用于確保前端應用和其它應用安全的反向接入方法
【專利摘要】一種提供在LAN上的服務器和在WAN上的客戶端之間的安全連接的系統(tǒng)，該系統(tǒng)包括：LAN(包括LAN服務、LAN服務器和LAN控制器)和DMZ(包括DMZ服務器和DMZ堆棧池服務)；其中當客戶端請求到達DMZ服務器時，所述DMZ服務器將所述客戶端請求存儲在DMZ堆棧池服務中；并且所述LAN控制器建立至DMZ堆棧池服務的基于TCP的輸出連接；其中所述DMZ堆棧池服務將所述客戶端連接信息經由所述LAN控制器傳遞至LAN服務器。然后所述LAN服務器生成在所述服務和所述DMZ服務器之間的連接。
【專利說明】用于確保前端應用和其它應用安全的反向接入方法

【技術領域】
[0001]本發(fā)明涉及一種用于確保電子存儲數據、數據所在的計算機以及計算機及其計算機網絡的通信安全的發(fā)明。

【背景技術】
[0002]眾所周知，向機構外用戶提供服務的在機構內部網絡(也稱為局域網或LAN)中的計算機非常易于受到外部黑客或惡意代碼的攻擊。由于該風險，在實踐中，通常通過將面向外部的計算機放到隔離式子網絡中來保護LAN，并且由此在攻擊發(fā)生時保護網絡的其余部分。該子網絡通常被稱為DMZ (或隔離區(qū))。可以將向機構內部網絡外的用戶提供服務的任何計算機運行程序放置在DMZ上。最常用的計算機類型是網絡服務器、電子郵件服務器、FTP服務器和VoIP服務器。
[0003]對更大的不信任網絡(通常是因特網)來講，DMZ是包含了機構外部服務的子網絡，所以潛在的黑客和惡意代碼可能接入DMZ，但是他們很少接入LAN。在DMZ上的計算機有限連接至在LAN上的計算機，并且通常由控制DMZ計算機和LAN計算機之間通信量的防火墻分開。DMZ可以視為LAN的附加安全層。
[0004]具有能夠與公眾經由因特網通信的因特網入口的機構易受來自外部滲入的攻擊。因此，許多機構建立DMZ以保護它們的敏感數據并且抑制黑客滲入LAN的能力。DMZ工作的方式和方法對于本領域的專家是已知的，因此沒有必要進一步詳細描述。
[0005]建立DMZ需要相關數據和計算機程序的復制使得它們能夠位于DMZ計算機上和LAN計算機上。
[0006]該數據和計算機程序的復制存在一些缺點。購買在LAN和DMZ上安裝的相同的計算機程序的多個實例所需的額外許可費用可能昂貴。在LAN上以及在DMZ上支持并且管理重復的計算機程序和數據會費用昂貴并且困難。此外，由于DMZ與外部系統(tǒng)連接，在DMZ上的數據易受黑客攻擊和外部惡意代碼攻擊。
[0007]本發(fā)明旨在克服這些缺點并且提供保護LAN上的數據的有效系統(tǒng)。

【專利附圖】

【附圖說明】
[0008]本申請的附圖不是為了限制本發(fā)明和本發(fā)明申請的范圍。附圖只是為了說明本發(fā)明，并且附圖僅構成本發(fā)明多種可能的實施方式中的一種。
[0009]圖1描述了包括LAN(30)、DMZ (20)和WAN(1)以及這些部件之間的連接的系統(tǒng)，其中LAN(30)包括服務(33)、LAN服務器(31)和LAN控制器(32) ；DMZ(20)包括DMZ服務器(21)、DMZ堆棧池服務(22)。

【具體實施方式】
[0010]如上所述，非常需要能使用戶與LAN通信同時保護LAN免受外部威脅的計算機系統(tǒng)。本發(fā)明為上述問題提供有效的解決方案。
[0011]本發(fā)明提供一種保護LAN中數據的系統(tǒng)和位于LAN中并且同時能使用戶與LAN以安全的方式通信的主機。
[0012]為了清楚和簡化系統(tǒng)的說明，使用如下術語:WAN(10):廣域網；DMZ(20):隔離區(qū)；LAN(30):局域網；LAN服務器(31):在LAN中運行的服務器；DMZ服務器(21):在DMZ中運行的服務器；DMZ堆棧池服務(22):在DMZ中存儲和處理客戶端的請求；客戶端請求:HTTP/HTTPS (網絡瀏覽器)/SSH/SFTP/FTP/FTPS/RDP/SMTP/TLS，以及任何其它基于TCP/IP的協(xié)議；客戶端連接信息:在LAN內的相關目標服務的IP地址/端口號；LAN控制器(32):在LAN中運行的管理客戶端連接信息的控制器；連接器:在兩個TCP/IP接口之間的交握；服務:HTTP/HTTPS/ (網絡服務器)/SSH/SFTP/FTP/FTPS/RDP/SMTP/TLS，以及任何其它基于 TCP/IP的服務。
[0013]本發(fā)明的目的是提供一種在LAN中的服務器和在WAN中的客戶端之間的安全連接。
[0014]圖1描述了系統(tǒng)的主要部件。包括服務(33)、LAN服務器(31)和LAN控制器(32)的LAN (30);包括DMZ服務器(21)、DMZ堆棧池服務(22)的DMZ (20);和WAN(1)，其實質上包括客戶端和“外部”世界。另外，圖1描述了在系統(tǒng)部件之間的連接。
[0015]在描述系統(tǒng)流時將描述在系統(tǒng)部件之間的連接。系統(tǒng)的連接流如下。
[0016]第一步:(客戶端(11)的)客戶端請求到達DMZ服務器(21)。第二步:DMZ服務器
(21)將客戶端請求存儲在DMZ堆棧池服務(22)中。第三步:LAN控制器(32)建立至DMZ堆棧池服務(22)的基于TCP的輸出連接(41)。所述系統(tǒng)的一個創(chuàng)造性的方面在于LAN控制器(32)連續(xù)地和/或基于預設的時間檢查存儲在DMZ堆棧池服務(22)中的客戶端請求。第四步:然后DMZ堆棧池服務(22)經由LAN控制器(32)將客戶端連接信息傳遞至LAN服務器(31)。
[0017]第五步:然后LAN服務器(31)生成兩個TCP/IP連接:其中一個連接是基于客戶端的連接信息連接至服務(33)，該服務是目標服務。第二個連接是連接至DMZ服務器(21)的輸出連接(42)。另外，LAN服務器(31)在LAN服務器中形成在服務(33)和輸出連接(42)之間的連接器。第六步:然后DMZ服務器(21)在DMZ服務器中形成在(DMZ堆棧池服務(22)中存儲的)進入的客戶端請求和來自LAN服務器(31)的輸出連接(42)之間的連接器，至此完成客戶端請求的路徑。
[0018]一旦在DMZ服務器中的連接器將客戶端請求和來自LAN服務器的輸出連接(42)相連，那么客戶端請求經由DMZ服務器和LAN服務器在整個系統(tǒng)中傳輸，然后客戶端請求數據從服務(33)傳輸至客戶端(11)。
[0019]根據上述本發(fā)明，LAN服務器在LAN(30)和DMZ(20)上初始安裝和設置之后，在LAN服務器(31)中不需要行政管理來建立或維持通信。LAN控制器(32)永久地或定期地為進入的客戶端請求查詢DMZ堆棧池服務(22)。DMZ服務器(20)將接受所有客戶端請求并且將它們發(fā)送至LAN服務器(31)而不改變客戶端請求所包含的數據。例如，如果客戶端請求使用HTTPS連接協(xié)議，那么將在系統(tǒng)中傳輸HTTPS連接協(xié)議，如同使用如SSH/SFTP/FTP/FTPS/RDP/SMTP/TLS/的任何其它公共協(xié)議或任何其它基于TCP/IP協(xié)議的一樣。
【權利要求】
1.一種提供在LAN上的服務器和在WAN上的客戶端之間的安全連接的系統(tǒng)，所述系統(tǒng)包括:LAN和DMZ ;其中所述LAN包括服務、LAN服務器和LAN控制器；其中所述DMZ包括DMZ服務器和DMZ堆棧池服務；其中當客戶端請求到達所述DMZ服務器時，所述DMZ服務器將所述客戶端請求存儲在DMZ堆棧池服務中；其中所述LAN控制器建立至DMZ堆棧池服務的基于輸出TCP的連接；其中，然后所述DMZ堆棧池服務將所述客戶端連接信息經由所述LAN控制器傳遞至所述LAN服務器；其中，然后所述LAN服務器生成兩個TCP/IP連接:其中一個連接是連接至服務并且第二個連接是連接至DMZ服務器的輸出連接，并且在所述LAN服務器中形成在所述服務和所述輸出連接之間的連接器；其中，然后所述DMZ服務器在DMZ服務器中形成在進入的客戶端請求和來自所述LAN服務器的所述輸出連接之間的連接器； 由此，通過完成所述客戶端請求的路徑；并一旦所述DMZ服務器中的連接器將所述客戶端請求和來自所述LAN服務器的所述輸出連接結合，所述客戶端請求最終經由所述DMZ服務器和所述LAN服務器在整個所述系統(tǒng)中傳輸，然后所述客戶端請求數據從所述服務傳輸至所述客戶端。
2.根據權利要求1所述的系統(tǒng)，其中所述LAN控制器連續(xù)地和/或基于預設的時間檢查存儲在所述DMZ堆棧池服務中的客戶端請求。
【文檔編號】H04L12/22GK104412558SQ201380020710
【公開日】2015年3月11日 申請日期:2013年2月13日 優(yōu)先權日:2012年2月19日
【發(fā)明者】埃米爾·密扎爾 申請人:埃米爾·密扎爾