[发明专利]一种基于反向代理的防信息泄漏安全网关系统

说明书

技术领域

本发明涉及反向代理服务的安全领域，更具体的是在反向代理服务中增加对TCP转发的安全性控制，同时对访问进行审计。

背景技术

目前国内的大多数企业为提高企业内部资源使用的便利性、安全性，在用户与企业各应用系统之间架设代理服务器，在代理服务器上集成各应用系统的访问控制与加解密服务。

一般企业将此代理服务器设置为反向代理服务器，此反向代理服务器上没有保存任何网页的真实数据，所有的静态网页及WEB程序，都依然保存在企业内部的应用服务器上，对反向代理服务器的攻击并不会使得企业内部的应用服务器遭到破坏，这样就增强了企业内部应用服务器的安全性。

国内反向代理服务技术对B/S(Browser/Server，浏览器/服务器模式)结构的系统支持较好，而对于C/S(Client/Server，客户机/服务器)结构的应用系统来说，反向代理服务器暂时还不支持。

而如何让反向代理服务技术支持C/S(Client/Server，客户机/服务器)结构的应用成为需要解决的问题。

发明内容

本发明的目的就是针对现有技术的不足，提出的一种反向代理代理的防信息泄漏安全网关审计系统，通过在反向代理服务中增加对TCP(Transmission Control Protocol，传输控制协议)报文的转发与加解密工作使反向代理服务器可以支持C/S结构的应用系统，提高反向代理服务器的应用范围和安全性。

一种基于反向代理的防信息泄漏安全网关系统为一反向代理服务器，所述服务器包括包括客户端与服务端，所述客户端包括配置库、拦截器、加密单元和封装单元；所述的服务单包括配置库、证书库单元、解封装单元、解密单元、组单元及代理转发单元组成。

所述客户端的配置库主要完成客户端启动时从服务端下载客户端的配置信息；所述的拦截器主要完成客户端根据配置库的信息，对用户发送的报文进行拦截，如用户发送的报文IP地址与端口号与应用服务器的IP地址及端口号信息相匹配，则客户端将报文拦截，并将报文交给加密模块；所述的加密单元收到报文后，将报文进行加密，加密后的报文交给封装单元；所述的封装单元收到加密后的报文后，根据服务端的IP地址及端口号，对报文进行封装，封装后发送给服务端。

所述服务端的配置库主要完成服务端启动后进行配置，配置信息保存在配置库中，配置库中包括应用服务器的IP地址及端口号信息；所述证书库负责客户端与服务端进行单向的SSL连接，其使用的证书保存在证书库中；所述的解封装单元、解密单元、组包单元及代理转发单元完成对客户端发送的报文的解封装，其中解密模块对加密的报文进行解密，组包单元完成重新对报文进行组包报文的源IP地址与端口号设置为代理服务器的IP地址与某一端口号，目的地址为应用程序服务器的IP地址与端口号，代理转发单元根据配置库中访问应用服务器的IP地址及端口号，将报文转发到应用服务器上。

使用本发明所述的一种基于反向代理的防信息泄漏安全网关系统时，首先启动服务端，并配置应用服务器的IP地址及端口号信息；客户端启动时，与服务器建立单向SSL连接，然后从服务端下载配置库信息，客户端根据配置库信息启动拦截器；当客户端访问应用服务器时，拦截器判断发送的报文的IP地址及端口号是否与配置库中的应用系统IP地址及端口号匹配，如果不匹配，则报文直接发送；如果匹配则报文被拦截，客户端将报文进行加密、封装后发送到服务端；服务端收到报文后将报文解封装、解密后，将该报文发送到应用服务器。

本发明的优点在于通过在反向代理服务中增加对TCP(Transmission Control Protocol，传输控制协议)报文的转发与加解密工作使反向代理服务器可以支持C/S结构的应用系统，提高反向代理服务器的应用范围和安全性。

附图说明

图1一种反向代理代理的防信息泄漏安全网关审计系统工作流程示意图。

具体实施方式

如图1所示，应用本发明所述的一种基于反向代理的防信息泄漏安全网关系统时，反向代理服务器完成初始化，包括拦截策略及本地证书库，服务端启动后，配置应用服务器的IP地址及端口号信息；客户端启动后，与服务端建立单向SSL连接，然后从服务端下载配置库信息，客户端根据配置库信息启动拦截器；当客户端访问应用服务器时，拦截器判断发送的报文的IP地址及端口号是否与配置库中的应用系统IP地址及端口号匹配，如果不匹配，则报文直接发送；如果匹配则报文被拦截，客户端将报文进行加密、封装后发送到服务端；服务端收到报文后将报文解封装、解密后，将该报文发送到应用服务器。