技術領域

本發明涉及計算機技術領域，更具體地說，本發明涉及一種可動態擴展的應用安全代理方法以及應用安全代理系統。

背景技術

在客戶端/應用服務器的分布式應用系統架構中，通常采用應用服務的安全代理（本文中簡稱“應用安全代理”）技術，其中對訪問應用服務器的客戶端用戶身份進行鑒別、權限進行控制，同時還要對應用協議進行識別和過濾等，實現對應用服務的安全保護。在部署方式上，通常在應用服務器的網絡前端配置網關式的安全代理設備。

傳統安全代理技術的實現方式有以下幾種：a)在服務端部署單臺安全代理設備，其穩定性和性能都只能依賴單臺服務端安全代理設備，一旦服務端安全代理設備出現故障，會導致所有用戶和應用全部癱瘓；b)在服務端部署2臺安全代理設備并實現冷備份，其中2臺服務端安全代理設備配置相同，可同時加電，但是同時只能有一臺接入網絡工作，在出現故障時才手工切換到另外一臺設備，而其優點是故障恢復快，缺點是需手工切換，穩定性和性能都沒有提高；c)在服務端部署2臺安全代理設備并實現熱備份，其中2臺服務端安全代理設備配置相同，可同時加電，且同時接入網絡，但是同時只能有一臺進入工作狀態，在出現故障時能自動切換到另外一臺設備，其優點是能自動恢復故障，穩定性有提高，缺點是性能沒有提高。

發明內容

本發明所要解決的技術問題是針對現有技術中存在上述缺陷，提供一種高安全性、高穩定性和高性能的可動態擴展的應用安全代理方法及系統。

根據本發明的第一方面，提供了一種應用安全代理方法，其中，多個安全代理設備同時連接在流量均衡器上；為每個安全代理設備分配一個終端虛擬地址池；終端與安全代理設備通信時，流量均衡器將數據轉發到某個存活的安全代理設備；在安全代理設備完成終端的身份認證之后為終端分配虛擬地址；終端使用虛擬地址與內網應用服務器通信。

優選地，終端發送給應用服務器的IP（Internet?Protocol，網絡協議）報文被加密封裝后發送給與之通信的安全代理設備，然后被解密解封并轉發給其訪問的應用服務器。

優選地，在安全代理設備內網使用三層交換機實現對各虛擬地址段的靜態路由，以使得應用服務器發送給終端虛擬地址的IP報文被轉發到所屬地址池對應的安全代理設備，然后被加密封裝后轉發到所述終端。

優選地，其中可動態增加或減少同時連接在流量均衡器上的安全代理設備的數量。

根據本發明的第二方面，提供了一種應用安全代理系統，其包括：終端、多個安全代理設備、流量均衡器、以及應用服務器，其中，多個安全代理設備同時連接在流量均衡器上；每個安全代理設備分配有一個終端虛擬地址池；終端與安全代理設備通信時，流量均衡器將數據轉發到某個存活的安全代理設備；在安全代理設備完成終端的身份認證之后為終端分配虛擬地址；終端使用虛擬地址與內網應用服務器通信。

優選地，終端發送給應用服務器的IP報文被加密封裝后發送給與之通信的安全代理設備，然后被解密解封并轉發給其訪問的應用服務器。

優選地，其中可動態增加或減少同時連接在流量均衡器上的安全代理設備的數量。

優選地，在安全代理設備內網使用三層交換機實現對各虛擬地址段的靜態路由，以使得應用服務器發送給終端虛擬地址的IP報文被轉發到所屬地址池對應的安全代理設備，然后被加密封裝后轉發到所述終端。

本發明提供了一種將地址池分配、動態地址分配、流量均衡和靜態路由分配多種技術有效融合的安全代理方法及系統，應用于應用系統的安全防護，實現同時對多種應用協議的安全代理。在本發明的可動態擴展的應用安全代理方法及系統中，實現了安全代理系統規模的動態擴展、性能的動態擴展和服務端多臺安全代理設備的流量均衡。通過本發明，有效解決了傳統代理技術代理設備多、操作不靈活等問題，通過一臺設備即可恢復整個代理系統故障，極大提高了系統穩定性；同時，實現了用戶信息和流量數據的有效均衡，也在很大程度上提高了代理系統的綜合性能。

附圖說明

結合附圖，并通過參考下面的詳細描述，將會更容易地對本發明有更完整的理解并且更容易地理解其伴隨的優點和特征，其中：

圖1示意性地示出了根據本發明第一優選實施例的應用安全代理方法的流程圖。

圖2示意性地示出了根據本發明第一優選實施例的的應用安全代理方法的示意圖。

圖3示意性地示出了根據本發明第二優選實施例的應用安全代理方法的流程圖。

圖4示意性地示出了根據本發明第二優選實施例的的應用安全代理方法的示意圖。