跨安全区访问控制方法及前置代理系统与流程

本发明涉及网络安全，尤其是涉及一种跨安全区访问控制方法及前置代理系统。

背景技术：

1、根据电力行业相关规定，电力专网安全防护遵循“安全分区、网络专用、横向隔离、纵向认证”的总体原则，传统的电力专网主要分为生产控制大区和管理信息大区，其中的管理信息大区分为iii区和iv区，通常情况下，iv区不仅与各个办公电脑连接，还部署着种类繁多的业务系统，部分业务系统可以对外提供公共服务，允许互联网的用户进行访问请求，还有一部分业务系统可以与更高安全级的iii区发生数据交换。当外部互联网用户访问请求业务系统时需要跨安全区访问，管理信息大区中现有的跨安全区访问控制主要通过设置防火墙实现，设置防火墙的方式不仅灵活性差，维护效率低，影响业务系统的响应速度，还存在较大的安全隐患。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种跨安全区访问控制方法及前置代理系统，使用控制方法起到外网和内网之间的网络隔离作用，以及起到了隐藏内网核心业务的作用，保证外部网址不能直接访问提供内网核心服务的内网服务器，提升了跨区访问的安全性，灵活性较高，上述前置代理系统可以设置于管理信息大区的iv区中，为跨区数据交换业务提供强认证和增强安全支撑，不仅隐藏了高安全区的核心业务，起到了网络隔离的作用，还提高了配置灵活性和维护效率。

2、为了实现上述目的，本发明实施例采用的技术方案如下：

3、第一方面，本发明实施例提供了一种跨安全区访问控制方法，应用于前置代理系统，所述前置代理系统包括服务端和客户端，所述客户端包括多个内网应用端，所述服务端包括白名单管理模块和端口映射模块；所述跨安全区访问控制方法包括：启动所述服务端和所述客户端，建立所述服务端与所述客户端的通信连接；当所述服务端接收到外网发送的访问请求时，基于所述白名单管理模块中存储的网络地址列表判断是否与所述访问请求对应的外网地址建立通信连接；其中，所述网络地址列表中包括允许访问所述前置代理系统的网络地址；如果是，基于所述外网地址及所述端口映射模块中存储的所述映射关系创建所述服务端与所述外网地址对应的内网服务器的通信连接；当所述服务端接收到所述外网地址发送的请求数据时，将所述请求数据发送至对应的所述内网应用端，所述内网应用端将所述请求数据转发至所述内网服务器，以使所述内网服务器向所述外网地址返回响应数据。

4、进一步，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述基于所述白名单管理模块中存储的网络地址列表判断是否与所述访问请求对应的外网地址建立通信连接的步骤，包括：判断所述访问请求对应的外网地址是否存在于所述白名单管理模块中存储的网络地址列表中，如果是，建立所述外网地址与所述服务端的通信连接。

5、进一步，本发明实施例提供了第一方面的第二种可能的实施方式，其中，还包括：当所述访问请求对应的外网地址不存在于所述白名单管理模块中存储的网络地址列表中时，或者，当所述访问请求对应的外网地址存在于所述服务端的黑名单管理模块中时，禁止所述外网地址与所述服务端建立通信连接。

6、进一步，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述建立所述服务端与所述客户端的通信连接的步骤，包括：所述客户端的各所述内网应用端向所述服务端发送接入请求；其中，所述接入请求中携带有所述内网应用端的许可码；判断各所述内网应用端发送的所述接入请求中的许可码是否与所述服务端的许可管理模块中存储的许可码对应相同，如果是，所述服务端向所述客户端发送接入响应，以建立所述服务端与所述客户端的通信连接。

7、进一步，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述映射关系包括所述服务端的端口与外网地址的映射关系以及所述服务端的端口与所述内网应用端的映射关系；所述基于所述外网地址及所述端口映射模块中存储的所述映射关系创建所述服务端与所述外网地址对应的内网服务器的通信连接的步骤，包括：基于所述服务端的端口与外网地址的映射关系确定发送所述访问请求的外网地址所对应的目标端口，基于所述服务端的端口与所述内网应用端的映射关系确定所述目标端口对应的目标内网应用端；所述服务端向所述目标内网应用端发送创建连接请求，所述目标内网应用端与所述目标内网应用端对应的目标内网服务器建立连接，以使所述目标内网服务器向所述服务端反馈响应预创建连接。

8、进一步，本发明实施例提供了第一方面的第五种可能的实施方式，其中，所述映射关系包括所述外网地址与内网应用端的映射关系以及所述内网应用端与端口的映射关系；所述基于所述外网地址及所述端口映射模块中存储的所述映射关系创建所述服务端与所述外网地址对应的内网服务器的通信连接的步骤，包括：基于所述外网地址与内网应用端的映射关系确定发送所述访问请求的外网地址所对应的目标内网应用端，基于所述内网应用端与端口的映射关系确定所述目标内网应用端对应的目标端口；所述服务端向所述目标内网应用端发送创建连接请求，所述目标内网应用端通过所述目标端口与目标内网服务器建立连接，以使所述目标内网服务器向所述服务端反馈响应预创建连接。

9、第二方面，本发明实施例还提供了一种前置代理系统，包括：服务端和客户端，所述客户端包括多个内网应用端，所述服务端包括白名单管理模块和端口映射模块；所述客户端用于在启动后，建立与所述服务端的通信连接；所述服务端用于在接收到外网发送的访问请求时，基于所述白名单管理模块中存储的网络地址列表判断是否与所述访问请求对应的外网地址建立通信连接；其中，所述网络地址列表中包括允许访问所述前置代理系统的网络地址；所述服务端还用于在与所述外网地址建立通信连接后，基于所述外网地址及所述端口映射模块中存储的所述映射关系创建所述服务端与所述外网地址对应的内网服务器的通信连接；所述服务端还用于在接收到所述外网地址发送的请求数据时，将所述请求数据发送至对应的所述内网应用端，所述内网应用端将所述请求数据转发至所述内网服务器，以使所述内网服务器向所述外网地址返回响应数据。

10、进一步，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述服务端还包括用户管理模块、黑名单管理模块、端口池模块和许可管理模块；所述用户管理模块用于存储每个所述内网应用端的用户账户信息；所述黑名单管理模块用于存储禁止访问所述前置代理系统的外网地址；所述端口池模块用于存储所述服务端的各个端口；所述许可管理模块用于存储每个所述内网应用端的许可码。

11、进一步，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述服务端还用于判断所述访问请求对应的外网地址是否存在于所述白名单管理模块中存储的网络地址列表中，如果是，建立与所述外网地址的通信连接。

12、进一步，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述客户端还用于向所述服务端发送接入请求；其中，所述接入请求中携带有所述内网应用端的许可码；所述服务端还用于判断各所述内网应用端发送的所述接入请求中的许可码是否与所述服务端的许可管理模块中存储的许可码对应相同，如果是，向所述客户端发送接入响应，以建立所述服务端与所述客户端的通信连接。

13、本发明实施例提供了一种跨安全区访问控制方法及前置代理系统，该跨安全区访问控制方法包括：启动服务端和客户端，建立服务端与客户端的通信连接；当服务端接收到外网发送的访问请求时，基于白名单管理模块中存储的网络地址列表判断是否与访问请求对应的外网地址建立通信连接；其中，网络地址列表中包括允许访问前置代理系统的网络地址；如果是，基于外网地址及端口映射模块中存储的映射关系创建服务端与外网地址对应的内网服务器的通信连接；当服务端接收到外网地址发送的请求数据时，将请求数据发送至对应的内网应用端，内网应用端将请求数据转发至内网服务器，以使内网服务器向外网地址返回响应数据。本发明通过在内网与外网之间的前置代理系统中设置服务端和客户端，控制服务端仅与白名单管理模块中存储的网络地址列表中的外网地址建立通信连接，并根据端口映射模块中存储的映射关系使外网应用只能访问其地址对应的内网服务器，使用控制方法起到外网和内网之间的网络隔离作用，以及起到了隐藏内网核心业务的作用，保证外部网址不能直接访问提供内网核心服务的内网服务器，提升了跨区访问的安全性，可以不使用专门用于网络隔离的硬件设备，灵活性较高便于维护，提升了维护效率，在保证内网网络安全的同时，提高了业务系统的响应速度。

14、本发明实施例的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本发明实施例的上述技术即可得知。

15、为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。