技術領域

本發明針對不同網絡連接之間存在防火墻隔離的網絡環境，具體的隔離策略是安全等級高的一方可以訪問等級低的一方，反之不可以。本發明涉及一種Web反向代理技術，特別是一種基于預連接的Web反向代理方法。

背景技術

在電力二次系統中，根據不同業務系統的重要性，劃分了不同的安全工作區，比如生產區（Ⅰ區、Ⅱ區）、管理區（Ⅲ區、Ⅳ區）。不同的安全工作區明確了不同的安全防護要求，提出了不同的安全等級和防護水平。在不同工作區之間部署的正/反向隔離裝置，提高了電力通信網絡的安全性，但同時也在一定程度上給不同工作區之間的通信帶來了不便。隨著通信與網絡的發展，以及電力改革的推進和電力市場的建立，電網的調度中心與變電站、電廠、用戶等之間進行的數據交換越來越頻繁。但一些變電站、電廠在規劃和設計時由于經濟原因或者對網絡安全重視程度不同的原因，沒有建設安全的網絡環境，因此對電網的安全運行構成了隱患。

為了能夠對外提供電網管理應用系統，需要將服務設施對外發布。在建設網絡時，考慮到網絡安全，建設了隔離區（DMZ區），作為內部網絡和外部網絡之間的緩沖區，可以放置用于公開的服務設施。

DMZ區與Ⅲ區之間的防火墻規則是：Ⅲ區應用可以主動向DMZ區應用發起訪問請求，且建立的連接可以雙向通信，而DMZ區應用不可以直接向Ⅲ區應用發起訪問請求。外部網絡的訪問請求在經過防火墻過濾之后可以到達DMZ區應用。

部署在Ⅲ區的Web服務為了讓外網能夠訪問，目前的做法是將該Web服務在DMZ區也相同地部署一份，同時，對于外網提交的數據，在DMZ區與Ⅲ區之間進行數據同步和流程同步。

然而，目前的這種部署方式存在很大的不足，主要是如下兩點：(1) 需在DMZ區部署相同的服務，包括Web服務器、數據庫服務器、存儲整列等，成本較高；(2) 對于復雜的工作流通過文件進行交換的方式進行數據同步，軟件開發的工作量很大。

發明內容

本發明針對這對這種網絡環境下的外網訪問需求，提出了一種簡便、穩定而且經濟的反向代理方法。

本發明的基于預連接的反向代理方法，主要涉及到如下幾個部分：

位于Ⅲ區的后臺Web服務器會主動向位于DMZ區的反向代理服務器發起建立連接的請求，其中，后臺Web服務器在啟動時讀取配置文件中設置的反向代理服務器IP地址和端口信息，向反向代理服務發出建立socket連接的請求。反向代理服務器會一直監聽預設的端口，當收到建立連接的請求后，與后臺Web服務器建立預設數量的socket連接，并將這些socket存儲到socket存儲池中，用于反向代理服務器轉發請求時直接使用與后臺Web服務器建立好的socket通信連接。

另外，當客戶端發起Http/Https的網頁請求時，該請求經過網絡傳輸到達反向代理服務器時，反向代理服務器會首先根據規則，確定該請求是否需要反向代理方式處理，若需要反向代理方式處理，則從socket存儲池中取出可用的socket連接，通過該連接將客戶端的請求轉發給后臺Web服務器。在處理完該請求后，將當前使用的socket存儲到socket存儲池中，以循環利用，減少每次連接都需要新建socket的開銷。

進一步地，反向代理服務器會定期地向后臺Web服務器發出心跳信息，以告知后臺Web服務器這些預連接的socket的狀態。反向代理服務器是在網絡協議棧的第七層，即應用層發出心跳信息，后臺Web服務器收到心跳信息后，會返回固定的標識符。同時，后臺Web服務器會維護一個所有預連接的socket的最后收到心跳的時間列表，若發現某個socket的最后心跳時間距離當前時間超過預設的一個閾值，則在Web服務器端會主動關閉該socket連接，同時遞補地創建一個新的socket連接。

進一步地，定期心跳的步驟為：

反向代理服務器定時地對socket資源池中的每個socket，從資源池中取出，向后臺發出AJP協議格式的請求內容為空的Cping/Cpong心跳信息；

若心跳測試發出，立刻將該socket存儲到socket資源池中；若心跳測試失敗，則再嘗試發送N次心跳，若其中有一次發送成功則將對應的socket放入socket資源池中，若直到第N次發送仍失敗，則關閉該socket；

后臺Web服務器記錄每個已建立的socket的最后收到心跳的時間，若超過一個預先設定的時間閾值，則在后臺Web服務器端主動關閉該socket連接。

本發明具有如下的優點：