一、技術領域

本發明涉及安全反向代理服務器領域，更具體的是在內外部網絡之間架設安全網關，在網關上設置安全反向代理服務器，保護內部應用服務器免于遭到破壞，增強內部應用服務器的安全性的方法和裝置。

二、背景技術

目前國內外大中型企業均在企業內部設置多臺應用服務器，為企業內部資源使用的便利性提供幫助，包括：企業內部郵件服務、協同辦公系統、財務管理系統等等。當企業用戶使用外部網絡通過代理服務器訪問各應用系統時，一般將此代理服務器成為反向代理服務器。對于此反向代理服務器來說，服務器上沒有保存任何網頁的真實數據，所有的靜態網頁及WEB程序，都依然保存在企業內部的應用服務器上。對反向代理服務器的攻擊并不會使得企業內部的應用服務器遭到破壞，這樣就增強了企業內部應用服務器的安全性。

目前反向代理服務器均是支持HTTP的代理，但隨著日益提高的安全等級，普通的HTTP反向代理已經不能滿足大中型企業網絡安全性的需要，其迫切的需要更加完善的安全機制來滿足更高的安全需要，本方法提供一種在反向代理服務上增加認證及加解密的機制來增強外部訪問的安全性，同時提供一種減少企業內部域名的方法。

三、發明內容

本發明提供了一種安全的反向代理的方法。附圖1描述了其部屬環境，即在網關設備上部署安全反向代理服務器，安全網關設備位于客戶端與應用服務器之間，客戶端與應用服務器的地址為不同網段地址，網關設備上設置兩個網段的地址，同時在DNS服務器上指定網關的域名www.gateway.com和域名指向的地址，地址為網關設備與客戶端交互的地址。

網關設備啟動反向代理服務器前，針對代理服務器和代理的應用服務器進行配置，配置主要內容如下：

錯誤消息頁面：由網關自行定義的簡單HTML頁面；(必選)

服務端證書：由第三方信任機構簽發的證書；(必選)

公鑰：與證書相匹配的公鑰；(必選)

/XXX：應用服務器的簡稱；(必選)

Proxy_IP_PORT：應用服務器的實際IP地址及端口號；(必選)

設置頭部信息：X-REAL-IP、X-Forwarded-For。(可選)

上述配置除證書外可根據不同的應用服務器配置多個應用服務器的反向代理，同時網關配置防火墻開啟443端口的訪問授權。配置完成后啟動反向代理服務器，反向代理服務器利用Socket技術監聽443端口的TCP連接，等待客戶端發起的安全連接請求。客戶端在瀏覽器上鍵入https://www.gateway.com/XXX，發起目的端口為443的TCP連接。www.gateway.com為網關的域名，/XXX為訪問應用服務期的簡稱，服務端應同時配置/XXX所指向應用服務期的地址與需要返回客戶端的URL進行指定。客戶端與服務端的TCP協商為正常的TCP三次握手，握手成功后在TCP的基礎上開始SSL協商。

SSL協商采用單向協商，附圖2描述了其協商步驟，具體內容如下：

1、客戶端通過SSL?Hello消息將它支持的加密算法、密鑰交換算法、MAC算法等信息發送給服務器。

2、網關將報文分為三部分，第一部分確定本次通信采用的加密套件，通過Hello消息通知給客戶端；第二部分將自己公鑰信息的數字證書通過Certificate消息通知給客戶端，此證書為第三方信任機構簽發的證書；第三部分網關通知客戶端版本和加密套件協商結束，開始進行密鑰交換。

3、客戶端驗證網關的證書合法性，利用證書中的公鑰加密客戶端隨機生成的前置安全數，并通過消息發送給服務端。客戶端發送Change?Cipher?Spec消息，通知服務端后續報文將采用協商好的密鑰和加密套件進行加密和MAC計算。客戶端計算已交互的握手消息(除Change?Cipher?Spec消息外所有已交互的消息)的Hash值，利用協商好的密鑰和加密套件處理Hash值(計算并添加MAC值、加密等)，并通過Finished消息發送給服務端。