[发明专利]一种公网应用系统与内网应用系统间双向访问方法及系统

说明书

本发明涉及一种公网应用系统与内网应用系统间双向访问方法，融合代理技术、文根解析技术、SSL技术、验签技术、白名单/黑名单技术、异常流量告警技术，实现多检测技术于一体进行协作工作，并以此设计互联网前置系统，公网应用系统只需开启到互联网前置系统的网络策略即可，如此提供给公网应用系统的是互联网前置系统的入口IP，避免了内网应用系统暴露在公网上的风险，并通过互联网前置系统所集成设计的上述一系列安全技术，对非正常网络请求进行拦截，更好的提高了内网应用系统的安全，有效解决公网应用系统与内网应用系统之间访问接入的安全问题，保证业务数据传输的安全性。

技术领域

本发明涉及一种公网应用系统与内网应用系统间双向访问方法及系统，属于数据安全访问技术领域。

背景技术

随着计算机网络技术应用的不断发展,公网应用系统访问内网应用系统已经变成了一个趋势，而现如今比较主流的访问方式主要有NAT技术、VPN技术等，但是这些都有一个问题，如公网访问内网应用系统时，需要在互联网上存在内网应用的入口，而这在极大程度上影响到了内网应用系统的信息安全问题。而现如今信息安全的发展也步入了一个全新的时代,终端安全和网络安全问题逐渐开始引起人们的重视。目前在内部网络终端上大多数的应用,尤其是在政府机构、涉密部门、核心科研机构、银行等金融系统、企事业等单位的办公网、内部业务网、涉密网中的终端设备是至关重要的,甚至是严格保密的。一旦这些设备出现泄密、破坏的事件,将会出现非常严重的后果。在信息安全问题越来越得到重视的情况下,内网安全问题变得越来越重要和突出。网络通信是内网系统中信息泄密的主要途径之一,然而网络控制与审计不仅是技术难点,并且当下针对内部网络攻击的手段也日新月异,网络防范的难度大大提高。其次传统的这些技术，对于问题的定位，操作的复杂，高可用性方面都或多或少存在一些不足。

现有解决公网应用系统访问内网应用系统的技术有3种：(1)通过NAT网络地址转换实现；(2)采用VPN专线技术；(3)采用通用的应用代理技术。

（1）NAT网络地址转换

NAT网络地址转换是将内网IP地址与互联网域名或公网IP端口映射绑定的技术。通过NAT网络地址转换，公网的第三方应用系统就可以访问到内网的应用系统了。但是这种方法在支持更多系统间访问接入时就很不方便，并且也不能提供更多的安全防护。

（2）VPN专线的技术

VPN是一种常用于连接中、大型企业或团体与团体间的私人网络的通信方式。它利用隧道协议（TunnelingProtocol）来达到保密、发送端认证、消息准确性等私人消息安全效果，这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。采用VPN专线虽然可以使得公网应用访问内网应用，但是VPN专线成本相对较高，并把内网网络通过VPN隧道对公网开放，这会因开放粒度太大带来更多的安全威胁。

（3）应用代理服务器

上述2种技术是网络层的访问接入控制的方法，而应用代理服务器则在网络层之上的应用层进行访问接入的控制，代理服务器可以实现公网应用系统和内网应用系统间的Web请求的代理转发。但是通用的代理服务器仍存在不足，不能实现更高要求的安全访问接入，诸如不能对客户端应用的身份验证，以及潜在Web安全威胁的检测。

发明内容

本发明所要解决的技术问题是提供一种公网应用系统与内网应用系统间双向访问方法，融合多检测技术于一体进行协作工作，能够有效解决公网应用系统与内网应用系统之间访问接入的安全问题，保证业务数据传输的安全性。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种公网应用系统与内网应用系统间双向访问方法，包括公网应用系统向内网应用系统的访问方法，如下步骤：

步骤A1. 针对公网应用系统向内网应用系统所发出的Web请求，判断该Web请求是否基于HTTPS协议，是则进入步骤A2；否则拒绝该Web请求；