隐藏源站的方法、系统、装置、设备及存储介质制造方法及图纸

本申请提出一种隐藏源站的方法、系统、装置、设备及存储介质，该方法包括：获取与连接器客户端对应的至少一个连接器服务端的地址信息；根据获取的地址信息，连接器客户端建立与至少一个连接器服务端之间的会话连接，该会话连接为由连接器客户端至至少一个连接器服务端的出站连接；若连接器服务端接收到由边缘节点服务器转发的针对目标应用的访问请求，基于与连接器客户端之间的会话连接将访问请求发送至连接器客户端，连接器客户端再转发给目标应用，并将接收到的目标应用反馈的请求响应信息通过经由连接器服务端发送给边缘节点服务器。本申请可有效防止源站暴露，提升了源站安全性和安全管理效率。全性和安全管理效率。全性和安全管理效率。

【技术实现步骤摘要】
隐藏源站的方法、系统、装置、设备及存储介质


[0001]本申请属于网络安全
，具体涉及一种隐藏源站的方法、系统、装置、设备及存储介质。

技术介绍

[0002]因特网是一个开放的世界，我们之所以能访问互联网上的内容，原因在于这些内容暴露于因特网上。然而互联网上有很多的安全威胁(如面临黑客的各类扫描、攻击等)，因此将服务和应用暴露于因特网可能不安全。因为互联网上的任何应用程序都可能成为被攻击的目标，所以客户往往试图隐藏应用程序所属的源服务器，以保证源服务器的安全。
[0003]当前越来越多的互联网应用使用各类代理(如CDN、云WAF、或其他类型的四层或七层安全代理)，客户访问的是代理节点，无法直接访问源站，源站得到了一定程度的隐藏。为了防止黑客获取到源站地址进而绕过代理进行攻击，在源站上一般设置代理节点IP列表为白名单并阻断其他IP的访问。但是维护这类安全策略需要维护代理IP列表，过程繁琐且效率低下。

技术实现思路

[0004]本申请提出一种隐藏源站的方法、系统、装置、设备及存储介质，实现目标源服务器上只需要阻断一切入向连接，而不需要维护复杂的安全策略。可以避免由其他服务器主动向目标应用发送信息或者建立连接的情况发生，降低了遭受恶意攻击的风险，保证了目标应用的安全性。
[0005]本申请第一方面实施例提出了一种隐藏源站的方法，应用于连接器客户端，所述连接器客户端与至少一个目标应用相关联，包括：
[0006]获取与所述连接器客户端对应的至少一个连接器服务端的地址信息，所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息；
[0007]根据所述至少一个连接器服务端的地址信息，建立与所述至少一个连接器服务端之间的会话连接，所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接；
[0008]基于所述会话连接，若接收到由连接器服务端转发的针对目标应用的访问请求，则基于第一负载均衡策略，从所述目标应用对应的多个源服务器中确定目标源服务器，将所述访问请求发送至所述目标源服务器中的所述目标应用；
[0009]将接收到的请求响应信息向所述连接器服务端进行发送，所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。
[0010]本申请第二方面的实施例提供了一种隐藏源站的方法，应用于连接器服务端，包括：
[0011]接收由至少一个连接器客户端发送的连接请求；
[0012]根据所述连接请求，建立与所述至少一个连接器客户端之间的会话连接，所述会
话连接为由所述至少一个连接器客户端至所述连接器服务端的出站连接；
[0013]接收由边缘节点服务器转发的针对目标应用的访问请求，基于第二负载均衡策略，从所述至少一个连接器客户端中确定与所述目标应用对应的目标连接器客户端；
[0014]根据与所述目标连接器客户端对应的会话连接，转发所述访问请求至所述目标连接器客户端。
[0015]本申请第三方面的实施例提供了一种隐藏源站的方法，应用于边缘节点服务器，包括：
[0016]接收由目标终端发送的针对目标应用的访问请求，所述访问请求包含所述目标应用的标识，所述目标应用的标识包括域名、协议、IP地址和端口中的至少一种；
[0017]根据所述目标应用的标识，获取与所述目标应用绑定的连接器客户端的配置信息，所述配置信息至少包括与所述连接器客户端对应的至少一个连接器服务端的地址信息；
[0018]基于第三负载均衡策略和获取的所述连接器客户端的配置信息，从所述目标应用对应的每个连接器服务端中确定目标连接器服务端；
[0019]根据所述目标连接器服务端的地址信息，转发所述访问请求至所述目标连接器服务端。
[0020]本申请第四方面的实施例提供了一种隐藏源站的方法，应用于管理平台，包括：
[0021]生成至少一个连接器客户端对应的配置信息，所述配置信息至少包括连接器客户端的标识信息和与所述连接器客户端对应的连接器服务端的地址信息；
[0022]生成目标应用对应的应用配置信息，所述应用配置信息包括目标应用的域名、回源地址、相关联的连接器客户端的标识信息中的至少一种；
[0023]发送所述连接器客户端的配置信息；
[0024]发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接器客户端的配置信息；
[0025]接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息，所述状态信息至少包括心跳信息和系统资源使用率中的至少之一。
[0026]本申请第五方面的实施例提供了一种隐藏源站的系统，包括：管理平台、边缘节点服务器、连接器服务端和连接器客户端；
[0027]管理平台，用于生成目标应用的应用配置信息，以及生成连接器客户端对应的配置信息；发送所述连接器客户端的配置信息；发送边缘节点服务器所需的所述目标应用的应用配置信息以及与所述目标应用相关联的连接器客户端的配置信息；接收并显示所述连接器客户端经由其对应的连接器服务端周期性上报的所述连接器客户端的状态信息，所述状态信息至少包括心跳信息和系统资源使用率中的至少之一；
[0028]边缘节点服务器，用于接收目标终端发送的针对目标应用的访问请求；并根据所述访问请求包含的目标应用的标识，将所述访问请求向对应的连接器服务端进行发送；
[0029]连接器服务端，用于接收所述边缘节点服务器发送的所述访问请求；根据在先建立的与连接器客户端的会话连接，将所述访问请求转发至对应的连接器客户端；
[0030]连接器客户端，用于接收所述连接器服务端发送的所述访问请求，并将所述访问
请求转发至对应的目标应用。
[0031]本申请第六方面的实施例提供了一种隐藏源站的装置，应用于连接器客户端，包括：
[0032]配置获取模块，用于获取与所述连接器客户端对应的至少一个连接器服务端的地址信息，所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息；
[0033]建立会话模块，用于根据所述至少一个连接器服务端的地址信息，建立与所述至少一个连接器服务端之间的会话连接，所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接；
[0034]源服务器确定模块，用于基于所述会话连接，若接收到由连接器服务端转发的针对目标应用的访问请求，则基于第一负载均衡策略，从所述目标应用对应的多个源服务器中确定目标源服务器；
[0035]第一发送模块，用于将所述访问请求发送至所述目标源服务器中的所述目标应用；将接收到的请求响应信息向所述连接器服务端进行发送，所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。
[0036]本申请第七方面的实施例提供了一种隐藏源站的装置，应用于连接器服务端，包括：
[0037]接收模块，用于接收由至少一个连接器客户端发送的连接请求；<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种隐藏源站的方法，其特征在于，应用于连接器客户端，所述连接器客户端与至少一个目标应用相关联，包括：获取与所述连接器客户端对应的至少一个连接器服务端的地址信息，所述地址信息为离所述连接器客户端最近的至少一个连接器服务端的地址信息；根据所述至少一个连接器服务端的地址信息，建立与所述至少一个连接器服务端之间的会话连接，所述会话连接为由所述连接器客户端至所述至少一个连接器服务端的出站连接；基于所述会话连接，若接收到由连接器服务端转发的针对目标应用的访问请求，则基于第一负载均衡策略，从所述目标应用对应的多个源服务器中确定目标源服务器，将所述访问请求发送至所述目标源服务器中的所述目标应用；将接收到的请求响应信息向所述连接器服务端进行发送，所述请求响应信息由所述目标源服务器中的所述目标应用根据所述访问请求进行反馈。2.根据权利要求1所述的方法，其特征在于，所述地址信息为通过任播技术、智能解析技术、智能路由技术之一确定的域名和/或IP地址，所述根据所述至少一个连接器服务端的地址信息，建立与所述至少一个连接器服务端之间的会话连接，包括：若所述地址信息为域名，则向域名服务器发送所述至少一个连接器服务端的域名解析请求；接收由所述域名服务器发送的所述至少一个连接器服务端的域名对应的IP地址；根据各所述IP地址，分别向所述至少一个连接器服务端发送连接请求，以建立所述连接器客户端与所述至少一个连接器服务端之间的会话连接。3.根据权利要求1所述的方法，其特征在于，所述获取与所述连接器客户端对应的至少一个连接器服务端的地址信息，包括：接收由管理平台发送的所述连接器客户端对应的配置信息；从所述配置信息中获取与所述连接器客户端对应的至少一个连接器服务端的地址信息。4.根据权利要求1所述的方法，其特征在于，所述根据所述至少一个连接器服务端的地址信息，建立与所述至少一个连接器服务端之间的会话连接，包括：根据所述至少一个连接器服务端的地址信息，发送认证信息给所述至少一个连接器服务端；在所述认证信息被所述至少一个连接器服务端认证通过后，建立与所述至少一个连接器服务端之间的加密的会话连接。5.根据权利要求4所述的方法，其特征在于，所述会话连接的会话协议类型为加密协议，所述加密协议包括HTTPS、HTTP/2、HTTP/3、Websocket、TLS_TCP中的至少一种。6.根据权利要求4所述的方法，其特征在于，基于隧道协议建立所述会话连接，所述隧道协议为VPN、GRE或者IPsec中的一种。7.根据权利要求1所述的方法，其特征在于，所述连接器客户端部署在能与所述目标应用通信连接的任一网络中，部署所述连接器客户端的网络中部署有一个或多个所述连接器客户端。8.根据权利要求1所述的方法，其特征在于，所述方法还包括：
周期性地经由所述至少一个连接器服务端向管理平台上报所述连接器客户端的状态信息，所述状态信息至少包括心跳信息和系统状态信息中的至少之一。9.一种隐藏源站的方法，其特征在于，应用于连接器服务端，包括：接收由至少一个连接器客户端发送的连接请求；根据所述连接请求，建立与所述至少一个连接器客户端之间的会话连接，所述会话连接为由所述至少一个连接器客户端至所述连接器服务端的出站连接；接收由边缘节点服务器转发的针对目标应用的访问请求，基于第二负载均衡策略，从所述至少一个连接器客户端中确定与所述目标应用对应的目标连接器客户端；根据与所述目标连接器客户端对应的会话连接，转发所述访问请求至所述目标连接器客户端。10.根据权利要求9所述的方法，其特征在于，所述连接请求的数量为多个，所述连接请求中包含对应的连接器客户端的标识信息；根据所述连接请求，建立与所述至少一个连接器客户端之间的会话连接，包括：根据多个所述连接请求，分别建立与所述至少一个连接器客户端之间的会话连接，并存储各所述标识信息与对应的会话连接之间的映射关系。11.根据权利要求9所述的方法，其特征在于，所述基于第二负载均衡策略，从所述至少一个连接器客户端中确定与所述目标应用对应的目标连接器客户端，包括：从建立会话连接的所述至少一个连接器客户端中确定出与所述目标应用关联的每个连接器客户端；基于第二负载均衡策略，从确定出的每个所述连接器客户端中确定目标连接器客户端。12.一种隐藏源站的方法，其特征在于，应用于边缘节点服务器，包括：接收由目标终端发送的针对目标应用的访问请求，所述访问请求包含所述目标应用的标识，所述目标应用的标识包括域名、协议、IP地址和端口中的至少一种；根据所述目标应用的标识，获取与所述目标应用绑定的连接器客户端的配置信息，所述配置信息至少包括与所述连接器客户端对应的至少一个连接器服务端的地址信息；基于第三负载均衡策略和获取的所述连接器客户端的配置信息，从所述目标应用对应的每个连接器服务端中确定目标连接器服务端；根据所述目标连接器服务端的地址信息，转发所述访问请求至所述目标连接器服务端。13.一种隐藏源站的方法，其特征在于，应用于管理平台，包括：生成至少一个连接器客户端对应的配置信息，所述配置信息至少包括连接器客户端的标识信息和与所述连接器客户端对应的连接器服务端的地址信息；生成目标应用对应的应...

【专利技术属性】
技术研发人员：胡金涌，
申请(专利权)人：上海云盾信息技术有限公司，
类型：发明
国别省市：