[发明专利]一种基于隧道模式的云防护方法及装置

说明书

本发明实施例公开了一种基于隧道模式的云防护方法及装置，方法包括：对客户端发送的第一访问请求进行解析，得到第一源地址和第一目的地址；将第一访问请求的源地址修改为云防护节点的IP地址，并将第一访问请求的目的地址修改为隧道接收器的IP地址，得到第二访问请求；在第二访问请求中添加扩展字段，并将第一源地址和第一目的地址添加至扩展字段中，得到第三访问请求；将第三访问请求发送至隧道接收器，以使隧道接收器转发至对应的真实服务器。通过在访问请求中添加扩展字段，存储第一源地址和第一目的地址，即客户端的地址和真实服务器的地址，不仅能获知客户端的真实地址，而且接入方式简单，无需配置大量的端口映射，大大降低运维成本。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种基于隧道模式的云防护方法及装置。

背景技术

高防IP云防护服务，需要把域名解析到高防IP(Web业务把域名解析指向高防IP，非Web业务把业务IP换成高防IP)，同时在DDoS高防IP上设置转发规则。所有的公网流量都会先经过高防清洗云节点，通过端口协议转发的方式将访问流量通过高防IP转发到源站IP，同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。

现有技术中的阿里云高防，如果是云外主机想使用高防服务，又想获取客户端的真实地址，用户首先要支持，Redhat Linux或者Centos 6.x，然后下载安装内核，加载TOA模块，这种方式接入复杂，云外windows服务器无法使用高防阿里云的高防服务。此外，阿里云高防的接入，仍然需要配置端口映射，如果用户服务使用了大量的端口就需要配置大量的端口映射，增加运维成本。

在实现本发明实施例的过程中，发明人发现现有的方法在使用高防服务时若需获知客户端的真实地址，接入方式复杂，需要配置大量的端口映射，增加运维成本。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种基于隧道模式的云防护方法及装置。

第一方面，本发明实施例提出一种基于隧道模式的云防护方法，包括：

接收客户端发送的第一访问请求，对所述第一访问请求进行解析，得到所述第一访问请求的第一源地址和第一目的地址；

将所述第一访问请求的源地址修改为云防护节点的IP地址，并将所述第一访问请求的目的地址修改为隧道接收器的IP地址，得到第二访问请求；

在所述第二访问请求中添加扩展字段，并将所述第一源地址和所述第一目的地址添加至所述扩展字段中，得到第三访问请求；

将所述第三访问请求发送至所述隧道接收器，以使所述隧道接收器根据所述第三访问请求转发至所述第一目的地址对应的真实服务器，实现对所述真实服务器的云防护。

可选地，所述方法还包括：

接收所述隧道接收器返回的目标数据，并将所述目标数据发送给所述客户端；

其中，所述目标数据为所述真实服务器根据所述第三访问请求返回的数据。

可选地，所述接收所述隧道接收器返回的目标数据，并将所述目标数据发送给所述客户端，具体包括：

接收所述隧道接收器返回的目标数据，并通过全网络地址映射Full-NAT方式将所述目标数据发送给所述客户端。

可选地，一个云防护节点与若干个隧道接收器连接，一个隧道接收器与若干个真实服务器连接。

第二方面，本发明实施例还提出一种基于隧道模式的云防护装置，包括：

请求解析模块，用于接收客户端发送的第一访问请求，对所述第一访问请求进行解析，得到所述第一访问请求的第一源地址和第一目的地址；