外网终端访问厂商设备或内网终端的方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络技术领域,特别是涉及一种外网终端访问厂商设备或内网终端的方法和装置。
【背景技术】
[0002]随着网络安全意识的提高,目前很多企业为了维护资讯安全,都会将购买的厂商设备运行于其企业自身的局域网中。众所周知,网络设备需要定期得到维护,才能维持正常运转,而当企业内部IT管理人员无法完成一些网络设备的维护时,比如设备的升级、故障的排查等,会需要设备厂商的技术人员(以下简称技术支持人员)的协助。
[0003]目前,通常是在内网出口的NAT (Network Address Translat1n,网络地址转换)设备上增加几条静态NAT规则做端口映射,从而实现技术支持人员通过外网终端访问内网设备(如厂商设备或内网终端)。然而,很多企业的IT管理员并没有这样的技术或者由于资讯安全管控做端口映射需要通过企业内部复杂的行政审批流程,因此,做端口映射很不方便。
[0004]此外,TELNET、HTTP这些协议非常不安全,即使是正常的维护也可能被随意的监听和篡改,使这些不安全的协议得到有效防护非常重要。
[0005]因此,如何使企业内部的IT管理人员能够进行简单操作就实现技术支持人员通过外网终端访问内网设备,进行设备维护,并且同时保证使用协议的安全性是一件急需解决的问题。
【发明内容】
[0006]基于此,提供一种既操作简单又有安全保障的外网终端访问厂商设备或内网终端的方法和装置。
[0007]一种外网终端访问厂商设备或内网终端的方法,所述方法包括:
[0008]服务器接收外网终端发送的授权码,对所述授权码进行验证;
[0009]所述验证通过后,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号,并根据所述目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过所述临时IP地址和临时端口与所述外网终端建立第一连接;
[0010]所述服务器与厂商设备建立隧道连接,通过所述隧道连接发送第二连接请求至所述厂商设备,所述第二连接请求携带所述目的IP地址和目的端口号,使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接;
[0011]当所述服务器通过所述第一连接接收所述外网终端发送的访问请求时,将所述访问请求通过所述隧道连接转发至所述厂商设备,使所述厂商设备再通过所述第二连接将所述访问请求转发至所述厂商设备或所述内网终端。
[0012]在其中一个实施例中,在所述服务器接收外网终端发送的授权码,对所述授权码进行验证的步骤之前,还包括:
[0013]所述服务器接收所述厂商设备发送的授权码申请请求,根据所述授权码申请请求生成唯一的授权码;
[0014]所述服务器将所述授权码返回给所述厂商设备,并保持与所述厂商设备之间的连接。
[0015]在其中一个实施例中,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤,包括:
[0016]所述服务器接收所述外网终端发送的连接所述厂商设备的第一连接请求,从所述第一连接请求中获取目的端口号,并自动生成本地回环地址当作所述第一连接请求的目的IP地址。
[0017]在其中一个实施例中,在所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤之前,还包括:所述服务器接收所述厂商设备发送的所述内网终端的IP地址,并与所述授权码进行对应存储;
[0018]所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤,包括:
[0019]所述服务器接收所述外网终端发送的连接所述内网终端的第一连接请求,从所述第一连接请求中获取目的端口号,并获取存储的所述内网终端的IP地址当作所述第一连接请求的目的IP地址。
[0020]在其中一个实施例中,在所述使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接的步骤之后,还包括:
[0021]所述服务器接收所述外网终端发送的授权码注销请求,根据所述授权码注销请求删除存储的所述授权码,通知所述厂商设备断开与所述服务器之间的连接。
[0022]一种外网终端访问厂商设备或内网终端的装置,所述装置包括:
[0023]授权码验证模块,用于服务器接收外网终端发送的授权码,对所述授权码进行验证;
[0024]第一连接建立模块,用于所述验证通过后,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号,并根据所述目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过所述临时IP地址和临时端口与所述外网终端建立第一连接;
[0025]第二连接建立模块,用于所述服务器与厂商设备建立隧道连接,通过所述隧道连接发送第二连接请求至所述厂商设备,所述第二连接请求携带所述目的IP地址和目的端口号,使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接;
[0026]所述第一连接建立模块还用于当所述服务器通过所述第一连接接收所述外网终端发送的访问请求时,将所述访问请求发送给所述第二连接建立模块;
[0027]所述第二连接建立模块还用于接收所述第一连接建立模块发送的访问请求,并将所述访问请求通过所述隧道连接转发至所述厂商设备,使所述厂商设备再通过所述第二连接将所述访问请求转发至所述厂商设备或所述内网终端。
[0028]在其中一个实施例中,所述装置还包括:
[0029]授权码生成模块,用于所述服务器接收所述厂商设备发送的授权码申请请求,根据所述授权码申请请求生成唯一的授权码,所述服务器将所述授权码返回给所述厂商设备;
[0030]连接保持模块,用于保持与所述厂商设备之间的连接。
[0031 ] 在其中一个实施例中,所述第一连接建立模块还用于所述服务器接收所述外网终端发送的连接所述厂商设备的第一连接请求,从所述第一连接请求中获取目的端口号,并自动生成本地回环地址当作所述第一连接请求的目的IP地址。
[0032]在其中一个实施例中,所述装置还包括:
[0033]存储模块,用于所述服务器接收所述厂商设备发送的所述内网终端的IP地址,并与所述授权码进行对应存储;
[0034]所述第一连接建立模块还用于所述服务器接收所述外网终端发送的连接所述内网终端的第一连接请求,从所述第一连接请求中获取目的端口号,并获取存储的所述内网终端的IP地址当作所述第一连接请求的目的IP地址。
[0035]在其中一个实施例中,所述装置还包括:
[0036]授权码注销模块,用于所述服务器接收所述外网终端发送的授权码注销请求,根据所述授权码注销请求删除存储的所述授权码,通知所述厂商设备断开与所述服务器之间的连接。
[0037]上述外网终端访问厂商设备或内网终端的方法和装置,将通过授权码验证后的外网终端连接厂商设备或内网终端的第一连接请求中获取目的IP地址和目的端口号,并根据目的IP地址和目的端口号,生成临时IP地址和端口与外网终端建立第一连接,在第一连接建立之后,服务器根据目的IP地址和目的端口号生成第二连接请求,通过与厂商设备之间建立的隧道连接将第二连接请求发送给厂商设备,使厂商设备根据第二连接请求中的目的IP地址和目的端口号与厂商设备或内网终端建立第二连接。当外网终端通过第一连接发送访问厂商设备或内网终端的请求时,服务器通过隧道连接将访问请求转发给厂商设备,使厂商设备通过第二连接将访问请求转发给厂商设备或内网终端,从而实现外网终端对厂商设备或内网终端的访问。该方法不需要通过修改NAT设置来增加端口映射,使企业内部IT管理员的操作得到大大的简化,同时,生成的加密隧道可以有效保护一些弱协议的安全性,提高了安全性。
【附图说明】
[0038]图1A是一个实施例中应用外网终端访问厂商设备或内网终端的方法的系统架构图;
[0039]图1B是另一个实施例中应用外网终端访问厂商设备或内网终端的方法的系统架构图;
[0040]图2是一个实施例中外网终端访问厂商设