装置包括：

确定单元，用于第一目标网关接收访问请求，并确定所述访问请求对应的访问命令包，其中，所述第一目标网关为所述多个第一网关中的一个；

发送单元，用于若所述第一目标网关接收到第二目标网关发送的询问请求，则所述第一目标网关向所述第二目标网关发送所述访问命令包，其中，所述第二目标网关为与所述第一目标网关对应的第二网关；

接收单元，用于所述第一目标网关接收所述第二目标网关响应于所述访问命令包发送的数据。

本申请实施例第四方面公开了另一种数据处理装置，所述装置包括：

发送单元，用于第二目标网关向第一目标网关发送询问请求，其中，所述第一目标网关为所述多个第一网关中的一个，所述第二目标网关为与所述第一目标网关对应的第二网关；

接收单元，用于所述第二目标网关接收所述第一目标网关发送的访问命令包；

所述发送单元，还用于所述第二目标网关根据所述访问命令包获取所述访问命令包对应的数据，并向所述第一目标网关发送所述访问命令包对应的数据。

本申请实施例第五方面公开了一种网关设备，包括处理器、存储器和网络接口，所述处理器、存储器和网络接口相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行上述第一方面和/或第二方面的方法。

本申请实施例第六方面公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面和/或第二方面的方法。

本申请实施例第七方面公开了一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取所述计算机指令，处理器执行所述计算机指令，使得所述计算机设备执行上述第一方面和/或第二方面的方法。

本申请实施例中，第一目标网关可以接收用户通过客户端发送的访问请求，并确定访问请求对应的访问命令包，如果第一目标网关接收到第二目标网关发送的询问请求，则第一目标网关可以向第二目标网关发送该访问命令包，以使得第二目标网关根据该访问命令包获取该访问命令包对应的数据，进一步的，第一目标网关可以接收第二目标网关响应于访问命令包发送的数据。通过实施上述方法，可以有效保障网络的安全性，提升了网络防护效果。

附图说明

为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a是本申请实施例提供的一种云数据系统的架构示意图；

图1b是本申请实施例提供的另一种云数据系统的架构示意图；

图1c是本申请实施例提供的又一种云数据系统的架构示意图；

图1d是本申请实施例提供的一种第一网关与第二网关之间的数据流示意图；

图2是本申请实施例提供的一种数据处理方法的流程示意图；

图3a是本申请实施例提供的一种客户端通过第一网络访问第一网络的流程示意图；

图3b是本申请实施例提供的另一种客户端通过第一网络访问第一网络的流程示意图；

图4是本申请实施例提供的另一种数据处理方法的流程示意图；

图5是本申请实施例提供的一种数据处理装置的结构示意图；

图6是本申请实施例提供的另一种数据处理装置的结构示意图；

图7是本申请实施例提供的一种网关设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1a，为本申请实施例提供的一种云数据系统的架构示意图。本实施例中所描述的云数据系统，包括第一网络和多个第二网络。而第一网络可以是外网，或者是安全性较低的网络(例如非涉密网络)等等，第二网络可以是内网，或者是安全性较高的网络(例如涉密网络)等等。其中，第一网络包括多个第一网关，每个第二网络包括一个第二网关。其中，第一网关与第二网关具有对应关系，且第一网关与第二网关建立有从第二网关到第一网关的单向连接。

在本申请中，单向连接可以是指第二网络可以先访问第一网络，以建立第一网络和第二网络的连接，而不允许第一网络直接访问第二网络。可以理解，单向连接还可以叫做单向访问或其余名称，本申请不做限定。可选的，第二网络中的第二网关可以向第一网络中的第一网关发送询问请求，以询问第一网关是否有数据要传输，若确定有数据要传输，则建立第一网络和第二网络的通信连接，也可以说是建立第一网关与第二网关的通信连接，以便于后续进行数据的传输。利用单向连接建立第一网络与第二网络的通信连接可以高效可靠的实现客户端通过第一网络对第二网络的访问，同时也可以有效的保障第二网络的安全性。

在一种实现方式中，上述描述的云数据系统还可以包括客户端、路由设备、网络隔离设备以及服务器。如图1b所示为本申请实施例提供的另一种云数据系统的架构示意图。如图1b所示，第一网络可以包括路由设备和多个第一网关，每个第二网络可以包括第二网关和服务器。可选的，第二网关可以是部署在服务器中。本申请实施中提供的云数据系统中包括的多个第二网络可以是被隔离的不同的逻辑区域，这为网络的分级管理提供了帮助。

可选的，客户端可以是部署在终端的访问代理，用户可以通过该客户端向第二网络发起访问请求，例如ioa客户端。其中，终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等。

可选的，路由设备可以是具有路由功能的设备，例如下一代网络(nextgenerationnetwork，ngn)网关等等，该路由设备可以按照用户访问的第二网络的不同，多路接入到不同的第二网络中。

可选的，网络隔离设备可以包括网闸、光闸和防火墙中的任意一种，网络隔离设备可以将第一网络和第二网络进行安全隔离，进而可以保障数据传输过程的高安全性，保证第二网络中数据的机密性。

可选的，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器，还可以是互联网数据中心(internetdatacenter，idc)机房。

在一种实现方式中，如图1c所示为本申请实施例提供的又一种云数据系统的架构示意图。图1c可以是一种针对云数据系统的实际应用场景的架构示意图。图1c中由11标记的边界网关可以为第一网关，由12标记的边界网关可以为第二网关，安全边界也就是网络隔离设备。可选的，图1c中的全流量代理可以是一种传输媒介，在客户端接收用户的访问请求之后，可以通过将全流量代理将访问请求转发到路由设备。该全流量代理可以对访问请求进行劫持，以接管该访问请求。在全流量代理接管该访问请求之后，可以将该访问请求以代理的方式发送到路由设备。

在一种实现方式中，如图1d所示为第一网关与第二网关之间的数据流示意图。可选的，第一网关或第二网关可以包括bridge和sockman。其中，bridge可以负责第二网络到第一网络单向连接通道的创建、维持、数据重组、收发和重试，sockman可以负责将收到的数据，例如用户的访问请求数据、服务器的应用数据放入bridge中。第一网关和第二网关分别是第一网络和第二网络的边界网关，当用户需要通过第一网络网实现第二网络的访问进行数据传输时，第一网关需要响应第二网关发送的询问请求，以建立第一网络与第二网络的通信连接。在通信连接建立之后，用户的访问请求就可以通过第一网关发送给第二网关，那么第二网关就可以根据该访问请求获取该访问请求对应的数据，并将该数据发送给第一网关。可以看出，第二网络可以通过第一网关和第二网关连通第一网络，使第一网络和第二网络互通，保障接入稳定性与链路稳定性，让客户端可以可靠地跨网络访问第二网络。

以下对本申请实施例的技术方案的实现细节进行详细阐述：

请参阅图2，为本申请实施例提供的一种数据处理方法的流程示意图。本实施例中所描述的数据处理方法，包括以下步骤：

201：第一目标网关接收访问请求，并确定访问请求对应的访问命令包，其中，第一目标网关为多个第一网关中的一个。

在一种实现方式中，第一目标网关可以接收用户的访问请求，并根据该访问请求确定其对应的访问命令包，该访问命令包包括用户所要访问的数据。访问命令包可以包括如下三部分：请求行、请求头和请求正文。其中，请求行在访问命令包的第一行，包含请求方法、请求资源路径和协议的版本。请求头为访问命令包添加了一些附加信息，比如请求正文的长度等。请求正文是用户通过客户端要发送的数据。

在一种实现方式中，第一目标网关在接收到访问请求之后，还可以对接收到的访问请求进行安全验证。在安全验证通过之后，再确定访问请求对应的访问数据包。具体地，第一目标网关可以对该访问请求对应的用户的身份进行安全验证或者访问请求中的数据进行安全验证。

可选的，第一目标网关可以对访问请求对应的用户的身份进行安全验证。第一目标网关可以预先设置用户名单，第一目标网关根据该用户名单确定该访问请求对应的用户的身份是否安全。可选的，第一目标网关预先设置了一个白名单和一个黑名单。如果访问请求对应的用户在白名单中，则证明该用户的身份是安全的，也就是访问请求的安全验证通过，那么第一目标网关可以确定访问请求对应的访问数据包。如果访问请求对应的用户不在黑名单中或者即不在白名单也不在黑名单中，则证明该用户的身份是不安全的，也就是访问请求的安全验证不通过，那么第一目标网关可以将该访问请求进行拦截，而不进行后续的步骤。具体地，该访问请求携带了用户的账号，第一目标网关可以判断该账号是否在第一目标网关预先设置的一个白名单或者一个黑名单中。如果第一目标网关判断出该账号在白名单中，则第一目标网关可以确定访问请求对应的访问数据包。如果第一目标网关判断出该账号在黑名单中，或者第一目标网关判断出该账号即不在白名单也不在黑名单中，那么第一目标网关拦截该访问请求，而不进行后续的步骤。

可选的，第一目标网关可以对访问请求中的数据进行安全验证。该访问请求中携带了访问所需的数据，第一目标网关可以检测这些数据是否为异常数据，如果第一目标网关检测出这些数据不是异常数据，则访问请求的安全验证通过，那么第一目标网关可以确定访问请求对应的访问数据包。如果第一目标网关检测出这些数据是异常数据，则访问请求的安全验证不通过，那么第一目标网关可以将该访问请求进行拦截，而不进行后续的步骤。可选的，异常数据可以是垃圾数据或者恶意数据。

可选的，第一目标网关可以对访问请求对应的用户的身份进行安全验证，也对访问请求中的数据进行安全验证。而只有对该访问请求对应的用户的身份安全验证通过，且访问请求中的数据安全验证通过，第一目标网关才可以确定访问请求对应的访问命令包。如果上述两种安全验证中的任意一种不通过，那么第一目标网关可以将该访问请求进行拦截，而不进行后续的步骤。

在一种实现方式中，该访问请求是路由设备路由到第一目标网关的，可选的，该路由设备可以是ngn网关。具体地，例如如图3a所示为本申请实施例提供的一种客户端通过第一网络访问第一网络的流程示意图，用户可以通过如图3a所示的客户端发送访问请求，路由设备可以接收该访问请求。可选的，在客户端接收用户的访问请求之后，可以通过一种媒介将该访问请求转发到路由设备，该媒介可以是全流量代理，该全流量代理可以对访问请求进行劫持，以接管该访问请求，在全流量代理接管该访问请求之后，可以将该访问请求以代理的方式发送到路由设备。在路由设备接收到该访问请求之后，路由设备可以根据访问请求携带的目标标识确定第一目标网关。在路由设备确定第一目标网关之后，就可以将访问请求路由到第一目标网关。

可选的，该目标标识可以是第二网络的域名，路由设备在确定第二网络的域名之后，也就确定了第二网络对应的第二目标网关，再根据第一网关与第二网关的对应关系，也就确定了第二目标网关对应的第一目标网关。

可选的，路由设备根据目标标识确定第一目标网关的具体实施方式可以是路由设备预先存储了第二网关与域名的对应关系以及第一网关与第二网关的对应关系。则路由设备获取访问请求中的目标标识，即获取访问请求中的第二网络的域名之后，可以根据域名以及第二网关与域名的对应关系确定该域名对应的第二目标网关，再根据第二目标网关以及第一网关与第二网关的对应关系确定第二目标网关对应的第一目标网关。

可选的，路由设备根据目标标识确定第一目标网关的具体实施方式还可以是路由设备预先存储了域名、第二网关和第一网关三者之间的对应关系。则路由设备获取访问请求中的目标标识，即获取访问请求中的域名之后，可以根据域名以及域名、第二网关和第一网关三者之间的对应关系确定域名对应的第一目标网关。

可选的，路由设备在接收到访问请求之后，也可以对该访问请求进行安全验证。如果安全验证通过，则路由设备可以将该访问请求路由到第一目标网关。如果安全验证不通过，则路由设备可以将该访问请求进行拦截，而不进行后续的步骤。可选的，路由设备安全验证的方式可以和第一目标网关对访问请求进行安全验证的方式一致，在此处不再赘述。

202：第二目标网关向第一目标网关发送询问请求，其中，第二目标网关为与第一目标网关对应的第二网关。

在一种实现方式中，多个第二网关可以向多个第一网关发送询问请求，其中，第二网关和第一网关具有对应关系，第二网关可以向对应的第一网关发送询问请求。可选的，该询问请求可以用来询问第一网关是否要访问第二网关。如果第一网关要访问第二网关，则可以响应该询问请求，并将访问命令包发送给第二网关。如果第一网关不要访问第二网关，则可以不响应该询问请求。可选的，第二网关可以设置第一网关响应询问请求的时长，如果第二网关向第一网关发送询问请求之后，第一网关在该时长内没有响应该询问请求，则确定该第一网关不需要访问第二网关。

在一种实现方式中，多个第二网关采用轮询的方式向对应的第一网关发送询问请求，以第二目标网关向第一目标网关发送询问请求为例，当第二目标网关的轮询时机到达时，则第二目标网关向第一目标网关发送询问请求。

在一种实现方式中，该轮询的方式可以是预先对多个第二网关进行排序，根据排序的结果向每个第二网关依次向对应的第一网关发送询问请求。其中，在对多个第二网关进行排序时可以是对该多个第二网关进行任意排序，以得到排序结果。也可以是根据第二网关被访问的历史记录对该多个第二网关进行排序，以得到排序结果。可选的，可以根据第二网关被访问的历史记录的次数确定一个轮询周期中该第二网关的排序位置；例如，如果某个第二网关被访问的历史记录的次数越多，则该第二网关对应的排序越靠前，对应的，如果某个第二网关被访问的历史记录的次数越少，则该第二网关排序越靠后。和/或，可选的，可以根据第二网关被访问的历史记录的次数确定一个轮询周期中该第二网关的轮询次数；例如，某个第二网关被访问的历史记录的次数越多，则该第二网关在轮询周期中出现的次数可以越多，也就是该第二网关可以多次参与排序或者是有多次轮询机会；又如，如果某个第二网关被访问的历史记录的次数超过阈值，则该第二网关在轮询周期中增加一次轮询机会。此外，也可以是其他排序方式，在本申请不做限定。从而有助于第一网关的访问命令包及时发送到对应的第二网关，提升了数据获取的及时性，并可以确保及时获取数据的同时，减少系统中的询问请求数据，降低轮询开销。

例如，以5个第二网关(第二网关1、第二网关2、第二网关3、第二网关4和第二网关5)为例，该5个第二网关被访问的历史记录的次数从高到底的排序为第二网关3、第二网关1、第二网关4、第二网关5和第二网关2。其中，根据第二网关被访问的历史记录的次数从高到底的排序对5个第二网关的排序结果可以是第二网关3、第二网关1、第二网关4、第二网关5和第二网关2。则每个轮询周期可以按照第二网关3、第二网关1、第二网关4、第二网关5和第二网关2的顺序依次轮询，以发送询问请求。

又如，以上述5个第二网关为例，根据5个第二网关被访问的历史记录的次数从高到底的排序，可以看出第二网关3被访问的历史记录的次数是较高的，在对这5个第二网关进行排序时，可以对第二网关3进行多次排序。比如其中一种排序结果可以是第二网关3、第二网关1、第二网关4、第二网关3、第二网关5和第二网关2，则每个轮询周期可以按照第二网关3、第二网关1、第二网关4、第二网关3、第二网关5和第二网关2的顺序依次轮询，以发送询问请求。又如排序结果也可以是第二网关3、第二网关1、第二网关2、第二网关3、第二网关4和第二网关5，则每个轮询周期可以按照第二网关3、第二网关1、第二网关2、第二网关3、第二网关4和第二网关5的顺序依次轮询。或者也可以是其他排序方式，只需保证第二网关3在排序结果中多次出现，此处不一一列举。

在一种实现方式中，该轮询的方式还可以是多个第二网关按照预设的时间间隔向第一网关发送询问请求，该时间间隔可以是1秒、3秒等等。可选的，多个第二网关可以对应一个时间间隔，也可以是多个第二网关可以对应不同的时间间隔，每个第二网关对应的时间间隔，在本申请不做限定。

例如，以3个第二网关(第二网关1、第二网关2、第二网关3)为例，3个第二网关分别对应一个时间间隔，第二网关1对应时间间隔t1、第二网关2对应时间间隔t2、第二网关3对应时间间隔t3。则第二网关1以时间间隔t1向对应的第一网关发送询问请求、第二网关2以时间间隔t2向对应的第一网关发送询问请求、第二网关3以时间间隔t3向对应的第一网关发送询问请求。

203：若第一目标网关接收到第二目标网关发送的询问请求，则第一目标网关向第二目标网关发送访问命令包。

在一种实现方式中，多个第二网关是均可以向第一目标网关发送询问请求的，那么第一目标网关在接收到用户的访问请求，并确定访问请求对应的访问命令包之后，可以持续监听第二网关发送的询问请求，直到监听到第一目标网关对应的第二网关，也就是第二目标网关发送询问请求，就可以接收该第二目标网关发送的询问请求。在第一目标网关接收到第二目标网关发送的询问请求之后，第一目标网关就可以与第二目标网关建立通信连接，那么第一目标网关可以向第二目标网关发送访问命令包。

204：第二目标网关接收第一目标网关发送的访问命令包。

205：第二目标网关根据访问命令包获取访问命令包对应的数据，并向第一目标网关发送访问命令包对应的数据。

在一种实现方式中，在第二目标网关接收到第一目标网关发送的访问命令包之后，第二目标网关可以也可以如图3a所示的将该访问命令包发送到第二目标网关对应的服务器，服务器接收到该访问命令包之后，根据该访问命令包获取该访问命令包对应的数据。服务器获取到该访问命令包对应的数据之后，再向第二目标网关发送该访问命令包对应的数据。第二目标网关接收到该访问命令包对应的数据之后，就可以向第一目标网关发送该访问命令包对应的数据。

在一种实现方式中，如图3b所示为本申请实施例提供的另一种客户端通过第一网络访问第一网络的流程示意图，图3b可以是一种针对客户端通过第一网络访问第一网络的实际应用场景的流程示意图。图3b中由31标记的边界网关为第一目标网关，由32标记的边界网关为第二目标网关。

206：第一目标网关接收第二目标网关响应于访问命令包发送的数据。

在一种实现方式中，第一目标网关可以接收第二目标网关响应于访问命令包发送的数据。而在第一目标网关接收到该数据之后，就可以将该数据返回给用户。并且在在第一目标网关接收到该数据之后，第一目标网关可以与第二目标网关断开连接。

可选的，在本申请中，客户端通过第一网络与第二网络建立的通信连接可以是短连接。

在一种实现方式中，该短连接的具体实现方式可以是在第一目标网关向第二目标网关发送访问命令包之前，建立第一目标网关与第二目标网关的通信连接，而在第一目标网关接收到第二目标网关响应于访问命令包发送的数据之后，断开第一目标网关与第二目标网关的通信连接。

在一种实现方式中，该短连接的具体实现方式还可以是在第一目标网关向第二目标网关发送访问命令包之前，建立第一目标网关与第二目标网关的通信连接，若满足时长条件，比如到达预设时长，则断开第一目标网关与第二目标网关的通信连接，又如可根据访问命令包对应的特征信息确定连接时长，并在达到该连接时(即满足时长条件)时，第二目标网关断开与第一目标网关的通信连接。可选的，断开第一目标网关与第二目标网关的通信连接的操作可以由预先设置在第二目标网关的定时器来实现。当到达定时器的预设时长(连接时长)时，则断开第一目标网关与第二目标网关的通信连接。可选的，该预设时长可以由第二目标网关确定。可选的，第二目标网关可以是根据第二目标网关接收到的访问命令包的数据量大小或访问命令包对应的用户的优先级或当前网络的传输质量或其他方式确定该时长。

例如，若第二目标网关接收到的访问命令包的数据量较大，则第二目标网关设置的预设时长较长，以使得第二目标网关根据该访问命令包获取对应的数据并返回给第一目标网关。对应的，若第二目标网关接收到的访问命令包的数据量较小，则第二目标网关设置的预设时长较短。

再如，第二目标网关预先设置了一个用户访问优先级，优先级越高，预设时长越短。可选的，该用户访问优先级可以是与第一目标网关第二目标网关在接收到访问命令包，并确定访问命令包对应的用户之后，可以根据该用户对应的用户访问优先级来确定预设时长。又如，第二目标网关可以根据当前网络的传输质量确定预设时长，若当前网络的传输质量较差，则预设时长较长，若当前网络的传输质量较优，则预设时长较短。

需要说明的是，预设时长的确定方式不限于上述的描述，还可以根据其他方式确定，例如，可以根据上述描述的任意几种确定方式进行组合来确定预设时长，如根据第二目标网关接收到的访问命令包的数据量大小和访问命令包对应的用户的优先级共同确定预设时长，或根据访问命令包对应的用户的优先级和当前网络的传输质量共同确定预设时长。确定预设时长的方式在本申请不做限定。

在一种实现方式中，该短连接的具体实现方式还可以是在第一目标网关向第二目标网关发送访问命令包之前，建立第一目标网关与第二目标网关的通信连接，而根据第一目标网关接收到第二目标网关响应于访问命令包发送的数据以及第二目标网关设置的预设时长共同确定是否断开第一目标网关与第二目标网关的通信连接。可选的，可以在第一目标网关接收到第二目标网关响应于访问命令包发送的数据，但预设时长还没到达之前，直接断开第一目标网关与第二目标网关的通信连接，以保证数据传输以及第二网络的安全性。利用本申请中的短连接方式，可以不需要长连接链路的保持，对于服务器连接的消耗水平比较低，同时对网络质量要求也较低，可以有效提高网络连接的灵活性，也可以保障第二网络的安全。

本申请实施例中，第一目标网关可以接收访问请求，并确定访问请求对应的访问命令包。而与第一目标网关对应的第二网关，即第二目标网关可以向第一目标网关发送询问请求。若第一目标网关接收到第二目标网关发送的询问请求，则第一目标网关向第二目标网关发送访问命令包。那么第二目标网关接收到第一目标网关发送的访问命令包之后，可以根据访问命令包获取访问命令包对应的数据，并向第一目标网关发送访问命令包对应的数据。进而第一目标网关接收第二目标网关响应于访问命令包发送的数据。通过实施上述方法，可以有效保障网络的安全性，提升了网络防护效果。

请参阅图4，为本申请实施例提供的另一种数据处理方法的流程示意图。本实施例中所描述的数据处理方法，包括以下步骤：

401：第一目标网关接收访问请求，并确定访问请求对应的访问命令包。

402：第二目标网关向第一目标网关发送询问请求。

在一种实现方式中，第二目标网关可以通过网络隔离设备向第一目标网关发送询问请求。

403：若第一目标网关接收到第二目标网关发送的询问请求，则第一目标网关确定网络隔离设备的传输协议，并根据传输协议确定协议化后的访问命令包。

在一种实现方式中，第一目标网关可以确定网络隔离设备的传输协议，其中，网络隔离设备可以包括防火墙、网闸和光闸中的任意一种，不同的网络隔离设备，网络隔离设备所具有的传输协议也可以不同。第一目标网关可以适配网络隔离设备的传输协议，而不影响网络隔离设备的安全防护能力。例如，传输协议可以是传输控制协议(tcp，transmissioncontrolprotocol)，或者是用户数据报协议(udp，userdatagramprotocol)，也可以是其他协议，在本申请不做限定。那么在第一目标网关在通过网络隔离设备向第二目标网关发送访问命令包之前，需要确定网络隔离设备的传输协议，以便于根据网络隔离设备的传输协议，将访问命令包转化为协议化后的访问命令包。

可选的，确定协议化后的访问命令包的具体实施方式也可以在网络隔离设备中实现。例如，若第一目标网关接收到第二目标网关发送的询问请求，则第一目标网关将访问命令包发送给网络隔离设备，网络隔离设备接收到访问命令包之后，网络隔离设备可以根据网络隔离设备的传输协议将访问命令包转化为协议化后的访问命令包。

404：第一目标网关向网络隔离设备发送协议化后的访问命令包。

在一种实现方式中，如果第一目标网关存在多个协议化后的访问命令包，则第一目标网关可以根据用户访问优先级，向网络隔离设备发送协议化后的访问命令包。可选的，第一目标网关可以将访问命令包按照用户访问优先级的高低进行排序，高优先级对应的访问命令包先发送给网络隔离设备，对应的，低优先级对应的访问命令包后发送给网络隔离设备。可选的，该用户访问优先级可以根据用户通过第一目标网关对第二目标网关的历史访问率确定，用户通过第一目标网关对第二目标网关的历史访问率越高，则用户对应的访问命令包的用户访问优先级也就越高。也可以通过其他方式确定用户访问优先级，在本申请不做限定。

405：网络隔离设备向第二目标网关发送协议化后的访问命令包。

在一种实现方式中，在第一目标网关确定协议化后的访问命令包之后，就可以将协议化后的访问命令包发送给网络隔离设备。网络隔离设备接收到协议化后的访问命令包之后，再将协议化后的访问命令包发送给第二目标网关。

在一种实现方式中，网络隔离设备可以设置数据传输的数据量大小，那么网络隔离设备根据数据量大小向第二目标网关发送协议化后的访问命令包。具体地，网络隔离设备预先设置了一个阈值，该阈值是网络隔离设备可发送数据的最大数据量。那么网络隔离设备接收到第一目标网关发送的协议化后的访问命令包之后，还可以检测协议化后的访问命令包的数据量大小。如果网络隔离设备检测到该访问命令包的数据量小于阈值，则网络隔离设备可以直接将访问命令包发送给第二目标网关。如果网络隔离设备检测到该访问命令包的数据量大于阈值，则网络隔离设备可以将访问命令包拆分为多个子访问命令包，那么在网络隔离设备将访问命令包拆分为多个子访问命令包之后，就可以将访问命令包以多个子访问命令包的形式发送给第二目标网关。可选的，在将访问命令包拆分为多个子访问命令包时，可以根据访问命令包的数据量大小将访问命令包拆分为多个数据量大小相等的子访问命令包，也可以将访问命令包拆分为多个数据量大小不相等的子访问命令包，只需要保证子访问命令包的数据量是小于等于阈值的。对于将访问命令包拆分为多个子访问命令包的方式，在本申请不做限定。

406：第二目标网关接收网络隔离设备发送的协议化后的访问命令包，并根据访问命令包获取访问命令包对应的数据。

在一种实现方式中，第二目标网关可以接收网络隔离设备发送的访问命令包，其中，该访问命令包是协议化后的访问命令包。而根据协议化后的访问命令包的数据量的大小，第二目标网关接收到的协议化后的访问命令包也有所不同。如果访问命令包的数据量小于等于网络隔离设备设置的阈值，该阈值是网络隔离设备可发送数据的最大数据量，则第二目标网关接收的是网络隔离设备发送的一个完整的访问命令包。如果访问命令包的数据量大于网络隔离设备设置的阈值，则第二目标网关接收的是网络隔离设备发送的多个子访问命令包。那么在第二目标网关接收的是网络隔离设备发送的多个子访问命令包的情况下，第二目标网关还可以将该多个子访问命令包进行组合，以得到完整的访问命令包。

在一种实现方式中，在第二目标网关接收到网络隔离设备发送的协议化后的访问命令包之后，第二目标网关可以将该访问命令包发送到第二目标网关对应的服务器。服务器接收到该访问命令包之后，根据该访问命令包获取该访问命令包对应的数据。服务器获取到该访问命令包对应的数据之后，再向第二目标网关发送该访问命令包对应的数据，其中，服务器向第二目标网关发送的数据可以是以数据包的形式发送。第二目标网关接收到该访问命令包对应的数据包之后，就可以向网络隔离设备发送该数据包。

407：第二目标网关向网络隔离设备发送访问命令包对应的数据。

在一种实现方式中，在第二目标网关向网络隔离设备发送该数据包之前，还需要确定网络隔离设备的传输协议，第二目标网关可以适配网络隔离设备的传输协议，而不影响网络隔离设备的安全防护能力。在第二目标网关确定网络隔离设备的传输协议之后，将该数据包根据传输协议转化为协议化后的数据包，接着向网络隔离设备发送协议化后的数据包。

408：网络隔离设备向第一目标网关发送访问命令包发送的数据。

在一种实现方式中，网络隔离设备接收到第二目标网关发送的访问命令包对应的数据之后。可选的，网络隔离设备接收的访问命令包对应的数据可以是以数据包的形式。那么在网络隔离设备接收到第二目标网关发送的协议化后的数据包之后，就可以向第一目标网关发送协议化后的数据包。可选的，网络隔离设备接收到协议化后的数据包之后，还可以检测该数据包的数据量大小，以便于网络隔离设备根据该数据包的数据量大小向第一目标网关发送该数据包。如果网络隔离设备接收到的数据包的数据量小于等于网络隔离设备设置的阈值，该阈值是网络隔离设备可发送数据的最大数据量，则网络隔离设备可以直接将该数据包发送给第一目标网关。如果网络隔离设备接收到的数据包的数据量大于阈值，那么网络隔离设备可以将数据包拆分为多个子数据包。可选的，在将数据包拆分为多个子数据包时，可以根据数据包的数据量大小将数据包拆分为多个数据量大小相等的子数据包，也可以将数据包拆分为多个数据量大小不相等的子数据包，只需要保证子数据包的数据量是小于等于阈值的。在网络隔离设备将数据包拆分为多个子数据包之后，就可以将多个数据包发送给第一目标网关。

409：第一目标网关接收网络隔离设备发送的访问命令包发送的数据。

在一种实现方式中，第一目标网关可以接收网络隔离设备发送访问命令包发送的数据，其中，该数据可以是以数据包的形式发送，该数据包是协议化后的数据包。而根据协议化后的数据包的数据量的大小，第一目标网关接收到的协议化后的数据包也有所不同。如果数据包的数据量小于等于网络隔离设备设置的阈值，则第一目标网关接收的是网络隔离设备发送的一个完整的数据包。如果数据包的数据量大于网络隔离设备设置的阈值，则第一目标网关接收的是网络隔离设备发送的多个子数据包。那么在第一目标网关接收的是网络隔离设备发送的多个子数据包的情况下，第一目标网关还可以将该多个子数据包进行组合，以得到完整的数据包。

在一种实现方式中，第一目标网关接收到网络隔离设备发送的访问命令包发送的数据之后，就可以将该数据返回给用户。并且在在第一目标网关接收到该数据之后，第一目标网关可以与第二目标网关断开连接。

其中，步骤s401、s402的具体实施方式可以参见上述实施例步骤s201、s202的具体描述，此处不再赘述。

本申请实施例中，第一目标网关可以接收访问请求，并确定访问请求对应的访问命令包。而与第一目标网关对应的第二网关，即第二目标网关可以向第一目标网关发送询问请求。若第一目标网关接收到第二目标网关发送的询问请求，则第一目标网关确定网络隔离设备的传输协议，并根据传输协议确定协议化后的访问命令包，并向网络隔离设备发送协议化后的访问命令包。那么网络隔离设备接收到第一目标网关发送的访问命令包之后，就可以向第二目标网关发送该访问命令包。而在第二目标网关接收到网络隔离设备发送的访问命令包之后，可以根据访问命令包获取访问命令包对应的数据，并向网络隔离设备发送访问命令包对应的数据。进一步的，网络隔离设备可以接收第二目标网关发送的该数据，并向第一目标网关该数据。第一目标网关接收到网络隔离设备发送的该数据之后，就可以将数据返回给用户。通过实施上述方法，可以有效保障网络的安全性，提升了网络防护效果。

请参见图5，为本申请实施例提供的一种数据处理装置的结构示意图。可选的，该数据处理装置可配置于网关设备，如配置于上述的第一目标网关中。该网关设备如第一目标网关可部署于云数据系统，该云数据系统可包括多个第一网关和多个第二网关，第一网关与第二网关建立有从第二网关到第一网关的单向连接。其中，本实施例中所描述的数据处理装置，包括：

确定单元501，用于第一目标网关接收访问请求，并确定所述访问请求对应的访问命令包，其中，所述第一目标网关为所述多个第一网关中的一个；

发送单元502，用于若所述第一目标网关接收到第二目标网关发送的询问请求，则所述第一目标网关向所述第二目标网关发送所述访问命令包，其中，所述第二目标网关为与所述第一目标网关对应的第二网关；

接收单元503，用于所述第一目标网关接收所述第二目标网关响应于所述访问命令包发送的数据。

在一种实现方式中，所述云数据系统还包括网络隔离设备；所述发送单元502，具体用于：

所述第一目标网关确定所述网络隔离设备的传输协议，并根据所述传输协议确定协议化后的访问命令包；

所述第一目标网关通过所述网络隔离设备向所述第二目标网关发送所述协议化后的访问命令包。

在一种实现方式中，所述云数据系统还包括路由设备，所述访问请求包括目标标识，其中，所述目标标识用于指示所述访问请求对应的第一目标网关；所述访问请求是所述路由设备根据所述目标标识路由到所述第一目标网关的。

在一种实现方式中，所述装置还包括连接单元504，具体用于：

若所述第一目标网关接收到第二目标网关按照预设条件发送的询问请求，则所述第一目标网关与所述第二目标网关建立通信连接；

所述第一目标网关接收所述第二目标网关响应于所述访问命令包发送的数据之后，所述第一目标网关与所述第二目标网关断开通信连接。

请参见图6，为本申请实施例提供的另一种数据处理装置的结构示意图。可选的，该数据处理装置可配置于网关设备，如配置于上述的第二目标网关中。该网关设备如第二目标网关可部署于云数据系统，该云数据系统可包括多个第一网关和多个第二网关，第一网关与第二网关建立有从第二网关到第一网关的单向连接。其中，本实施例中所描述的数据处理装置，包括：

发送单元601，用于第二目标网关向第一目标网关发送询问请求，其中，所述第一目标网关为所述多个第一网关中的一个，所述第二目标网关为与所述第一目标网关对应的第二网关；

接收单元602，用于所述第二目标网关接收所述第一目标网关发送的访问命令包；

所述发送单元601，还用于所述第二目标网关根据所述访问命令包获取所述访问命令包对应的数据，并向所述第一目标网关发送所述访问命令包对应的数据。

在一种实现方式中，所述多个第二网关采用轮询的方式向对应的第一网关发送询问请求；所述发送单元601，具体用于：

当所述第二目标网关的轮询时机到达时，向第一目标网关发送询问请求。

在一种实现方式中，所述装置还包括连接单元603，具体用于：

所述第二目标网关与所述第一目标网关建立通信连接；

根据所述访问命令包对应的特征信息确定连接时长，所述特征信息包括以下至少一项：所述访问命令包的数据量大小、访问命令包对应的用户的优先级以及网络传输质量；

若达到所述连接时长，则所述第二目标网关与所述第一目标网关断开通信连接。

在一种实现方式中，所述云数据系统还包括网络隔离设备；所述发送单元601，具体用于：

所述第二目标网关接收所述第一目标网关通过所述网络隔离设备发送的访问命令包。

请参见图7，为本申请实施例提供的一种网关设备的结构示意图。该网关设备可以为上述的第一目标网关和/或第二目标网关，或者可以执行上述第一目标网关和/或第二目标网关执行的部分或全部步骤。本实施例中所描述的网关设备，包括：处理器701、存储器702以及网络接口703。上述处理器701、存储器702以及网络接口703之间可以交互数据。

上述处理器701可以是中央处理单元(centralprocessingunit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

上述存储器702可以包括只读存储器和随机存取存储器，并向处理器701提供程序指令和数据。存储器702的一部分还可以包括非易失性随机存取存储器。

可选的，在一些实施例中，该网关设备可以为第一目标网关，或者可执行该第一目标网关执行的部分或全部步骤。该网关设备如第一目标网关可部署于云数据系统，该云数据系统可包括多个第一网关和多个第二网关，第一网关与第二网关建立有从第二网关到第一网关的单向连接。例如，所述处理器701调用所述程序指令时用于执行：

调用网络接口703接收访问请求，并确定所述访问请求对应的访问命令包，其中，所述第一目标网关为所述多个第一网关中的一个；

若接收到第二目标网关发送的询问请求，则调用网络接口703向所述第二目标网关发送所述访问命令包，其中，所述第二目标网关为与所述第一目标网关对应的第二网关；

调用网络接口703接收所述第二目标网关响应于所述访问命令包发送的数据。

在一种实现方式中，所述处理器701，具体用于：

确定所述网络隔离设备的传输协议，并根据所述传输协议确定协议化后的访问命令包；

通过所述网络隔离设备向所述第二目标网关发送所述协议化后的访问命令包。

在一种实现方式中，所述云数据系统还包括路由设备，所述访问请求包括目标标识，其中，所述目标标识用于指示所述访问请求对应的第一目标网关；所述访问请求是所述路由设备根据所述目标标识路由到所述第一目标网关的。

在一种实现方式中，所述处理器701，还用于：

若接收到第二目标网关按照预设条件发送的询问请求，则所述第一目标网关与所述第二目标网关建立通信连接；

调用网络接口703接收所述第二目标网关响应于所述访问命令包发送的数据之后，所述第一目标网关与所述第二目标网关断开通信连接。

可选的，在一些实施例中，该网关设备可以为第二目标网关，或者可执行该第二目标网关执行的部分或全部步骤。该网关设备如第二目标网关可部署于云数据系统，该云数据系统可包括多个第一网关和多个第二网关，第一网关与第二网关建立有从第二网关到第一网关的单向连接。例如，处理器701调用所述程序指令时用于执行：

调用网络接口703向第一目标网关发送询问请求，其中，所述第一目标网关为所述多个第一网关中的一个，所述第二目标网关为与所述第一目标网关对应的第二网关；

调用网络接口703接收所述第一目标网关发送的访问命令包；

根据所述访问命令包获取所述访问命令包对应的数据，并向所述第一目标网关发送所述访问命令包对应的数据。

在一种实现方式中，所述多个第二网关采用轮询的方式向对应的第一网关发送询问请求；所述处理器701，具体用于：

当所述第二目标网关的轮询时机到达时，向第一目标网关发送询问请求。

在一种实现方式中，所述处理器701，还用于：

根据所述访问命令包对应的特征信息确定连接时长，所述特征信息包括以下至少一项：所述访问命令包的数据量大小、访问命令包对应的用户的优先级以及网络传输质量；

若达到所述连接时长，则所述第二目标网关与所述第一目标网关断开通信连接。

在一种实现方式中，所述云数据系统还包括网络隔离设备；所述处理器701，具体用于：

调用网络接口703接收所述第一目标网关通过所述网络隔离设备发送的访问命令包。

本申请实施例还提供了一种计算机存储介质，该计算机存储介质中存储有程序指令，所述程序执行时可包括如图2或者图4对应实施例中的数据处理方法的部分或全部步骤。

需要说明的是，对于前述的各个方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某一些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-onlymemory，rom)、随机存取器(randomaccessmemory，ram)、磁盘或光盘等。

本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序可包括计算机指令，该计算机指令可存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法的实施例中所执行的部分或全部步骤。

以上对本申请实施例所提供的一种数据处理方法、网关设备及介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。