The present invention discloses a network gate penetration method and system based on an Web agent, which includes the following steps: the terminal user of the first network initiates a HTTP request to the target server of the second network; the HTTP request is sent to the first web proxy server; the first web generation server makes the HTTP data requested for the HTTP request. The packet is sent to the first ICAP server through the ICAP protocol; the first ICAP server stores the content of the HTTP packet as a file; the file is sent to the second network through a one-way network gate mechanism; the second web proxy server sends the HTTP request to the target server, and the target server passes through the ICA. The P protocol returns the HTTP response packet to the end user. Through the invention, the web data transmission at both ends of the gate isolation network can be quickly realized, with high practicability and reliable operation.
【技术实现步骤摘要】
一种基于web代理的网闸穿透方法及系统
本专利技术涉及数据安全领域,具体涉及一种基于web代理的网闸穿透方法及系统。
技术介绍
按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,如果涉密网络与互联网没有物理隔离,则采用网闸来隔离涉密网络与非涉密网络。因此网闸广泛应用于有涉密网络的国家机构或企事业单位,保证了安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证,防止了未知和已知的木马攻击。然而,在实际应用中,网闸也对需要穿透涉密网络和互联网的合法数据交互也进行了限制,从而对某些需要进行涉密网络和互联网数据通讯的应用,产生了影响。如何在保证网闸隔离的基础上,又能保证合法数据的便捷传输,是许多国家机构、企事业单位或网闸厂商面临的技术难点。跨网闸数据传输是长期以来面临的热点问题,相关的技术研究较多。经查询《一种网络隔离网闸数据交换系统》(申请专利号201410633461.2)《一种跨网闸的通信方法和通信系统》(申请号:200910000215.2)《一种基于网闸实现数据传输的方法》(申请专利号201410032613.3)均是该类技术。上述专利申请主要特征是在网闸两端的网络中部署专用软件,完成业务流数据端口动态转换,网络包数据根据四元组HASH值转发或者网络包协议识别解析与还原等底层方法来实现。现有技术存在以下缺点:(1)对底层网络TCP包进行处理。由于要对底层TCP包进行处理,因此部署在网闸两端的专用程序必须获取到TCP层数据,依据获取到的数据再进行协议解析,端口动态转换、四元组HASH等过程,专用程序处理流程复 ...
【技术保护点】
1.一种基于web代理的网闸穿透方法,包括以下步骤:1)第一网络的终端用户向第二网络的目标服务器发起http请求;2)将所述http请求发送到第一web代理服务器;3)所述第一web代理服务器将所述http请求相应的http请求数据包通过icap(Internet Content Adaptation Protocol)协议,发送给第一icap服务器;4)所述第一icap服务器将所述http请求数据包的内容保存为请求文件;5)将所述请求文件通过位于第一网络的第一网闸发送到位于第二网络的第二网闸;6)所述第二网络的第二icap服务器从所述第二网闸自动加载所述请求文件,伪造出所述http请求,并发送给所述第二网络的第二web代理服务器;7)所述第二web代理服务器将该http请求发送给所述目标服务器。
【技术特征摘要】
1.一种基于web代理的网闸穿透方法,包括以下步骤:1)第一网络的终端用户向第二网络的目标服务器发起http请求;2)将所述http请求发送到第一web代理服务器;3)所述第一web代理服务器将所述http请求相应的http请求数据包通过icap(InternetContentAdaptationProtocol)协议,发送给第一icap服务器;4)所述第一icap服务器将所述http请求数据包的内容保存为请求文件;5)将所述请求文件通过位于第一网络的第一网闸发送到位于第二网络的第二网闸;6)所述第二网络的第二icap服务器从所述第二网闸自动加载所述请求文件,伪造出所述http请求,并发送给所述第二网络的第二web代理服务器;7)所述第二web代理服务器将该http请求发送给所述目标服务器。2.根据权利要求1所述的方法,所述第一网络与第二网络通过网闸隔离,所述第一网络是保密网络,所述第二网络是互联网。3.根据权利要求1所述的方法,所述第一、二icap服务器是遵循icap协议的服务器,所述icap协议用于审计所述http请求。4.根据权利要求1所述的方法,所述步骤5)通过单向网闸的文件同步机制,将所述文件从所述第一网闸同步到所述第二网闸。5.根据权利要求1所述的方法,还包括以下步骤:8)所述目标服务器收到所述http请求后,返回http响应数据包给所述第二web代理服务器;9)所述第二web代理服务器将所述http响应数据包通过第二icap服务器、第二网闸、第一网闸、第一icap服务器发送给所述第一web代理服务器,由所述第一web代理服务...
【专利技术属性】
技术研发人员:魏效征,王志海,张静,龚剑,徐军帅,牛立伟,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。