2. 专利技术
  3. 内部网络的访问方法、装置、设备及存储介质与流程

内部网络的访问方法、装置、设备及存储介质与流程

专利2023-12-04  107


1.本发明涉及网络安全领域,尤其涉及一种内部网络的访问方法、装置、设备及存储介质。


背景技术:

2.随着企业信息化管理的普及,内部用户使用的信息化系统已经不能满足企业的需求。对于在外地开设办事处的企业的办事处人员、在外地出差的人员需要也能够访问企业内部系统,当需要为用户现场演示,或用户自己进行操作时需要访问测试环境的项目。
3.相关技术中,用户访问内网项目有两种方式。一种方式是短期内开放代理,在代理期间用户可以通过公网地址访问指定的项目,但该方式在实际实现时,效率较低,由于是在规定的时间内短期开放代理,对于内部流程比较复杂的公司,需要耗费很长的时间完成代理流程,严重影响用户的访问进度。此外,该方式不能避免在访问过程中被攻击的风险,在短期内针对单个项目进行安全维护,成本较高,且加重了运维人员的工作负担。另一种方式是长时间对外开放代理,该方式虽然节省时间,比较简单,但是会使项目很容易被攻击和破解,使项目的处在危险环境中。此外,该方式还会使服务端收到大量无效请求,影响用户使用的流畅感,不仅浪费服务器的资源,随着项目的增加,还不便于管理。


技术实现要素:

4.本发明提供了一种内部网络的访问方法、装置、设备及存储介质,用于实现长时间通过公网来访问内部网络,避免项目被攻击或破解,提高访问内部网络的安全性和用户使用的流畅感,而且便于管理和维护,从而减轻运维人员的工作负担。
5.为实现上述目的,本发明第一方面提供了一种内部网络的访问方法,该内部网络的访问方法包括:接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。
6.可选的,在本发明第一方面的第一种实现方式中,上述指定信息包括:发送访问请求的第一ip地址和代理服务器接收访问请求的第一端口;从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询访问请求是否具有访问内部网络的权限的步骤,包括:确定从配置文件中是否查询到第一ip地址和第一端口;如果查询到第一ip地址和第一端口,确定访问请求具有访问内部网络的权限。
7.可选的,在本发明第一方面的第二种实现方式中,上述配置文件中,ip地址和端口具有指定的映射关系;该映射关系用于指示:ip地址发送的访问请求,通过与ip地址具有映射关系的端口接收;如果查询到第一ip地址和第一端口,确定访问请求具有访问内部网络的权限的步骤,包括:确定第一ip地址与第一端口,在配置文件中是否具有映射关系;如果
第一ip地址与第一端口具有映射关系,确定访问请求具有访问内部网络的权限。
8.可选的,在本发明第一方面的第三种实现方式中,上述代理服务器设置有多个端口;在上述配置文件中,每个端口与多个ip地址具有映射关系;每个ip地址与至少一个端口具有映射关系。
9.可选的,在本发明第一方面的第四种实现方式中,接收来自外部网络的访问请求的步骤之前,内部网络的访问方法还包括:基于配置文件,向外部网络的ip地址发送指定端口信息,以指示外部网络的ip地址对应的设备发送访问请求时,携带指定端口信息,并向指定端口信息中包含的指定端口发送访问请求。
10.可选的,在本发明第一方面的第五种实现方式中,上述内部网络的访问方法还包括:接收临时请求的权限设置信息;其中,该权限设置信息包括:身份信息、发送临时请求的第二ip地址,以及代理服务器接收临时请求的第二端口;向第二ip地址发放令牌,以使第二ip地址发送访问内部网络的访问请求时,携带上述令牌;其中,该令牌用于指示:第二ip地址具有访问内部网络的权限。
11.可选的,在本发明第一方面的第六种实现方式中,上述令牌预设有有效时长;内部网络的访问方法还包括:接收来自第二ip地址发送的临时请求,查询临时请求中的令牌的发放时间;基于发放时间和当前时间,确定令牌是否处于有效时长;如果令牌处于有效时长,将临时请求转发至第二端口。
12.本发明第二方面提供了一种内部网络的访问装置,内部网络的访问装置包括:接收模块,用于接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;提取模块,用于从访问请求中提取指定信息,基于指定信息,从预设的配置文件中查询访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;转发模块,用于如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。
13.可选的,在本发明第二方面的第一种实现方式中,上述指定信息包括:发送访问请求的第一ip地址和代理服务器接收访问请求的第一端口;上述提取模块,还用于:确定从配置文件中是否查询到第一ip地址和第一端口;如果查询到第一ip地址和第一端口,确定上述访问请求具有访问内部网络的权限。
14.可选的,在本发明第二方面的第二种实现方式中,上述配置文件中,ip地址和端口具有指定的映射关系;该映射关系用于指示:ip地址发送的访问请求,通过与ip地址具有映射关系的端口接收;上述提取模块,还用于:确定第一ip地址与第一端口,在上述配置文件中是否具有映射关系;如果第一ip地址与第一端口具有映射关系,确定上述访问请求具有访问内部网络的权限。
15.可选的,上述代理服务器设置有多个端口;在配置文件中,每个端口与多个ip地址具有映射关系;每个ip地址与至少一个端口具有映射关系。
16.可选的,在本发明第二方面的第三种实现方式中,上述装置还包括发送模块,用于基于上述配置文件,向外部网络的ip地址发送指定端口信息,以指示外部网络的ip地址对应的设备发送访问请求时,携带指定端口信息,并向指定端口信息中包含的指定端口发送访问请求。
17.可选的,在本发明第二方面的第四种实现方式中,上述装置还包括临时接收模块,
用于:接收临时请求的权限设置信息;其中,该权限设置信息包括:身份信息、发送临时请求的第二ip地址,以及代理服务器接收临时请求的第二端口;向第二ip地址发放令牌,以使第二ip地址发送访问内部网络的访问请求时,携带令牌;其中,该令牌用于指示:第二ip地址具有访问内部网络的权限。
18.可选的,在本发明第二方面的第五种实现方式中,上述令牌预设有有效时长;上述装置还包括查询模块,用于:接收来自第二ip地址发送的临时请求,查询临时请求中的令牌的发放时间;基于发放时间和当前时间,确定令牌是否处于所述有效时长;如果令牌处于有效时长,将临时请求转发至第二端口。
19.本发明第三方面提供了一种内部网络的访问设备,内部网络的访问设备包括:存储器和至少一个处理器,存储器中存储有指令;至少一个处理器调用存储器中的指令,以使得内部网络的访问设备执行如上述内部网络的访问方法。
20.本发明第四方面提供了一种计算机可读存储介质,其上存储有指令,指令被处理器执行时实现如上述内部网络的访问方法。
21.本发明提供的技术方案中,接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。该方式中,根据内部网络应用的地址添加到预设的配置文件中,接收到来自外部网络的访问请求后,从预设的配置文件中查询该访问请求是否有访问内部网络的权限,进而基于判断结果确定是否将该访问请求转发至内部网络中的第一网络地址。进一步地,根据预设的配置文件中ip地址和端口的映射关系,可以实现长时间通过外部网络来访问内部网络,而且可以避免项目被攻击或破解,提高了访问内部网络的安全性,此外,还解决了服务器接收到大量无效请求,浪费服务器的资源问题,同时提高了用户使用的流畅感,便于管理和维护,减轻了运维人员的工作负担。
附图说明
22.图1为本发明实施例中内部网络的访问方法的一个实施例示意图;
23.图2为本发明实施例中内部网络的访问方法的另一个实施例示意图;
24.图3为本发明实施例中内部网络的访问装置的一个实施例示意图;
25.图4为本发明实施例中内部网络的访问装置的另一个实施例示意图;
26.图5为本发明实施例中内部网络的访问设备的一个实施例示意图。
具体实施方式
27.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设
备固有的其它步骤或单元。
28.现有技术中,用户访问内网项目有两种方式。一种方式是短期内开放代理,在代理期间用户可以通过公网地址访问指定的项目,但该方式在实际实现时,效率较低,由于是在规定的时间内短期开放代理,对于内部流程比较复杂的公司,需要耗费很长的时间完成代理流程,严重影响用户的访问进度。此外,该方式不能避免在访问过程中被攻击的风险,在短期内针对单个项目进行安全维护,成本较高,且加重了运维人员的工作负担。另一种方式是长时间对外开放代理,该方式虽然节省时间,比较简单,但是会使项目很容易被攻击和破解,使项目的处在危险环境中。此外,该方式还会使服务端收到大量无效请求,影响用户使用的流畅感,不仅浪费服务器的资源,随着项目的增加,还不便于管理。
29.基于上述问题,本实施例提供一种内部网络的访问方法、装置、设备和存储介质,该技术可以应用于通过公网访问公司内部网络场景中,上述内部网络的访问方法应用于代理服务器。
30.为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中内部网络的访问方法的一个实施例包括:
31.步骤s101,接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;
32.目前,大部分科技公司会在公司附近一定的范围内将各种计算机、外部设备和数据库等互相连接起来组成计算机通信网,即内部网络,也就是局域网,在防火墙的内部。在内部网络内每台计算机的ip(internet protocol网际互连协议)地址在本局域网内具有互异性,是不可重复的。内部网络ip地址是私有地址,不允许在公网上面传递,只能供内部使用,内部用户通过内部网络来访问公司的项目,以防项目遭到恶意攻击给公司带来巨大的损失。随着公司企业信息化管理的普及,内部用户使用的信息化系统已经不能满足企业的需求,基于此,本发明实施例提供一种内部网络的访问方法,可以实现长时间通过公网来访问内部网络,还可以避免项目被攻击或破解,上述公网是相对于内部网络而言的,即外部网络。
33.具体的,代理服务器接收来自外部网络的访问请求,该访问请求用于访问内部网络中的第一网络地址。上述代理服务器既是一种服务器,又是客户机的中间程序,可以控制用户的行为,对接收到的访问请求进行决策,并根据过滤规则对用户请求进行过滤,代理服务器最基本的功能是连接,具体是的连接内部网络和互联网,此外还包括安全性、缓存、内容过滤、访问控制管理等功能。上述访问请求用于访问内部网络中的第一网络地址,该第一网络地址是互联网上的节点在网络中具有的逻辑地址,可对节点进行寻址。
34.本发明实施例中,采用开源框架getway-zuul来实现代理服务,运维人员只需要针对该代理服务器进行管理,维护部署内部网络的访问系统开放的ip和端口,针对非法访问请求或者频率较高的恶意访问请求,可以直接针对项目进行管理配置,极大地简化了运维人员的操作难度。
35.步骤s102,从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;
36.实际实现时,代理服务器会从上述访问请求中提取指定信息,该指定信息用于指
示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;例如,某一访问请求中的指示信息中指示发送访问请求的地址为第一ip地址,和/或,代理服务器接收访问请求的位置为第一端口,那么代理服务器会基于上述指定信息从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限。
37.具体的,上述预设的配置文件中包括ip地址和端口的映射关系,该映射关系用来指示ip地址发送的访问请求,由与该ip地址具有映射关系的端口来接收该ip地址发送的访问请求。进一步地,确定第一ip地址与第一端口,在配置文件中是否具有映射关系,如果第一ip地址与第一端口具有映射关系,则说明上述第一ip地址发送的访问请求应该由第一端口来接收,基于此,确定访问请求具有访问内部网络的权限;如果第一地址与第一端口不具有映射关系,则说明上述第一ip地址发送的访问请求不应该由第一端口来接收,基于此,确定访问请求不具有访问内部网络的权限。
38.通过预设的配置文件中的ip地址与端口的映射关系,确定访问请求是否具有访问内部网络的权限,从而筛选并阻挡非法访问请求或者恶意访问请求,提高了内部网络访问的安全性。
39.进一步地,通过预设的配置文件中的ip地址与端口的映射关系,可以实现长时间通过外部网络来访问内部网络,而且可以避免项目被攻击或破解,提高了访问内部网络的安全性,此外,还解决了服务器接收到大量无效请求,浪费服务器的资源问题,同时提高了用户使用的流畅感。
40.步骤s103,如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。
41.实际实现时,如果确定上述访问请求具有访问内部网络的权限,代理服务器将上述访问请求转发至内部网络的第一网络地址,进而实现通过外部网络对内部网络中的项目的访问。
42.上述内部网络的访问方法,接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。该方式中,根据内部网络应用的地址添加到预设的配置文件中,接收到来自外部网络的访问请求后,从预设的配置文件中查询该访问请求是否有访问内部网络的权限,进而基于判断结果确定是否将该访问请求转发至内部网络中的第一网络地址。进一步地,根据预设的配置文件中ip地址和端口的映射关系,可以实现长时间通过外部网络来访问内部网络,而且可以避免项目被攻击或破解,提高了访问内部网络的安全性,此外,还解决了服务器接收到大量无效请求,浪费服务器的资源问题,同时提高了用户使用的流畅感,便于管理和维护,减轻了运维人员的工作负担。
43.可选的,上述指定信息包括:发送访问请求的第一ip地址和代理服务器接收访问请求的第一端口;确定从配置文件中是否查询到第一ip地址和第一端口;如果查询到第一ip地址和第一端口,确定访问请求具有访问内部网络的权限。
44.用户通过外部网络发送的访问内部网络中的第一网络地址的访问请求中包含有第一ip地址,以及代理服务器接收上述访问请求的第一端口。进一步地,从预设的配置文件
中查询上述第一ip地址和第一端口,确定从配置文件中是否查询到第一ip地址和第一端口,如果查询到第一ip和第一端口,确定上述访问请求具有访问内部网络的权限。其中,预设的配置文件是对不同对象进行不同配置的文件。
45.可选的,上述配置文件中,ip地址和端口具有指定的映射关系;该映射关系用于指示:ip地址发送的访问请求,通过与ip地址具有映射关系的端口接收;确定第一ip地址与第一端口,在配置文件中是否具有映射关系;如果第一ip地址与第一端口具有映射关系,确定访问请求具有访问内部网络的权限。
46.也就是,上述预设的配置文件中包括ip地址和端口的映射关系,该映射关系用来指示ip地址发送的访问请求,由与该ip地址具有映射关系的端口来接收该ip地址发送的访问请求。进一步地,确定第一ip地址与第一端口,在配置文件中是否具有映射关系,如果第一ip地址与第一端口具有映射关系,则说明上述第一ip地址发送的访问请求应该由第一端口来接收,基于此,确定访问请求具有访问内部网络的权限;如果第一地址与第一端口不具有映射关系,则说明上述第一ip地址发送的访问请求不应该由第一端口来接收,基于此,确定访问请求不具有访问内部网络的权限。
47.本步骤通过预设的配置文件中的ip地址与端口的映射关系,确定访问请求是否具有访问内部网络的权限,从而筛选并阻挡非法访问请求或者恶意访问请求,提高了内部网络访问的安全性。
48.可选的,上述代理服务器设置有多个端口;在上述配置文件中,每个端口与多个ip地址具有映射关系;每个ip地址与至少一个端口具有映射关系。
49.具体的,上述代理服务器设置有多个端口,从而可以满足接收多个与端口具有映射关系的ip地址发送的访问请求的需求,在上述配置文件中,每个端口与多个ip地址具有映射关系;每个ip地址与至少一个端口具有映射关系。举例来说,如果第一端口与第一ip地址、第二ip地址、第三ip地址具有映射关系,通过第一ip地址、第二ip地址或者第三ip地址中任何一个ip地址发送的访问请求如果由第一端口来接收,那么访问请求具有访问内部网络的权限;如果第一ip地址与第一端口和第二端口具有映射关系,那么第一ip地址发送的访问请求由第一端口接收,访问请求具有访问内部网络的权限,如果由第二网络接收,访问请求也具有访问权限。
50.采用本步骤,可以满足多个用户通过不同的ip地址发送访问请求,方便用户登录查看需要的数据资料,为用户提供便利的同时,也提高了内部网络访问的安全性。
51.通过采用本步骤,运维人员只需要开放代理服务器的端口,基于上述配置文件实现通过外部网络访问内部网络,然后再开发后台管理系统,在一可选的方式中,可以使用springboot框架来开发后台管理系统,从而实现运维人员的可视化,基于此,运维人员只需要对代理服务器进行管理,维护部署内部网络的访问系统开放的ip和端口,针对非法访问请求或者频率较高的恶意访问请求,可以在内部网络的项目中直接进行管理配置,极大地简化了运维人员的操作难度。
52.可选的,基于配置文件,向外部网络的ip地址发送指定端口信息,以指示外部网络的ip地址对应的设备发送访问请求时,携带指定端口信息,并向指定端口信息中包含的指定端口发送访问请求。具体的,基于上述配置文件,向外部网络的ip地址发送指定的端口信息,该指定端口信息用于指示可以接收上述外部网络的ip地址发送的访问请求的端口信
息,以此指示外部网络的ip地址对应的设备在发送访问请求时,携带上述指定端口信息,并且向该指定的端口发送访问请求。基于此,用户通过上述指定端口信息,可以实现随时随地通过外部网络快速访问内部网络的需求,还提高访问内部网络的安全性。
53.另外,本发明实施例中用户登录内部网络的访问系统后,页面的所有展示和跳转均由内部网络处理,不会再有其他代理出去的地址,所有的项目实施统筹管理,不用再每个项目每次访问都需要配置代理,而且还需要面临用户在访问过程中遭受攻击的危险,不仅减轻了运维人员的工作负担,还提升了用户的使用体验。
54.进一步地,接收临时请求的权限设置信息;其中,该权限设置信息包括:身份信息、发送临时请求的第二ip地址,以及代理服务器接收临时请求的第二端口;向第二ip地址发放令牌,以使第二ip地址发送访问内部网络的访问请求时,携带上述令牌;其中,该令牌用于指示:第二ip地址具有访问内部网络的权限。
55.实际实现时,本发明实施例可以通过可视化途径为用户配置临时登录身份和访问权限,代理服务器接收临时请求的权限设置信息,该权限设置信息包括用户身份信息、发送临时请求的第二ip地址,以及代理服务器接收临时请求的第二端口;基于上述临时请求的权限设置信息向第二ip地址发放令牌,以此使得第二ip地址发送访问内部网络的访问请求时,携带上述令牌,该令牌用于指示第二ip地址具有访问内部网络的权限。也就是,用户通过外部网络设备使用第二ip地址发送临时请求时携带令牌,由代理服务器接收临时请求的第二端口来接收上述临时请求,基于此,用户可以临时登录和访问内部网络中的项目。
56.通过采用本步骤,为用户提供临时登录和访问权限,方便向用户展示内部网络中的项目模块,同时也可以选择展示和介绍企业的其他产品,给用户带来便利的同时,还可能给企业带来额外的效益。
57.进一步地,上述令牌预设有有效时长;接收来自第二ip地址发送的临时请求,查询临时请求中的令牌的发放时间;基于发放时间和当前时间,确定令牌是否处于有效时长;如果令牌处于有效时长,将临时请求转发至第二端口。
58.在实际实现时,上述令牌预设有有效时长,在有效时长内,该令牌有效,超出有效时长,则令牌无效。代理服务器接收来自第二ip地址发送的临时请求后,会查询临时请求中的令牌发放时间,再基于令牌发放时间和接收到临时请求的当前时间,确定令牌是否处于有效时长,如果令牌处于有效时长,即令牌有效,将临时请求转发至第二端口,如果令牌不处于有效时长,即令牌无效,不会将临时请求转发至第二端口。
59.通过采用本步骤,可以为临时需要访问内部网络的用户提供便利,而且通过令牌可以防止非法用户或者恶意用户的访问请求,保障内部网络的项目的处于安全环境。
60.为了进一步理解本实施例,请参阅图2,本发明实施例中的内部网络的访问方法的另一个实施例包括:
61.步骤s201,基于配置文件,向外部网络的ip地址发送指定端口信息,以指示外部网络的ip地址对应的设备发送访问请求时,携带指定端口信息,并向指定端口信息发送访问请求;
62.具体的,代理服务器基于预设的配置文件,向外部网络的ip地址发送指定的端口信息,该指定端口信息用于指示可以接收上述外部网络的ip地址发送的访问请求的端口信息,以此指示外部网络的ip地址对应的设备在发送访问请求时,携带上述指定端口信息,并
且向该指定的端口发送访问请求。基于此,用户通过上述指定端口信息,可以实现随时随地通过外部网络快速访问内部网络的需求,还提高访问内部网络的安全性。
63.步骤s202,接收来自外部网络的访问请求;其中,所述访问请求用于访问所述内部网络中的第一网络地址;
64.具体的,代理服务器接收来自外部网络的访问请求,该访问请求用于访问内部网络中的第一网络地址。上述代理服务器既是一种服务器,又是客户机的中间程序,可以控制用户的行为,对接收到的访问请求进行决策,并根据过滤规则对用户请求进行过滤,代理服务器最基本的功能是连接,具体是的连接内部网络和互联网,此外还包括安全性、缓存、内容过滤、访问控制管理等功能。上述访问请求用于访问内部网络中的第一网络地址,该第一网络地址是互联网上的节点在网络中具有的逻辑地址,可对节点进行寻址。
65.步骤s203,从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;
66.实际实现时,代理服务器会从上述访问请求中提取指定信息,该指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;例如,某一访问请求中的指示信息中指示发送访问请求的地址为第一ip地址,和/或,代理服务器接收访问请求的位置为第一端口,那么代理服务器会基于上述指定信息从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限。
67.步骤s204,确定第一ip地址与第一端口,在配置文件中是否具有映射关系;如果第一ip地址与第一端口具有映射关系,确定访问请求具有访问内部网络的权限;
68.上述配置文件中,ip地址和端口具有指定的映射关系;该映射关系用于指示:ip地址发送的访问请求,通过与ip地址具有映射关系的端口接收。也就是,上述预设的配置文件中包括ip地址和端口的映射关系,该映射关系用来指示ip地址发送的访问请求,由与该ip地址具有映射关系的端口来接收该ip地址发送的访问请求。
69.进一步地,确定第一ip地址与第一端口,在配置文件中是否具有映射关系,如果第一ip地址与第一端口具有映射关系,则说明上述第一ip地址发送的访问请求应该由第一端口来接收,基于此,确定访问请求具有访问内部网络的权限;如果第一地址与第一端口不具有映射关系,则说明上述第一ip地址发送的访问请求不应该由第一端口来接收,基于此,确定访问请求不具有访问内部网络的权限。
70.步骤s205,如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。
71.实际实现时,如果确定上述访问请求具有访问内部网络的权限,代理服务器将上述访问请求转发至内部网络的第一网络地址,进而实现通过外部网络对内部网络中的项目的访问。
72.上面对本发明实施例中内部网络的访问方法进行了描述,下面对本发明实施例中内部网络的访问装置进行描述,请参阅图3,本发明实施例中内部网络的访问装置的一个实施例包括:
73.接收模块31,用于接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;
74.提取模块32,用于从访问请求中提取指定信息,基于指定信息,从预设的配置文件中查询访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;
75.转发模块33,用于如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。
76.上述内部网络的访问装置,接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。该方式中,根据内部网络应用的地址添加到预设的配置文件中,接收到来自外部网络的访问请求后,从预设的配置文件中查询该访问请求是否有访问内部网络的权限,进而基于判断结果确定是否将该访问请求转发至内部网络中的第一网络地址。进一步地,根据预设的配置文件中ip地址和端口的映射关系,可以实现长时间通过外部网络来访问内部网络,而且可以避免项目被攻击或破解,提高了访问内部网络的安全性,此外,还解决了服务器接收到大量无效请求,浪费服务器的资源问题,同时提高了用户使用的流畅感,便于管理和维护,减轻了运维人员的工作负担。
77.请参阅图4,本发明实施例中内部网络的访问装置的另一个实施例包括:
78.接收模块31,用于接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;
79.提取模块32,用于从访问请求中提取指定信息,基于指定信息,从预设的配置文件中查询访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;
80.转发模块33,用于如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。
81.上述指定信息包括:发送访问请求的第一ip地址和代理服务器接收访问请求的第一端口;上述提取模块,还用于:确定从配置文件中是否查询到第一ip地址和第一端口;如果查询到第一ip地址和第一端口,确定上述访问请求具有访问内部网络的权限。
82.上述配置文件中,ip地址和端口具有指定的映射关系;该映射关系用于指示:ip地址发送的访问请求,通过与ip地址具有映射关系的端口接收;上述提取模块,还用于:确定第一ip地址与第一端口,在上述配置文件中是否具有映射关系;如果第一ip地址与第一端口具有映射关系,确定上述访问请求具有访问内部网络的权限。
83.上述代理服务器设置有多个端口;在配置文件中,每个端口与多个ip地址具有映射关系;每个ip地址与至少一个端口具有映射关系。
84.上述装置还包括发送模块34,用于基于上述配置文件,向外部网络的ip地址发送指定端口信息,以指示外部网络的ip地址对应的设备发送访问请求时,携带指定端口信息,并向指定端口信息中包含的指定端口发送访问请求。
85.上述装置还包括临时接收模块35,用于:接收临时请求的权限设置信息;其中,该权限设置信息包括:身份信息、发送临时请求的第二ip地址,以及代理服务器接收临时请求的第二端口;向第二ip地址发放令牌,以使第二ip地址发送访问内部网络的访问请求时,携
带令牌;其中,该令牌用于指示:第二ip地址具有访问内部网络的权限。
86.上述令牌预设有有效时长;上述装置还包括查询模块36,用于:接收来自第二ip地址发送的临时请求,查询临时请求中的令牌的发放时间;基于发放时间和当前时间,确定令牌是否处于所述有效时长;如果令牌处于有效时长,将临时请求转发至第二端口。
87.上面图3和图4从模块化的角度对本发明实施例中的内部网络的访问装置进行详细描述,下面从硬件处理的角度对本发明实施例中内部网络的访问设备进行详细描述。
88.图5是本发明实施例提供的一种内部网络的访问设备的结构示意图,该内部网络的访问设备500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,cpu)510(例如,一个或一个以上处理器)和存储器520,一个或一个以上存储应用程序533或数据532的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器520和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对内部网络的访问设备500中的一系列指令操作。更进一步地,处理器510可以设置为与存储介质530通信,在内部网络的访问设备500上执行存储介质530中的一系列指令操作。
89.内部网络的访问设备500还可以包括一个或一个以上电源540,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口560,和/或,一个或一个以上操作系统531,例如windows serve,mac os x,unix,linux,freebsd等等。本领域技术人员可以理解,图5示出的内部网络的访问设备结构并不构成对内部网络的访问设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
90.本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行内部网络的访问方法的步骤。
91.本发明还提供一种内部网络的访问设备,内部网络的访问设备包括存储器和处理器,存储器中存储有指令,指令被处理器执行时,使得处理器执行上述各实施例中的内部网络的访问方法的步骤。
92.进一步地,计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
93.本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
94.所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
95.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现
出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
96.以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征:
1.一种内部网络的访问方法,其特征在于,所述内部网络的访问方法应用于所述内部网络的代理服务器,所述内部网络的访问方法包括:接收来自外部网络的访问请求;其中,所述访问请求用于访问所述内部网络中的第一网络地址;从所述访问请求中提取指定信息,基于所述指定信息,从预设的配置文件中查询所述访问请求是否具有访问所述内部网络的权限;其中,所述指定信息用于指示发送所述访问请求的地址,和/或,所述代理服务器接收所述访问请求的位置;如果所述访问请求具有访问所述内部网络的权限,将所述访问请求转发至所述内部网络中的第一网络地址。2.根据权利要求1所述的内部网络的访问方法,其特征在于,所述指定信息包括:发送所述访问请求的第一ip地址和所述代理服务器接收所述访问请求的第一端口;所述从所述访问请求中提取指定信息,基于所述指定信息,从预设的配置文件中查询所述访问请求是否具有访问所述内部网络的权限的步骤,包括:确定从所述配置文件中是否查询到所述第一ip地址和所述第一端口;如果查询到所述第一ip地址和所述第一端口,确定所述访问请求具有访问所述内部网络的权限。3.根据权利要求2所述的内部网络的访问方法,其特征在于,所述配置文件中,ip地址和端口具有指定的映射关系;所述映射关系用于指示:所述ip地址发送的访问请求,通过与所述ip地址具有映射关系的端口接收;所述如果查询到所述第一ip地址和所述第一端口,确定所述访问请求具有访问所述内部网络的权限的步骤,包括:确定所述第一ip地址与所述第一端口,在所述配置文件中是否具有映射关系;如果所述第一ip地址与所述第一端口具有映射关系,确定所述访问请求具有访问所述内部网络的权限。4.根据权利要求1所述的内部网络的访问方法,其特征在于,所述代理服务器设置有多个端口;在所述配置文件中,每个所述端口与多个ip地址具有映射关系;每个ip地址与至少一个端口具有映射关系。5.根据权利要求1所述的内部网络的访问方法,其特征在于,接收来自外部网络的访问请求的步骤之前,所述内部网络的访问方法还包括:基于所述配置文件,向外部网络的ip地址发送指定端口信息,以指示所述外部网络的ip地址对应的设备发送访问请求时,携带所述指定端口信息,并向所述指定端口信息中包含的指定端口发送访问请求。6.根据权利要求1所述的内部网络的访问方法,其特征在于,所述内部网络的访问方法还包括:接收临时请求的权限设置信息;其中,所述权限设置信息包括:身份信息、发送临时请求的第二ip地址,以及所述代理服务器接收所述临时请求的第二端口;向所述第二ip地址发放令牌,以使所述第二ip地址发送访问所述内部网络的访问请求时,携带所述令牌;其中,所述令牌用于指示:所述第二ip地址具有访问所述内部网络的权限。
7.根据权利要求6所述的内部网络的访问方法,其特征在于,所述令牌预设有有效时长;所述内部网络的访问方法还包括:接收来自所述第二ip地址发送的临时请求,查询所述临时请求中的令牌的发放时间;基于所述发放时间和当前时间,确定所述令牌是否处于所述有效时长;如果所述令牌处于所述有效时长,将所述临时请求转发至所述第二端口。8.一种内部网络的访问装置,其特征在于,所述内部网络的访问装置设置于所述内部网络的代理服务器,所述内部网络的访问装置包括:接收模块,用于接收来自外部网络的访问请求;其中,所述访问请求用于访问所述内部网络中的第一网络地址;提取模块,用于从所述访问请求中提取指定信息,基于所述指定信息,从预设的配置文件中查询所述访问请求是否具有访问所述内部网络的权限;其中,所述指定信息用于指示发送所述访问请求的地址,和/或,所述代理服务器接收所述访问请求的位置;转发模块,用于如果所述访问请求具有访问所述内部网络的权限,将所述访问请求转发至所述内部网络中的第一网络地址。9.一种内部网络的访问设备,其特征在于,所述内部网络的访问设备包括:存储器和至少一个处理器,所述存储器中存储有指令;所述至少一个处理器调用所述存储器中的所述指令,以使得所述内部网络的访问设备执行如权利要求1-7中任意一项所述的内部网络的访问方法。10.一种计算机可读存储介质,其上存储有指令,其特征在于,所述指令被处理器执行时实现如权利要求1-7中任意一项所述的内部网络的访问方法。

技术总结
本发明涉及网络安全技术领域,公开了一种内部网络的访问方法、装置、设备及存储介质,用于实现长时间通过公网来访问内部网络,避免项目被攻击或破解,提高访问内部网络的安全性和用户使用的流畅感,而且便于管理和维护,从而减轻运维人员的工作负担。上述方法包括:接收来自外部网络的访问请求;其中,该访问请求用于访问内部网络中的第一网络地址;从访问请求中提取指定信息,基于该指定信息,从预设的配置文件中查询上述访问请求是否具有访问内部网络的权限;其中,指定信息用于指示发送访问请求的地址,和/或,代理服务器接收访问请求的位置;如果访问请求具有访问内部网络的权限,将访问请求转发至内部网络中的第一网络地址。将访问请求转发至内部网络中的第一网络地址。将访问请求转发至内部网络中的第一网络地址。


技术研发人员:樊鹏辉 杨振燕 王志辉 周才军 曾依峰 罗燕武 宁海亮 胡新云
受保护的技术使用者:深圳市电子商务安全证书管理有限公司
技术研发日:2022.07.12
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-6811.html

专利

最新回复(0)