技術領域

本發明涉及一種數據轉發方法，特別涉及一種穿越單邊防火墻建立TCP連接的方法及裝置。

背景技術

在附圖1的網絡結構下，在未經管理員的許可，想要向外發布web應用程序，常規的途徑下是不可能完成的任務：部署在服務器S2上的web應用程序，想要在“外部網絡”區域訪問到，常規的做法是：向管理員申請要求放開防火墻的訪問策略，并在S1服務器上部署一個WEB代理服務器，打通一條從“外部網絡”到S2的通道，完成發布。但如果情況不是那么順利，不能獲得管理員在防火墻上的授權，要實現這個目標將阻礙重重。

首先，這個特定的網絡結構下，淡綠色區域是在一個LAN中，但該LAN中劃定了不同的區域，S1所處的區域為DMZ區，這個區域的服務器是優先級最低的，它不能直接訪問內部和外部網絡，除非防火墻的指定授權；而S2區域為完全的內部網絡。通常這樣結構的目的是S1映射了WAN的IP，可以通過Internet來訪問其上的特定端口應用（在F1上配置授權），而S1上的應用也會給有限的授權訪問內部網絡中的特定端口提供的服務，但不包括S2主機上的任何端口。

同時S2在F2的策略中優先級高于S1，因此S2可以訪問S1上的任意端口，另外在F1上放開的S1端口P1～P4，其中P4為預留，并未使用。

在以上的網絡結構和防火墻策略下，常規方法難以實現通過S1的P4端口訪問S2服務器上發布的端口Px下的應用。

發明內容

本發明所要解決的技術問題是提供一種在防火墻未許可的情況下從內部網絡向外部服務器端口的穿越單邊防火墻建立TCP連接的方法及裝置。

本發明解決上述技術問題的技術方案如下：一種穿越單邊防火墻建立TCP連接的方法，其特征在于，包括以下步驟：

步驟1：分別在同一局域網內部低優先級服務器和高優先級服務器上運行代理程序分別建立第一代理客戶端和第二代理客戶端；

步驟2：在第一代理客戶端和第二的代理之間建立消息連接；

步驟3：在客戶端與第一代理客戶端的空閑端口之間建立第一數據連接；

步驟4：第一代理客戶端通過消息連接向第二代理客戶端發送通知；

步驟5：第二代理客戶端接收到通知后，分別向第一代理客戶端和局域網外部的服務器建立第二數據連接和第三數據連接；

步驟6：從客戶端到服務器，經過第一數據連接，第二數據連接和第三數據連接，進行雙向數據的轉發。

本發明的有益效果是：在建立第一數據連接，第二數據連接和第三數據連接的雙向傳遞通道后，實現了在雙邊單向防火墻未許可的情況下，進行數據的雙向傳遞。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步，所述第一數據連接，第二數據連接和第三數據連接為TCP連接。

采用上述進一步方案的有益效果是采用TCP連接，在進行數據傳輸之前就建立連接，提供了數據傳輸的通道。

進一步，所述消息連接通過包頭數據進行標識。

采用上述進一步方案的有益效果是采用包頭數據進行標識，。

進一步，在進行所述步驟5中雙向數據的轉發時，所述第一數據連接，第二數據連接和第三數據連接均作為數據的透明傳輸層，并不處理轉發的數據。

采用上述進一步方案的有益效果是放置傳輸內容遭到破壞。

一種穿越單邊防火墻建立TCP連接的裝置，其特征在于：包括建立代理模塊，建立消息連接模塊，單向連接模塊，通知模塊，雙向連接模塊和數據轉發模塊；

建立代理模塊，分別在同一局域網內部低優先級服務器和高優先級服務器上運行代理程序分別建立第一代理客戶端和第二代理客戶端；

建立消息連接模塊，在第一代理客戶端和第二的代理之間建立消息連接；

單向連接模塊，在客戶端與第一代理客戶端的空閑端口之間建立第一數據連接；

通知模塊，第一代理客戶端通過消息連接向第二代理客戶端發送通知；

雙向連接模塊，第二代理客戶端接收到通知后，分別向第一代理客戶端和局域網外部的服務器建立第二數據連接和第三數據連接；

數據轉發模塊，從客戶端到服務器，經過第一數據連接，第二數據連接和第三數據連接，進行雙向數據的轉發。

采用上述進一步方案的有益效果是在建立第一數據連接，第二數據連接和第三數據連接的雙向傳遞通道后，實現了在雙邊單向防火墻未許可的情況下，進行數據的雙向傳遞。

進一步，所述單向模塊建立的第一數據連接、雙向連接模塊建立的第二數據連接和第三數據連接均為TCP連接。