警信息。
[0046]可选的,隔离服务器检测是否存在扫描机对隔离服务器的进行端口扫描,包括:
[0047]隔离服务器检测预设时间段内是否存在同一个IP地址的服务器对隔离服务器的预设个数的端口进行依次访问;
[0048]若预设时间段内存在同一个IP地址的服务器对隔离服务器的预设个数的端口进行依次访问,隔离服务器确定存在扫描机对隔离服务器的进行端口扫描;
[0049]若预设时间段内不存在同一个IP地址的服务器对隔离服务器的预设个数的端口进行依次访问,隔离服务器确定不存在扫描机对隔离服务器的进行端口扫描。
[0050]可选的,在隔离服务器将请求包发送至位于内网的目的内网开发服务器之后,方法还包括:
[0051]隔离服务器通过目的TCP中转器接收目的内网开发服务器发送的响应包,响应包是目的内网开发服务器根据请求包生成的;
[0052]隔离服务器通过目的TCP中转器将响应包发送至接入层服务器,以使得接入层服务器将响应包发送至客户端。
[0053]综上所述,由于在内网与外网之间设置了隔离服务器,该隔离服务器采用网络隔离技术检测请求包是否满足访问条件,在请求包满足访问条件时,才将请求包发送至位于内网的目的内网开发服务器,在保证客户端访问内网开发服务器的同时,实现了内网与外网之间的网络隔离。
[0054]请参考图3,其示出了图1所示的网开发服务器访问系统的具体结构示意图。该内网开发服务器访问系统包括:至少一个位于内网的内网开发服务器00 ;位于外网的网络接入服务器01以及至少一个客户端04 ;位于内网与外网之间的隔离服务器02,隔离服务器02上设置有至少一个传输控制协议(英文〖Transmiss1n Control Protocol ;简称:TCP)中转器(proxy) 021,隔离服务器02上的TCP中转器与位于内网中的内网开发服务器一一对应。示例的,图3中,该内网开发服务器访问系统中,部署有3个内网开发服务器00,分别为内网开发服务器001、内网开发服务器002和内网开发服务器003,每个内网开发服务器对应一个TCP中转器,则TCP中转器021共3个,分别为TCP中转器0211、TCP中转器0212和TCP中转器0213,其中,内网开发服务器001与TCP中转器0211对应,内网开发服务器002与TCP中转器0212对应,内网开发服务器003与TCP中转器0213对应。
[0055]本发明实施例提供另一种内网开发服务器访问方法,可以应用于如图3所示的内网开发服务器访问系统,如图4所示,该方法包括:
[0056]步骤201、客户端向接入层服务器发送请求包。
[0057]在内网开发服务器对客户端进行测试或调试过程中,需要客户端通过接入层服务器向内网开发服务器发送用于测试或调试的请求包,内网开发服务器通过对该请求包进行测试来发现客户端存在的问题,或者通过对该请求包进行调试解决客户端存在的问题。
[0058]示例的,假设客户端为QQ客户端,该QQ客户端的QQ消息在对端客户端显示为乱码(其中,该对端客户端为使用该QQ客户端的用户的聊天对象所使用的客户端),则需要对该QQ客户端进行测试,来确定客户端存在的问题,在确定出客户端存在的问题后,可以通过对该QQ客户端进行调试,来对问题进行不断修正,最终解决问题,使QQ客户端的QQ消息能够发出。该请求包可以携带上述QQ消息,内网开发服务器通过检测和响应该请求包来确定客户端存在的问题。
[0059]步骤202、接入层服务器将请求包发送至隔离服务器的目的TCP中转器。
[0060]接入层服务器位于外网的接入层,接入层通常指网络中直接面向用户连接或访问的部分,接入层服务器可以将该请求包转发给路由器(Router),通过该路由器获取需要到达的下一跳地址,路由器具有判断网络地址和选择IP路径的功能,属于一种互联装置,示例的,路由器的工作原理如下:接入层服务器将目的TCP中转器的目的地址连同数据信息以请求包的形式发送给路由器;路由器收到接入层服务器发送的请求包后,先从包头中取出目的地址,并根据存储在该路由器中的路径表计算出发往隔离服务器的目的TCP中转器的最佳路径,并按照该最佳路径将请求包发往该隔离服务器的目的TCP中转器,该请求包从接入层服务器到达隔离服务器的目的TCP中转器的过程中可以经过一个或多个路由器,实际过程可以参考现有技术,本发明实施例对此不再详述。
[0061]可选的,目的地址用于唯一标识请求包所要发送的目的装置,本发明实施例中,由于TCP中转器与内网开发服务器一一对应,请求包中可以只携带TCP中转器的地址,只要该请求包到达该TCP中转器的地址所指示的TCP中转器,就可以由该TCP中转器将该请求包转发至相应的内网开发服务器,因此目的地址可以标识目的TCP中转器,该目的地址包括IP地址和目的TCP端口号,网际协议IP地址用于指示隔离服务器的IP地址,目的TCP端口号用于指示目的TCP中转器的端口号,示例的,本发明实施例假设目的地址指示的目的TCP中转器为图3中的TCP中转器0211。
[0062]步骤203、隔离服务器采用网络隔离技术检测请求包是否满足访问条件。
[0063]网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享,也就是说,通过网络隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。在本发明实施例中,隔离服务器可以通过专用物理硬件和安全协议在内网和外网的之间架构起安全隔离网墙,使两个网络在空间上物理隔离的同时,又能过滤数据交换过程中的病毒、恶意代码等信息,以保证数据信息在可信的网络环境中进行交换、共享,同时还要通过严格的身份认证机制来确保用户获取所需数据信息。
[0064]示例的,本发明实施例中,隔离服务器可以通过访问控制、身份认证、加密和数字签名等安全机制中的至少一种来实现网络隔离。例如,按照请求包所对应的用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。不同的安全机制,对应不同的访问条件,在请求包满足隔离服务器中的安全机制所设定的访问条件时,才允许将该请求包转发至内网开发服务器。
[0065]其中,访问控制通常用于系统管理员控制客户端对服务器、目录、文件等网络资源的访问,访问控制通常可分为自主访问控制和强制访问控制两大类。自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限;强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。在本发明实施例中,隔离服务器通常采用强制访问控制来进行网络隔离。
[0066]身份认证也称为身份验证或身份鉴别,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。身份认证的方式可以由多种,如静态密码认证、动态口令认证或短信密码认证。示例的,假设QQ客户端的QQ消息持续无法发出,用户联系客服,表明QQ客户端出现问题,客服向用户提供特定的动态口令,则携带有该动态口令的请求包可以通过隔离服务器的身份认证,进入内网。
[0067]加密是指以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。其具体方法可以参考相关技术,本发明实施例对比不做详述。
[0068]数字签名,又称公钥数字签名或电子签章,是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。其具体方法可以参考相关技术,本发明实施例对比不做详述。
[0069]实际应用中,网络隔离技术可以包括网络准入控制(英文:Network AccessControl ;简称:NAC)技术,采用NAC结束,网络隔离服务器可以只允许合法的、值得信任的端点装置,例如个人计算机(英文:personal computer ;简称:PC)、服务器、掌上电脑(英文:Personal Digital Assistant ;简称:PDA),等接入内网,而不允许其它装置接入内网。
[0070]可选的,本发明实施例中,设置在隔离服务器上的TCP中转器的端口号可以为动态端口(Dynamic Ports)或私有端口(Private Ports),如端口号49152至65535,其使用率较低,在这些端口号中选择一些没有漏洞的端口号作为TCP中转器的端口号,可以降低TCP中转器的端口号被不法分子发现的概率,实现一定的网络隔离作用。
[0071]步骤204、隔离服务器在请求包满足访问条件时,通过目的TCP中转器将请求包发送至位于内网的目的内网开发服务器。
[0072]TCP中转器用于将一个TCP包完整的转到设定好的另一个地址,TCP包可以为请求包或响应包。由于本发明实施例中TCP中转器与内网开发服务器是——对应的,因此,对于任意一个TCP中转器,设定好的另一个地址为该TCP中转器所对应的内网开发服务器,因此,当目的TCP中转器获取了请求包,可以将该请求包发送至该目的TC