【技术实现步骤摘要】
本公开涉及网路信息,尤其涉及一种加速代理进程的方法、装置、电子设备及存储介质。
技术介绍
1、防火墙等网络安全设备需要处理网络业务和安全业务,其中安全业务分为非加密流量业务和加密流量业务。对于非加密流量的安全业务可以直接通过明文检测的方式处理;对于加密流量的安全业务的的主流处理方式是在防火墙内部开启代理进程,将加密报文送入代理进程做ssl解密,再对ssl解密后的报文做安全业务。
2、方案是ngfw防火墙的ssl解密功能支持ftps协议做多通道加密功能;ssl解密功能既支持父通道做ssl解密,又支持解析ftp协议内容,并支持子通道连接加密,以及向防火墙同步加密的父子连接关系,保证防火墙协议栈可以正常处理加密的父子连接。现有方案流程如图1所示,具体过程包括:
3、第1-4步,完成客户端、代理端以及服务器端三者之间的父链接的tcp及ssl握手链接,达到彼此信任程度。
4、第5-6步,完成三者之间的命令链路的建立。
5、第7步,服务器向代理进程发送加密后的期待报文,该期待报文转发进程无法解析。
6、第8-9步,代理进程设置左侧父连接套接字ip选项,将期待标记放入,该期待标记应包含子连接的目的端口。并向客户端发送期待报文
7、第10步,转发进程解析ip选项中的期待信息,根据期待信息中的子连接的目的端口确定子连接的特征,完成左侧连接的建立。
8、第11-12步,客户端与代理进程完成子连接的tcp握手。由转发进程转发期待报文,客户端命中期待连接,至此左侧代理完
9、第13步,在确认转发进程收到了ip选项报文后,由代理进程取消左侧父连接套接字的ip选项。
10、第14步,由客户端发起与代理进程之间的左侧子连接的ssl握手。
11、第15步,代理进程设置右侧子连接套接字ip选项,将包含父连接源目的端口的控制信息放入期待标记。
12、第16步,代理进程与服务器之间完成子连接的tcp握手。其中syn报文中会携带ip选项,内容为其父连接的源目的端口。
13、第17步,转发进程解析syn报文中的ip选项,因此可确定这条连接是子连接,同时也知道了其父连接的特征,将子连接与父连接关联起来。
14、第18-19步,转发进程将syn报文转发给服务器,至此右侧子连接tcp三次握手完成,右侧代理成功。
15、第20-21步,代理进程取消右侧子连接套接字的ip选项。代理进程与服务器,进行右侧子连接ssl握手。
16、可见,现有技术中防火墙转发进程与代理进程不属于统一进程,只能通过防火墙提供的通信机制完成协作。由于代理ftps功能是新增功,需要在已有的通信机制中扩展新的通信协议;扩展的协议每增加一个功能接口都会增加系统资源的开销,以及增加维护成本。如上图图中完成代理ftps协议需要21个步骤,其中8个步骤来完成转发进程和代理进程的通信。因此,代理ftps的通信协议维护成本过高,且效率低下。
技术实现思路
1、有鉴于此,本公开实施例提供了一种加速代理进程的方法、装置、电子设备及存储介质,能够解决代理ftps的通信协议维护成本过高,且效率低下的问题。
2、第一方面,本公开实施例提供了一种加速代理进程的方法,采用如下技术方案:
3、建立客户端、代理端以及服务器端之间的信任连接;
4、基于所述代理端的左侧父连接套接字ip选项中左右两侧子连接的期待端口,形成左右连接期待报文;
5、基于所述左右连接期待报文,完成所述代理端到所述客户端的左侧连接,以及所述代理端到所述服务器端的右侧连接;
6、基于所述左侧连接以及所述右侧连接,完成所述客户端、代理端以及所述服务器端之间的报文传递。
7、具体的,所述基于所述代理端的左侧父连接套接字ip选项中左右两侧子连接的期待端口,形成左右连接期待报文,包括:
8、在所述ip选项中设置所述代理端的左右两侧子连接的期待端口,并设置于所述左右期待报文头中。
9、具体的,所述在所述ip选项中设置所述代理端的左右两侧子连接的期待端口,包括:
10、将所述客户端口的地址作为左侧子连接的期待端口,将所述服务器端口的地址作为右侧子连接的期待端口。
11、具体的,其特征在于,所述基于所述左右连接期待报文,完成所述代理端到所述客户端的左侧连接,包括:
12、从所述左右连接期待报文的报文头中解析出,左侧连接的期待端口;
13、将所述左侧连接的期待端口作为所述代理端到所述客户端的第一目的端口,并基于所述第一目的端口,完成所述代理端到所述客户端的左侧连接。
14、具体的,所述基于所述左右连接期待报文,完成所述代理端到所述服务器端的右侧连接,包括:
15、从所述左右连接期待报文的报文头中解析出,右侧连接的期待端口;
16、将所述右侧连接的期待端口作为所述代理端到所述服务器端的第二目的端口,并基于所述第二目的端口,完成所述代理端到所述服务器端的右侧连接。
17、具体的,所述完成所述客户端、代理端以及所述服务器端之间的报文传递,包括:
18、通过所述左侧连接,所述代理端将待传递的期待报文发送给所述客户端;
19、所述代理端将所述客户端发来的、基于所述期待报文形成的子连接报文,通过所述右侧连接转发给所述服务器端。
20、具体的,所述代理端将所述客户端发来的、基于所述期待报文形成的子连接报文,通过所述右侧连接转发给所述服务器端,包括:
21、基于所述右侧连接,进入alg模块,命中期待连接后,由alg模块建立父子连接的关系,实现将所述子连接报文,通过所述右侧连接转发给所述服务器端。
22、第二方面,本公开实施例还提供了一种加速代理进程的装置,采用如下技术方案:
23、建立模块,用于建立客户端、代理端以及服务器端之间的信任连接;
24、第一操作模块,用于基于所述代理端的左侧父连接套接字ip选项中左右两侧子连接的期待端口,形成左右连接期待报文;
25、第二操作模块,用于基于所述左右连接期待报文,完成所述代理端到所述客户端的左侧连接,以及所述代理端到所述服务器端的右侧连接;
26、传输模块,用于基于所述左侧连接以及所述右侧连接,完成所述客户端、代理端以及所述服务器端之间的报文传递。
27、第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
28、所述电子设备包括:
29、至少一个处理器;以及,
30、yy+231979p
31、与所述至少一个处理器通信连接的存储器;其中,
32、所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的加速代理进程本文档来自技高网...
【技术保护点】
1.一种加速代理进程的方法,其特征在于,包括:
2.根据权利要求1所述的加速代理进程的方法,其特征在于,所述基于所述代理端的左侧父连接套接字IP选项中左右两侧子连接的期待端口,形成左右连接期待报文,包括:
3.根据权利要求2所述的加速代理进程的方法,其特征在于,所述在所述IP选项中设置所述代理端的左右两侧子连接的期待端口,包括:
4.根据权利要求1所述的加速代理进程的方法,其特征在于,所述基于所述左右连接期待报文,完成所述代理端到所述客户端的左侧连接,包括:
5.根据权利要求1所述的加速代理进程的方法,其特征在于,所述基于所述左右连接期待报文,完成所述代理端到所述服务器端的右侧连接,包括:
6.根据权利要求1所述的加速代理进程的方法,其特征在于,所述完成所述客户端、代理端以及所述服务器端之间的报文传递,包括:
7.根据权利要求6所述的加速代理进程的方法,其特征在于,所述代理端将所述客户端发来的、基于所述期待报文形成的子连接报文,通过所述右侧连接转发给所述服务器端,包括:
8.一种加速代理进程的装置
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求1-7任一所述的加速代理进程的方法。
...【技术特征摘要】
1.一种加速代理进程的方法,其特征在于,包括:
2.根据权利要求1所述的加速代理进程的方法,其特征在于,所述基于所述代理端的左侧父连接套接字ip选项中左右两侧子连接的期待端口,形成左右连接期待报文,包括:
3.根据权利要求2所述的加速代理进程的方法,其特征在于,所述在所述ip选项中设置所述代理端的左右两侧子连接的期待端口,包括:
4.根据权利要求1所述的加速代理进程的方法,其特征在于,所述基于所述左右连接期待报文,完成所述代理端到所述客户端的左侧连接,包括:
5.根据权利要求1所述的加速代理进程的方法,其特征在于,所述基于所述左右连接期待报文,完成所述代理端到所述服...
【专利技术属性】
技术研发人员:李恺,范鸿雷,晏尉,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。