本發明提供一種代理系統及訪問請求轉發方法，涉及網絡通信技術領域。本發明提供的代理系統中，服務端可以為每個應用系統單獨配置文件，與應用系統進行交互。部署端可以在服務端分配應用系統的應用系統標識并授權、配置應用系統的IP地址、代理域名和服務端口、以及合作方服務器的服務地址和服務端口。服務端可以根據管理端的配置，對應用系統進行身份認證和權限控制，統一代理并轉發應用系統對外網的訪問請求。相對于現有的代理系統而言，本發明實施例提供的代理系統的部署方式更加簡單，無需再針對每個應用系統分別部署服務器和轉發程序，同時，還實現了對不同應用系統進行統一的安全管控。

技術領域

本發明涉及網絡通信技術領域，尤其涉及一種代理系統及訪問請求轉發方法。

背景技術

公司網絡通常會劃分為內網區和隔離(Demilitarized Zone，DMZ)區域。其中，內網區用于部署公司的應用系統，如：可以是用于實現某項公司業務的應用系統。DMZ區通常部署應用系統對應的服務器，服務器上可以配置有應用系統對應的代理程序。當應用系統因業務需求，需要訪問外網時，可以調用代理程序提供的接口，通過DMZ區內的服務器實現對外網的訪問。

但是，現有技術中，需要每個應用系統分別部署服務器和代理程序，操作復雜且缺少統一的安全管控機制。

發明內容

本發明提供一種代理系統及訪問請求轉發方法，可以簡化代理系統的部署方式，同時，可以實現對不同應用系統進行統一的安全管控。

本發明實施例的技術方案如下：

第一方面，本發明實施例提供一種代理系統，所述代理系統包括彼此通信連接的服務端和管理端。服務端設置于隔離DMZ區域。所述DMZ區域包括一特定外聯區域。特定外聯區域的網絡策略為：防火墻開放所有對外網IP的訪問權限，但僅開放80端口和443端口，且只許出不許進。服務端配置有Nginx配置文件、每個應用系統分別對應的配置文件、以及用于解析合作方域名的域名系統DNS域名參數。述管理端用于在所述服務端分配各應用系統的應用系統標識并授權，配置各應用系統的IP地址、代理域名和服務端口，以及配置合作方服務器的服務地址和服務端口；其中，所述合作方服務器位于外網。服務端用于接收第一應用系統的訪問請求，根據所述管理端在所述服務端的配置和所述訪問請求，對所述第一應用系統進行身份認證和權限控制，并根據身份認證和權限控制的結果，向所述合作方服務器轉發所述訪問請求。

可選地，所述代理系統還包括：負載均衡服務器。所述服務端通過所述負載均衡服務器，與各應用系統連接。所述負載均衡服務器中配置有XFF頭，用于轉發各應用系統的源IP地址。

可選地，所述服務端包括2臺安裝有Nginx程序的代理服務器。所述代理服務器分別與所述負載均衡服務器、以及所述管理端連接。

可選地，所述管理端包括管理服務器和數據庫服務器。所述管理服務器分別與所述代理服務器、以及所述數據庫服務器連接。

可選地，所述管理端具體用于為應用系統分配應用系統標識并授權；在請求方IP白名單中添加應用系統的所有IP地址；配置應用系統的代理域名和服務端口、以及合作方服務器的服務地址和服務端口；配置應用系統對應的日志文件名稱、以及符合安全審計要求的日志格式；重新加載服務端配置。所述應用系統的Hosts文件中配置的應用系統的代理域名對應的IP地址為所述負載均衡服務器的虛擬IP地址；所述應用系統中配置的HttpClient的請求地址為所述合作方服務器的服務地址，且所述應用系統的訪問請求的請求字段中包含有所述管理端分配的應用系統標識和授權碼。