一种基于L7代理的安全设备管理方法及系统技术方案

本发明专利技术涉及一种基于L7代理的安全设备管理方法及系统，该方法包括：安全设备启动SSDP服务，通过Search方法搜索指定特征码，探测目标安全管理平台服务器；在搜寻到所述安全管理平台服务器后，所述安全设备发起认证和注册请求，并在注册成功后获取公钥；所述安全管理平台定期检查所述安全设备健康状态；所述安全设备启动Http反向代理服务，对Http请求进行解密、解析和鉴权处理后，转发到所述安全设备，并通过所述公钥对报文进行加密处理，返回到所述安全管理平台；本发明专利技术所提供的一种基于L7代理的安全设备管理方法及系统能够利用自定义插件扩展的支持，以适配和兼容不同设备应用程序，避免代理程序和应用程序因兼容性问题导致的二次开发。的二次开发。的二次开发。

【技术实现步骤摘要】
一种基于L7代理的安全设备管理方法及系统


[0001]本专利技术涉及网络安全设备管理
，具体涉及一种基于L7代理的安全设备管理方法及系统。

技术介绍

[0002]现代企业为了保障生产过程的关键信息安全，通常会部署一些网络安全设备，比如防火墙、网闸、安全审计系统、主机卫士等。随着安全设施规模的增加，维护大量设备难度陡增，集中管控成为企业切实的需求，基于此诞生了安全管理平台这类产品。
[0003]然而传统的安全管理平台存在着诸多的缺陷，在接入受控设备时，安全设备端不仅自身需要实现网络化以接收平台端指令，还要把控制指令迁移到平台端。因此在实施过程中，由于受控设备厂商的不同、开发语言和架构的差异，传统解决方案会造成实施难度大、工期长、扩展性不佳、受支持设备局限等问题。为了避免每个受控设备都需要实现一套与安管平台通信的语义功能，需要一种统一的、无关语言、无关框架的通信层，让研发人员能够专注于业务，节约工程时间，更加高效的交付健壮且完备的产品。

技术实现思路

[0004]本专利技术提供的一种基于L7代理的安全设备管理方法，能够解决上述过程中的技术问题。
[0005]本专利技术解决上述技术问题的技术方案如下：第一方面，本专利技术提供了基于L7代理的安全设备管理方法，包括：包括以下步骤：S1：安全设备启动SSDP服务，通过Search方法搜索指定特征码，探测目标安全管理平台服务器；S2：在搜寻到所述安全管理平台服务器后，所述安全设备发起认证和注册请求，并在注册成功后获取公钥；S3：所述安全设备启动健康监测服务，供所述安全管理平台定期检查所述安全设备健康状态；S4：所述安全设备启动Http反向代理服务，接管来自所述安全管理平台的流量，对Http请求进行解密、解析和鉴权处理后，转发到所述安全设备，并通过所述公钥对报文进行加密处理，返回到所述安全管理平台。
[0006]在一些实施例中，所述步骤S2还包括：S21：安全设备向安全管理平台发送请求获取验证码，随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验，若校验通过，则返回公钥；S22：安全设备使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证，验证通过后返回注册成功；S23：安全设备把所述安全管理平台IP地址加入受信任主机中，保存公钥，此时所述安全设备进入上线状态，准备接收和处理所述安全管理平台的指令。
[0007]在一些实施例中，所述步骤S4中“所述安全设备启动Http反向代理服务”前还需进行以下操作：安全设备加载插件资源包，然后使用yaegi解释器对插件源代码进行解释，并将所有插件都装载到钩子总线中，所述钩子总线由插件管理器管理。
[0008]在一些实施例中，所述步骤S4还包括以下步骤：S41：创建反向代理处理器；S42：安全设备启动Http服务，注册forward路由指向所述反向代理处理器；S43：在forward路由中加入中间件，所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
[0009]在一些实施例中，所述步骤S43中“所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作”还包括：S431：在所述forward路由请求进入所述反向代理处理器前，对所要请求的客户端IP地址进行校验，如不是所述受信任主机，则进行拦截，并返回错误信息；若通过校验，则根据请求头中的加密类型字段，使用所述公钥解密，将解密后的数据写入请求体中，交由所述反向代理处理器处理；S432：所述反向代理处理器返回数据后，根据加密类型使用所述公钥对数据进行加密，并返回给所述安全管理平台。
[0010]第二方面，本专利技术提供了一种基于L7代理的安全设备管理系统，包括：服务器搜寻模块，用于启动SSDP服务，通过Search方法搜索指定特征码，探测目标安全管理平台服务器；认证注册模块，用于在搜寻到所述安全管理平台服务器后，所述安全设备发起认证和注册请求，并在注册成功后获取公钥；健康监测模块，用于启动健康监测服务，供所述安全管理平台定期检查所述安全设备健康状态；反向代理模块，用于启动Http反向代理服务，接管来自所述安全管理平台的流量，对Http请求进行解密、解析和鉴权处理后，转发到所述安全设备，并通过所述公钥对报文进行加密处理，返回到所述安全管理平台。
[0011]在一些实施例中，所述认证注册模块包括：请求校验子模块，用于向安全管理平台发送请求获取验证码，随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验，若校验通过，则返回公钥；注册子模块，用于使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证，验证通过后返回注册成功；状态维持子模块，用于使安全设备把所述安全管理平台IP地址加入受信任主机中，保存公钥，此时所述安全设备进入上线状态，准备接收和处理所述安全管理平台的指令。
[0012]在一些实施例中，还包括：插件配置模块，用于使安全设备加载插件资源包，然后使用yaegi解释器对插件源代码进行解释，并将所有插件都装载到钩子总线中，所述钩子总线由插件管理器管理。
[0013]在一些实施例中，所述反向代理模块包括：
处理器创建子模块，用于创建反向代理处理器；Http服务子模块，用于启动Http服务，注册forward路由指向所述反向代理处理器；中间件子模块，用于在forward路由中加入中间件，所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。
[0014]在一些实施例中，所述中间件子模块包括：验证处理单元，用于在所述forward路由请求进入所述反向代理处理器前，对所要请求的客户端IP地址进行校验，如不是所述受信任主机，则进行拦截，并返回错误信息；若通过校验，则根据请求头中的加密类型字段，使用所述公钥解密，将解密后的数据写入请求体中，交由所述反向代理处理器处理；加密单元，用于在所述反向代理处理器返回数据后，根据加密类型使用所述公钥对数据进行加密，并返回给所述安全管理平台。
[0015]本申请的有益效果是：本申请提供一种基于L7代理的安全设备管理方法及系统，它将平台和受控设备的通信抽象为单独一层，在这一层中实现服务发现、认证授权、健康监测、流量控制、插件扩展等功能，作为一个独立于设备应用程序的轻量级代理服务，和设备应用程序部署在一起，接管来自平台的流量，通过代理通信间接完成平台和设备通信请求。并提供了自定义插件扩展的支持，以适配和兼容不同设备应用程序，避免代理程序和应用程序因兼容性问题导致的二次开发。
附图说明
[0016]图1为本申请的基于L7代理的安全设备管理方法流程图；图2为本申请步骤S2的子流程图；图3为本申请步骤S4的子流程图；图4为本申请步骤S43的子流程图；图5为本申请安全设备认证流程图；图6为本申请反向代理流程图。
具体实施方式
[0017]以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于L7代理的安全设备管理方法，其特征在于，包括以下步骤：S1：安全设备启动SSDP服务，通过Search方法搜索指定特征码，探测目标安全管理平台服务器；S2：在搜寻到所述安全管理平台服务器后，所述安全设备发起认证和注册请求，并在注册成功后获取公钥；S3：所述安全设备启动健康监测服务，供所述安全管理平台定期检查所述安全设备健康状态；S4：所述安全设备启动Http反向代理服务，接管来自所述安全管理平台的流量，对Http请求进行解密、解析和鉴权处理后，转发到所述安全设备，并通过所述公钥对报文进行加密处理，返回到所述安全管理平台。2.根据权利要求1所述的一种基于L7代理的安全设备管理方法，其特征在于，所述步骤S2还包括：S21：安全设备向安全管理平台发送请求获取验证码，随后将设备信息连同验证码封装后发送给所述安全管理平台进行校验，若校验通过，则返回公钥；S22：安全设备使用所述公钥将设备信息加密后再次请求所述安全管理平台进行验证，验证通过后返回注册成功；S23：安全设备把所述安全管理平台IP地址加入受信任主机中，保存公钥，此时所述安全设备进入上线状态，准备接收和处理所述安全管理平台的指令。3.根据权利要求2所述的一种基于L7代理的安全设备管理方法，其特征在于，所述步骤S4中“所述安全设备启动Http反向代理服务”前还需进行以下操作：安全设备加载插件资源包，然后使用yaegi解释器对插件源代码进行解释，并将所有插件都装载到钩子总线中，所述钩子总线由插件管理器管理。4.根据权利要求3所述的一种基于L7代理的安全设备管理方法，其特征在于，所述步骤S4还包括以下步骤：S41：创建反向代理处理器；S42：安全设备启动Http服务，注册forward路由指向所述反向代理处理器；S43：在forward路由中加入中间件，所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作。5.根据权利要求4所述的一种基于L7代理的安全设备管理方法，其特征在于，所述步骤S43中“所述中间件在所述forward路由请求进入所述反向代理处理器前以及所述反向代理处理器返回响应后进行工作”还包括：S431：在所述forward路由请求进入所述反向代理处理器前，对所要请求的客户端IP地址进行校验，如不是所述受信任主机，则进行拦截，并返回错误信息；若通过校验，则根据请求头中的加密类型字段，使用所述公钥解密，将解密后的数据写入请求体中，交由所述反向代理处理器处理；S432：所述反向代理处理器返回数据后，根据加密类型使用所述公钥对数据进行加密...

【专利技术属性】
技术研发人员：任帅，靳涛，于慧超，石永杰，
申请(专利权)人：北京网藤科技有限公司，
类型：发明
国别省市：