外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,特別是涉及一種外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法和裝置。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)安全意識的提高,目前很多企業(yè)為了維護(hù)資訊安全,都會將購買的廠商設(shè)備運(yùn)行于其企業(yè)自身的局域網(wǎng)中。眾所周知,網(wǎng)絡(luò)設(shè)備需要定期得到維護(hù),才能維持正常運(yùn)轉(zhuǎn),而當(dāng)企業(yè)內(nèi)部IT管理人員無法完成一些網(wǎng)絡(luò)設(shè)備的維護(hù)時(shí),比如設(shè)備的升級、故障的排查等,會需要設(shè)備廠商的技術(shù)人員(以下簡稱技術(shù)支持人員)的協(xié)助。
[0003]目前,通常是在內(nèi)網(wǎng)出口的NAT (Network Address Translat1n,網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備上增加幾條靜態(tài)NAT規(guī)則做端口映射,從而實(shí)現(xiàn)技術(shù)支持人員通過外網(wǎng)終端訪問內(nèi)網(wǎng)設(shè)備(如廠商設(shè)備或內(nèi)網(wǎng)終端)。然而,很多企業(yè)的IT管理員并沒有這樣的技術(shù)或者由于資訊安全管控做端口映射需要通過企業(yè)內(nèi)部復(fù)雜的行政審批流程,因此,做端口映射很不方便。
[0004]此外,TELNET、HTTP這些協(xié)議非常不安全,即使是正常的維護(hù)也可能被隨意的監(jiān)聽和篡改,使這些不安全的協(xié)議得到有效防護(hù)非常重要。
[0005]因此,如何使企業(yè)內(nèi)部的IT管理人員能夠進(jìn)行簡單操作就實(shí)現(xiàn)技術(shù)支持人員通過外網(wǎng)終端訪問內(nèi)網(wǎng)設(shè)備,進(jìn)行設(shè)備維護(hù),并且同時(shí)保證使用協(xié)議的安全性是一件急需解決的問題。
【發(fā)明內(nèi)容】
[0006]基于此,提供一種既操作簡單又有安全保障的外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法和裝置。
[0007]一種外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法,所述方法包括:
[0008]服務(wù)器接收外網(wǎng)終端發(fā)送的授權(quán)碼,對所述授權(quán)碼進(jìn)行驗(yàn)證;
[0009]所述驗(yàn)證通過后,所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接廠商設(shè)備或內(nèi)網(wǎng)終端的第一連接請求,根據(jù)所述第一連接請求獲取目的IP地址和目的端口號,并根據(jù)所述目的IP地址和目的端口號分別生成臨時(shí)IP地址和臨時(shí)端口,通過所述臨時(shí)IP地址和臨時(shí)端口與所述外網(wǎng)終端建立第一連接;
[0010]所述服務(wù)器與廠商設(shè)備建立隧道連接,通過所述隧道連接發(fā)送第二連接請求至所述廠商設(shè)備,所述第二連接請求攜帶所述目的IP地址和目的端口號,使所述廠商設(shè)備根據(jù)所述目的IP地址和目的端口號與所述廠商設(shè)備或所述內(nèi)網(wǎng)終端建立第二連接;
[0011]當(dāng)所述服務(wù)器通過所述第一連接接收所述外網(wǎng)終端發(fā)送的訪問請求時(shí),將所述訪問請求通過所述隧道連接轉(zhuǎn)發(fā)至所述廠商設(shè)備,使所述廠商設(shè)備再通過所述第二連接將所述訪問請求轉(zhuǎn)發(fā)至所述廠商設(shè)備或所述內(nèi)網(wǎng)終端。
[0012]在其中一個實(shí)施例中,在所述服務(wù)器接收外網(wǎng)終端發(fā)送的授權(quán)碼,對所述授權(quán)碼進(jìn)行驗(yàn)證的步驟之前,還包括:
[0013]所述服務(wù)器接收所述廠商設(shè)備發(fā)送的授權(quán)碼申請請求,根據(jù)所述授權(quán)碼申請請求生成唯一的授權(quán)碼;
[0014]所述服務(wù)器將所述授權(quán)碼返回給所述廠商設(shè)備,并保持與所述廠商設(shè)備之間的連接。
[0015]在其中一個實(shí)施例中,所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接廠商設(shè)備或內(nèi)網(wǎng)終端的第一連接請求,根據(jù)所述第一連接請求獲取目的IP地址和目的端口號的步驟,包括:
[0016]所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接所述廠商設(shè)備的第一連接請求,從所述第一連接請求中獲取目的端口號,并自動生成本地回環(huán)地址當(dāng)作所述第一連接請求的目的IP地址。
[0017]在其中一個實(shí)施例中,在所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接廠商設(shè)備或內(nèi)網(wǎng)終端的第一連接請求,根據(jù)所述第一連接請求獲取目的IP地址和目的端口號的步驟之前,還包括:所述服務(wù)器接收所述廠商設(shè)備發(fā)送的所述內(nèi)網(wǎng)終端的IP地址,并與所述授權(quán)碼進(jìn)行對應(yīng)存儲;
[0018]所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接廠商設(shè)備或內(nèi)網(wǎng)終端的第一連接請求,根據(jù)所述第一連接請求獲取目的IP地址和目的端口號的步驟,包括:
[0019]所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接所述內(nèi)網(wǎng)終端的第一連接請求,從所述第一連接請求中獲取目的端口號,并獲取存儲的所述內(nèi)網(wǎng)終端的IP地址當(dāng)作所述第一連接請求的目的IP地址。
[0020]在其中一個實(shí)施例中,在所述使所述廠商設(shè)備根據(jù)所述目的IP地址和目的端口號與所述廠商設(shè)備或所述內(nèi)網(wǎng)終端建立第二連接的步驟之后,還包括:
[0021]所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的授權(quán)碼注銷請求,根據(jù)所述授權(quán)碼注銷請求刪除存儲的所述授權(quán)碼,通知所述廠商設(shè)備斷開與所述服務(wù)器之間的連接。
[0022]一種外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的裝置,所述裝置包括:
[0023]授權(quán)碼驗(yàn)證模塊,用于服務(wù)器接收外網(wǎng)終端發(fā)送的授權(quán)碼,對所述授權(quán)碼進(jìn)行驗(yàn)證;
[0024]第一連接建立模塊,用于所述驗(yàn)證通過后,所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接廠商設(shè)備或內(nèi)網(wǎng)終端的第一連接請求,根據(jù)所述第一連接請求獲取目的IP地址和目的端口號,并根據(jù)所述目的IP地址和目的端口號分別生成臨時(shí)IP地址和臨時(shí)端口,通過所述臨時(shí)IP地址和臨時(shí)端口與所述外網(wǎng)終端建立第一連接;
[0025]第二連接建立模塊,用于所述服務(wù)器與廠商設(shè)備建立隧道連接,通過所述隧道連接發(fā)送第二連接請求至所述廠商設(shè)備,所述第二連接請求攜帶所述目的IP地址和目的端口號,使所述廠商設(shè)備根據(jù)所述目的IP地址和目的端口號與所述廠商設(shè)備或所述內(nèi)網(wǎng)終端建立第二連接;
[0026]所述第一連接建立模塊還用于當(dāng)所述服務(wù)器通過所述第一連接接收所述外網(wǎng)終端發(fā)送的訪問請求時(shí),將所述訪問請求發(fā)送給所述第二連接建立模塊;
[0027]所述第二連接建立模塊還用于接收所述第一連接建立模塊發(fā)送的訪問請求,并將所述訪問請求通過所述隧道連接轉(zhuǎn)發(fā)至所述廠商設(shè)備,使所述廠商設(shè)備再通過所述第二連接將所述訪問請求轉(zhuǎn)發(fā)至所述廠商設(shè)備或所述內(nèi)網(wǎng)終端。
[0028]在其中一個實(shí)施例中,所述裝置還包括:
[0029]授權(quán)碼生成模塊,用于所述服務(wù)器接收所述廠商設(shè)備發(fā)送的授權(quán)碼申請請求,根據(jù)所述授權(quán)碼申請請求生成唯一的授權(quán)碼,所述服務(wù)器將所述授權(quán)碼返回給所述廠商設(shè)備;
[0030]連接保持模塊,用于保持與所述廠商設(shè)備之間的連接。
[0031 ] 在其中一個實(shí)施例中,所述第一連接建立模塊還用于所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接所述廠商設(shè)備的第一連接請求,從所述第一連接請求中獲取目的端口號,并自動生成本地回環(huán)地址當(dāng)作所述第一連接請求的目的IP地址。
[0032]在其中一個實(shí)施例中,所述裝置還包括:
[0033]存儲模塊,用于所述服務(wù)器接收所述廠商設(shè)備發(fā)送的所述內(nèi)網(wǎng)終端的IP地址,并與所述授權(quán)碼進(jìn)行對應(yīng)存儲;
[0034]所述第一連接建立模塊還用于所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的連接所述內(nèi)網(wǎng)終端的第一連接請求,從所述第一連接請求中獲取目的端口號,并獲取存儲的所述內(nèi)網(wǎng)終端的IP地址當(dāng)作所述第一連接請求的目的IP地址。
[0035]在其中一個實(shí)施例中,所述裝置還包括:
[0036]授權(quán)碼注銷模塊,用于所述服務(wù)器接收所述外網(wǎng)終端發(fā)送的授權(quán)碼注銷請求,根據(jù)所述授權(quán)碼注銷請求刪除存儲的所述授權(quán)碼,通知所述廠商設(shè)備斷開與所述服務(wù)器之間的連接。
[0037]上述外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法和裝置,將通過授權(quán)碼驗(yàn)證后的外網(wǎng)終端連接廠商設(shè)備或內(nèi)網(wǎng)終端的第一連接請求中獲取目的IP地址和目的端口號,并根據(jù)目的IP地址和目的端口號,生成臨時(shí)IP地址和端口與外網(wǎng)終端建立第一連接,在第一連接建立之后,服務(wù)器根據(jù)目的IP地址和目的端口號生成第二連接請求,通過與廠商設(shè)備之間建立的隧道連接將第二連接請求發(fā)送給廠商設(shè)備,使廠商設(shè)備根據(jù)第二連接請求中的目的IP地址和目的端口號與廠商設(shè)備或內(nèi)網(wǎng)終端建立第二連接。當(dāng)外網(wǎng)終端通過第一連接發(fā)送訪問廠商設(shè)備或內(nèi)網(wǎng)終端的請求時(shí),服務(wù)器通過隧道連接將訪問請求轉(zhuǎn)發(fā)給廠商設(shè)備,使廠商設(shè)備通過第二連接將訪問請求轉(zhuǎn)發(fā)給廠商設(shè)備或內(nèi)網(wǎng)終端,從而實(shí)現(xiàn)外網(wǎng)終端對廠商設(shè)備或內(nèi)網(wǎng)終端的訪問。該方法不需要通過修改NAT設(shè)置來增加端口映射,使企業(yè)內(nèi)部IT管理員的操作得到大大的簡化,同時(shí),生成的加密隧道可以有效保護(hù)一些弱協(xié)議的安全性,提高了安全性。
【附圖說明】
[0038]圖1A是一個實(shí)施例中應(yīng)用外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法的系統(tǒng)架構(gòu)圖;
[0039]圖1B是另一個實(shí)施例中應(yīng)用外網(wǎng)終端訪問廠商設(shè)備或內(nèi)網(wǎng)終端的方法的系統(tǒng)架構(gòu)圖;
[0040]圖2是一個實(shí)施例中外網(wǎng)終端訪問廠商設(shè)