本发明专利技术涉及网络信息安全领域,具体涉及一种安全隔离网关,包括前置网关系统、网关管理单元以及内网业务系统,网关管理单元包括请求接收模块、处理模块、分析模块和路由转发模块,其中:请求接收模块,用于接收外部客户端发起的请求接口信号和路由信息,并统计当前访问接口总数;处理模块,用于根据预设阈值判断当前访问接口总数是否超出最大并发限制,若当前访问接口总数大于预设阈值,则将当前请求接口信号转发至前置网关系统,并生成告警信号提示系统繁忙;反之,则直接将请求接口信号路由到内网业务系统中;分析模块,用于实时检测内网业务系统的访问接口余量。采用本方案能够提高内网业务系统的高可用性。
Security isolation gateway
【技术实现步骤摘要】
安全隔离网关
本专利技术涉及网络信息安全领域,具体涉及一种安全隔离网关。
技术介绍
安全隔离网关,集成了当前绝大部分独立安全设备的能力,包括防火墙、IPS、内容过滤、反病毒、Web安全和VPN等,在网络安全中扮演着至关重要的角色。它通过构建基本模块,以连接传统系统与新系统,提供通用接口,实现设备和云之间的无缝通信。通俗来说,安全隔离网关如同人类的免疫系统,不但要对外来的大量信息进行数据传输,还要对不良信息、病毒进行筛选和隔离,保证数据安全,地位至关重要。例如,中国专利公开号为CN108810023A的文件中公开了一种安全加密方法、密钥共享方法以及安全加密隔离网关,其中,安全加密隔离网关分别与采集前置和通信前置通信连接,所述采集前置被配置为接收下行链路上的数据包,所述安全加密隔离网关包括:内网处理单元、外网处理单元和隔离交换单元,所述隔离交换单元被配置为:查询本地是否有接收所述数据包的接收方终端的会话密钥;如果本地没有所述会话密钥,则向密钥共享服务器查询是否有接收所述数据包的接收方终端的会话密钥;如果所述密钥共享服务器没有所述会话密钥,则启动会话密钥协商流程;如果经由所述会话密钥协商流程,判断所述接收方终端为合法用户,则控制密码运算单元使用会话密钥对所述数据包进行加密;对经过加密的数据包进行MAC运算,得到数据包的MAC部分;以及将所述经过加密的数据包以及所述数据包的MAC部分封装为SAL协议报文。在上述方案中,通过在网关与采集终端间构建安全通道,对数据加密封装并计算消息鉴别码,保证传输层的机密性,从而有效避免来自外网的攻击和病毒渗透;但是对于银行外联网络来说,在提升安全性的同时还需保障网络的高可用性;如某些大型电商平台为了便于统计当天成交额,通常选择在半夜零点开启促销活动,也就意味着届时会有数以万计的顾客同步向银行支付系统发出访问请求,若未对访问请求进行限流控制,将会存在大量并发访问的问题。
技术实现思路
本专利技术意在提供一种能够解决大量并发访问的安全隔离网关。本专利技术提供的基础方案为:安全隔离网关,包括前置网关系统、网关管理单元以及内网业务系统,网关管理单元包括请求接收模块、处理模块、分析模块和路由转发模块,其中:前置网关系统,用于存储请求接口信号;内网业务系统包括多个根据功能划分的业务平台,用于实现企业与客户之间的信息交互;请求接收模块,用于接收外部客户端发起的请求接口信号和路由信息,并统计当前访问接口总数;处理模块,用于根据预设阈值判断当前访问接口总数是否超出最大并发限制,若当前访问接口总数大于预设阈值,则将当前请求接口信号转发至前置网关系统,并生成告警信号提示系统繁忙;反之,则直接将请求接口信号路由到内网业务系统中;分析模块,用于实时检测内网业务系统的访问接口余量,并根据访问接口余量释放前置网关系统内缓存的请求接口信号;路由转发模块,用于在请求接口信号进入内网业务系统后,将路由信息同步转发至内网业务系统。本专利技术的工作原理及优点在于:网关是将两个使用不同协议的网络段连接在一起的设备,正如本方案中的外部客户端与内网业务系统,网关能够作为连接桥梁实现两者之间的数据互通;但是,在业务处理的高峰期,外部客户端的访问请求数过大时,如果仍然采用现有技术中的网关系统,即外部客户端经过网关路由转发后,直接对内网业务系统进行访问。通常会因为接口并发数量的激增,进而导致内网业务系统崩溃。所以,本方案中采用前置网关系统保护内网系统,首先用户可以根据实际情况设定内网业务系统的访问接口总数最大值,若当前访问接口数小于预设阈值时,外部客户端可以直接访问内网业务系统;相反的,一旦访问接口数超过最大并发限制,对于超出访问请求的部分会暂时缓存在前置网关系统中,并生成告警信号;直到内网业务系统中有空余的访问接口后,前置网关系统中的访问请求才能进入内网业务系统。综上所述,采用本方案能够对访问请求接口进行有效的限流,避免大量的并发访问造成网内业务系统服务崩溃,从而提高内网的高可用性。进一步,还包括数据库,用于记录外部客户端的协议地址以及对应的使用权限信息;请求接收模块还用于检查并接收外部客户端的协议地址,并根据协议地址匹配出用户权限信息;若用户权限信息与当前访问的内网业务系统不符,则提示用户无权访问。有益效果:为了保障内网业务系统信息的安全性,接收到外部客户端发起的访问请求之后,获取协议地址;由于数据库中存储有协议地址及其对应的使用权限信息,所以以协议地址作为参照量,能够从数据库中匹配出用户权限信息;并判断该外部客户端当前需要访问的内网业务系统是否符合用户权限信息,采用该方案能够防止外部客户端的越权访问,起到防火墙的作用,从而降低内网业务系统重要信息外泄的风险。进一步,网关管理单元还包括检测模块,用于检测内网业务系统的维护状态信息,其中维护状态信息包括正在维护和未维护;处理模块还用于根据维护状态信息处理请求接口信号,若维护状态信息为正在维护,则提示系统维护。有益效果:为了清除内网业务系统中发生的故障和错误,软硬件维护人员通常需要对系统进行必要的修改和完善;为了使系统适用用户环境的变化,满足新提出的需要,也要对原系统做出局部更新,所以维护工作对于内网业务系统非常必要且重要。采用本方案能够在外部客户端进入内网业务系统访问前,判断当前内网业务系统是否正在维护,不仅能够避免外部客户端在内网业务系统维护时进入系统访问,还能保证系统维护的顺利执行。进一步,检测模块还用于采集外部客户端发起请求接口信号的时间参数;数据库还用于记录内网业务系统的维护时间信息;分析模块还用于判断时间参数是否处于维护时间信息内;如果时间参数处于维护时间信息范围内,则提示系统维护。有益效果:相较于一般的系统维护工作,预先由维护人员向网关系统输入维护指令,外部客户端访问前检测是否存在维护指令,以达到阻止外部客户端在系统维护时进入访问的作用。本方案中由数据库预先记录维护时间信息,并根据外部客户端访问内网业务系统的时间匹配判断是否系统正在维护,能够应对部分内网业务系统选用固定的时间进行维护工作,且对于这类维护工作无需再由维护人员预先设置维护提示,从而减轻工作量和简化操作流程。进一步,还包括签名校验模块,用于对外部客户端发起的请求接口信号进行签名校验,生成验证结果信息;处理模块还用于接收并处理验证结果信息,若验证结果信息超出预设失败次数上限,则外部客户端本次请求视为非法请求。有益效果:采用这种方式,能够保证外部客户端发送的请求接口信号的参数一致性,从而防止有人利用正确的参数做大量的重复请求;同时,方案中通过预先设定失败次数上限,判断外部请求签名校验失败的次数是否超标,避免由于用户的误操作而导致被判定为非法请求,从而提升网关系统的灵活性和实用性。进一步,还包括数据发送模块,用于向外部客户端发送预设字符串拼接规则和预设密钥信息;外部客户端还用于根据预设字符串拼接规则和预设密钥信息处理请求接口信号,生成第一签名参数;签名校验模块还用于接收第一签名参数和请求接本文档来自技高网...
【技术保护点】
1.安全隔离网关,包括前置网关系统、网关管理单元以及内网业务系统,前置网关系统,用于存储请求接口信号;内网业务系统包括多个根据功能划分的业务平台,用于实现企业与客户之间的信息交互;其特征在于,网关管理单元包括请求接收模块、处理模块、分析模块和路由转发模块,其中:请求接收模块,用于接收外部客户端发起的请求接口信号和路由信息,并统计当前访问接口总数;处理模块,用于根据预设阈值判断当前访问接口总数是否超出最大并发限制,若当前访问接口总数大于预设阈值,则将当前请求接口信号转发至前置网关系统,并生成告警信号提示系统繁忙;反之,则直接将请求接口信号路由到内网业务系统中;分析模块,用于实时检测内网业务系统的访问接口余量,并根据访问接口余量释放前置网关系统内缓存的请求接口信号;路由转发模块,用于在请求接口信号进入内网业务系统后,将路由信息同步转发至内网业务系统。/n
【技术特征摘要】
1.安全隔离网关,包括前置网关系统、网关管理单元以及内网业务系统,前置网关系统,用于存储请求接口信号;内网业务系统包括多个根据功能划分的业务平台,用于实现企业与客户之间的信息交互;其特征在于,网关管理单元包括请求接收模块、处理模块、分析模块和路由转发模块,其中:请求接收模块,用于接收外部客户端发起的请求接口信号和路由信息,并统计当前访问接口总数;处理模块,用于根据预设阈值判断当前访问接口总数是否超出最大并发限制,若当前访问接口总数大于预设阈值,则将当前请求接口信号转发至前置网关系统,并生成告警信号提示系统繁忙;反之,则直接将请求接口信号路由到内网业务系统中;分析模块,用于实时检测内网业务系统的访问接口余量,并根据访问接口余量释放前置网关系统内缓存的请求接口信号;路由转发模块,用于在请求接口信号进入内网业务系统后,将路由信息同步转发至内网业务系统。
2.根据权利要求1所述的安全隔离网关,其特征在于:还包括数据库,用于记录外部客户端的协议地址以及对应的使用权限信息;请求接收模块还用于检查并接收外部客户端的协议地址,并根据协议地址匹配出用户权限信息;若用户权限信息与当前访问的内网业务系统不符,则提示用户无权访问。
3.根据权利要求1所述的安全隔离网关,其特征在于:网关管理单元还包括检测模块,用于检测内网业务系统的维护状态信息,其中维护状态信息包括正在维护和未维护;处理模块还用于根据维护状态信息处理请求接口信号,若维护状态信息为正在维护,则提示系统维护。
4.根据权利要求3所述的安全隔离网关,其特征在于:检测模块还用于采集外部客户端发起请求接口信号的时间参数;数据库还用于记录内网业务系统的维护时间信息;分析模块还用于判断时间参数是否处于维护...
【专利技术属性】
技术研发人员:李昌龙,
申请(专利权)人:重庆富民银行股份有限公司,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。