一种基于web代理的网闸穿透方法及系统技术方案

本发明专利技术公开了一种基于Web代理的网闸穿透方法及系统，该方法包括以下步骤：第一网络的终端用户向第二网络的目标服务器发起http请求；将所述http请求发送到第一web代理服务器；所述第一web代理服务器将所述http请求的http数据包通过icap协议，发送给第一icap服务器；所述第一icap服务器将所述http数据包的内容保存为文件；通过单向网闸机制将所述文件发送到第二网络；所述第二web代理服务器将该http请求发送给所述目标服务器，所述目标服务器通过icap协议向终端用户返回http响应数据包。通过该发明专利技术的方案，能快速实现网闸隔离网两端的web数据传输，实用性高，运行可靠稳定。

A web proxy based gateway penetration method and system

The present invention discloses a network gate penetration method and system based on an Web agent, which includes the following steps: the terminal user of the first network initiates a HTTP request to the target server of the second network; the HTTP request is sent to the first web proxy server; the first web generation server makes the HTTP data requested for the HTTP request. The packet is sent to the first ICAP server through the ICAP protocol; the first ICAP server stores the content of the HTTP packet as a file; the file is sent to the second network through a one-way network gate mechanism; the second web proxy server sends the HTTP request to the target server, and the target server passes through the ICA. The P protocol returns the HTTP response packet to the end user. Through the invention, the web data transmission at both ends of the gate isolation network can be quickly realized, with high practicability and reliable operation.

【技术实现步骤摘要】
一种基于web代理的网闸穿透方法及系统
本专利技术涉及数据安全领域，具体涉及一种基于web代理的网闸穿透方法及系统。
技术介绍
按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，如果涉密网络与互联网没有物理隔离，则采用网闸来隔离涉密网络与非涉密网络。因此网闸广泛应用于有涉密网络的国家机构或企事业单位，保证了安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证，防止了未知和已知的木马攻击。然而，在实际应用中，网闸也对需要穿透涉密网络和互联网的合法数据交互也进行了限制，从而对某些需要进行涉密网络和互联网数据通讯的应用，产生了影响。如何在保证网闸隔离的基础上，又能保证合法数据的便捷传输，是许多国家机构、企事业单位或网闸厂商面临的技术难点。跨网闸数据传输是长期以来面临的热点问题，相关的技术研究较多。经查询《一种网络隔离网闸数据交换系统》(申请专利号201410633461.2)《一种跨网闸的通信方法和通信系统》(申请号：200910000215.2)《一种基于网闸实现数据传输的方法》(申请专利号201410032613.3)均是该类技术。上述专利申请主要特征是在网闸两端的网络中部署专用软件,完成业务流数据端口动态转换，网络包数据根据四元组HASH值转发或者网络包协议识别解析与还原等底层方法来实现。现有技术存在以下缺点：(1)对底层网络TCP包进行处理。由于要对底层TCP包进行处理，因此部署在网闸两端的专用程序必须获取到TCP层数据，依据获取到的数据再进行协议解析，端口动态转换、四元组HASH等过程，专用程序处理流程复杂，适应性差，策略规则同步便利性差。(2)实际应用中web数据特别是http数据如何便利的是通过网闸，满足移动互联或者网络互联的要求是关键点。上述方案提到的都是通用的TCP数据的跨网闸通信，实施复杂，对于web数据便利的跨网闸访问，指导意义不大。本专利技术通过在涉密网络和互联网络部署两个web代理，web代理间通过文件传输的方法来实现网闸两端网络的透明传输。最终保证网络两端的合法web数据传输。
技术实现思路
为解决上述技术问题，本专利技术提供了一种基于Web代理的网闸穿透方法，包括以下步骤：1)第一网络的终端用户向第二网络的目标服务器发起http请求；2)将所述http请求发送到第一web代理服务器；3)所述第一web代理服务器将所述http请求相应的http请求数据包通过ICAP(InternetContentAdaptationProtocol)协议，发送给第一ICAP服务器；4)所述第一ICAP服务器将所述http请求数据包的内容保存为请求文件；5)将所述请求文件通过位于第一网络的第一网闸发送到位于第二网络的第二网闸；6)所述第二网络的第二ICAP服务器从所述第二网闸自动加载所述请求文件，伪造出所述http请求，并发送给所述第二网络的第二web代理服务器；7)所述第二web代理服务器将该http请求发送给所述目标服务器。优选的，所述第一网络与第二网络通过网闸隔离，所述第一网络是保密网络，所述第二网络是互联网。优选的，所述第一、二ICAP服务器是遵循ICAP协议的服务器，所述ICAP协议用于审计所述http请求。优选的，所述步骤5)通过单向网闸的文件同步机制，将所述文件从所述第一网闸同步到所述第二网闸。优选的，还包括以下步骤：8)所述目标服务器收到所述http请求后，返回http响应数据包给所述第二web代理服务器；9)所述第二web代理服务器将所述http响应数据包通过第二ICAP服务器、第二网闸、第一网闸、第一ICAP服务器发送给所述第一web代理服务器，由所述第一web代理服务器将所述http响应数据包发送给所述终端用户。预选的，所述步骤9)具体包括：所述第二web代理服务器将所述http响应数据包通过ICAP协议发给所述第二ICAP服务器；所述第二ICAP服务器收到所述http响应数据包后，发送给所述第一网络，所述第一ICAP服务器获得所述http响应数据包后，转发给所述第一web代理服务器。优选的，所述第二ICAP服务器通过以下方式将所述http响应数据包发送给所述第一网络：所述第二ICAP服务器接收到的所述http响应数据包后，将其保存为响应文件，通过单向网闸的文件同步机制，将所述响应文件通过第二网闸同步到所述第一网闸，所述第一ICAP服务器自动从所述第一网闸加载所述响应文件，获得所述http响应数据包，发送给所述第一web代理服务器。为解决上述技术问题，本专利技术提供了一种基于Web代理的网闸穿透系统，该系统包括第一网络和第二网络；其中，该第一网络包括用户终端、第一ICAP服务器、第一web代理服务器、第一网闸；第二网络包括第二ICAP服务器、第二web代理服务器、第二网闸和目标服务器；该系统通过执行上述方法实现终端用户向所述目标服务器发起http请求。为解决上述技术问题，本专利技术提供了一种基于Web代理的网闸穿透系统，该系统包括第一网络和第二网络；其中，该第一网络包括用户终端、第一ICAP服务器、第一web代理服务器、第一网闸；第二网络包括第二ICAP服务器、第二web代理服务器、第二网闸和目标服务器；该系统通过执行上述方法实现终端用户接收所述目标服务器返回的http响应数据包。通过本专利技术的技术方案取得了以下技术效果：通过本专利技术提出的跨网闸web数据传输方案，简单易行，便于实施。由于只在L7层做数据处理，因此该方案实际运行结果文档可靠精准。采用该方案能快速实现网闸隔离网两端的web数据传输，实用性高，运行可靠稳定。附图说明图1是本专利技术发送http请求的流程图图2是本专利技术返回http响应的流程图具体实施方式名词解释：Web代理(WebProxy):就是代理网络用户去取得网络信息的服务器。形象的说：它是网络信息的中转站。网闸(GAP):全称安全隔离网闸,是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。由于网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。DLP:DataLossPrevention数据丢失防护，或称数据泄漏防护(DataLeakagePrevention)是目前信息领域主流的企业信息安全和数据防护系统的名称。DLP是通过一定的数据处理和分析方法，结合企业的信息安全管理策略，对企业中所有电子信息和数据进行分类分级管控，防止企业中的信息资产或关键数据流失、泄密或非受控扩散。图1展示了本专利技术的发送http请求的流程图。上图中，单次的web数据访问包含请求过程和响应过程，只要web请求的数据内容，能发送到网闸对端的服务器，而且服务器返回的响应内容能发送回来，则单次的web数据访问过程实现。。实现单次的http请求后，只要对请求或响应数据添加序列号标签，就可完成整个web访问。下面以涉密网络通过网闸去访问本文档来自技高网...

【技术保护点】
1.一种基于web代理的网闸穿透方法，包括以下步骤：1)第一网络的终端用户向第二网络的目标服务器发起http请求；2)将所述http请求发送到第一web代理服务器；3)所述第一web代理服务器将所述http请求相应的http请求数据包通过icap(Internet Content Adaptation Protocol)协议，发送给第一icap服务器；4)所述第一icap服务器将所述http请求数据包的内容保存为请求文件；5)将所述请求文件通过位于第一网络的第一网闸发送到位于第二网络的第二网闸；6)所述第二网络的第二icap服务器从所述第二网闸自动加载所述请求文件，伪造出所述http请求，并发送给所述第二网络的第二web代理服务器；7)所述第二web代理服务器将该http请求发送给所述目标服务器。

【技术特征摘要】
1.一种基于web代理的网闸穿透方法，包括以下步骤：1)第一网络的终端用户向第二网络的目标服务器发起http请求；2)将所述http请求发送到第一web代理服务器；3)所述第一web代理服务器将所述http请求相应的http请求数据包通过icap(InternetContentAdaptationProtocol)协议，发送给第一icap服务器；4)所述第一icap服务器将所述http请求数据包的内容保存为请求文件；5)将所述请求文件通过位于第一网络的第一网闸发送到位于第二网络的第二网闸；6)所述第二网络的第二icap服务器从所述第二网闸自动加载所述请求文件，伪造出所述http请求，并发送给所述第二网络的第二web代理服务器；7)所述第二web代理服务器将该http请求发送给所述目标服务器。2.根据权利要求1所述的方法，所述第一网络与第二网络通过网闸隔离，所述第一网络是保密网络，所述第二网络是互联网。3.根据权利要求1所述的方法，所述第一、二icap服务器是遵循icap协议的服务器，所述icap协议用于审计所述http请求。4.根据权利要求1所述的方法，所述步骤5)通过单向网闸的文件同步机制，将所述文件从所述第一网闸同步到所述第二网闸。5.根据权利要求1所述的方法，还包括以下步骤：8)所述目标服务器收到所述http请求后，返回http响应数据包给所述第二web代理服务器；9)所述第二web代理服务器将所述http响应数据包通过第二icap服务器、第二网闸、第一网闸、第一icap服务器发送给所述第一web代理服务器，由所述第一web代理服务...

【专利技术属性】
技术研发人员：魏效征，王志海，张静，龚剑，徐军帅，牛立伟，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：北京,11