[发明专利]一种SSL VPN的访问链接改写方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种SSL VPN的访问链接改写方法。

背景技术

SSL VPN是一种采用SSL(Security Socket Layer，安全套接层)加密连接实现远程访问的VPN(Virtual Private Network，虚拟专用网络)技术。

SSL VPN的主要功能之一是实现远程对内网WEB应用的访问控制。具体实现为：远程主机通过HTTPS访问与SSL VPN网关建立SSL连接，以加密方式在Internet上传送报文；SSL VPN网关作为代理，与内网的WEB服务器建立HTTP连接，以明文方式传送远程主机发送来的请求，并将服务器的应答通过SSL连接发给远程主机。目前，安装部署SSL VPN的原因主要有两点：1、客户端不需要安装软件，也不需要配置，使用灵活方便2、对用户访问控制权限控制严格，针对每个访问用户可以定制不同资源访问策略，安全性高。因此，SSL VPN自身对于资源访问的控制将决定SSL VPN产品是否成熟的一个重要标志。

现有技术存在的问题是：用户访问内网WEB资源时，请求信息中包含内网主机或服务器的真实URL地址，对于该请求的应答信息中同样含有内网主机或服务器的真实地址，这样很容易将内网WEB资源直接暴露给外部用户，造成内网信息的泄漏，安全性不高。

发明内容

本发明的主要目的是提供一种SSL VPN对内网WEB资源访问的链接改写方法，解决现有技术存在的用户访问WEB资源时，内网的WEB资源易暴露，安全性不高的问题。

为了解决现有技术存在的问题，本发明提供了一种SSL VPN的访问链接改写方法，它通过以下几个步骤来实现：

步骤一：管理员配置要访问的WEB资源，对于每个WEB资源，都有唯一标明其身份的标识，标识包括资源标识符和内网URL地址。资源标识符是含有该资源名称的URL虚拟路径，内网URL地址是该资源在内网中真实的URL地址，资源标识符和内网URL地址保存在资源标识表中；

步骤二：用户通过含有资源标识符的虚拟URL路径访问WEB资源；

步骤二：SSL VPN网关对于用户的HTTP或HTTPS请求的URL路径进行检查，如果发现该路径中存在与资源标识表中相对应的资源标识符，则对于该URL请求中的资源标识部分进行改写，替换成对应的内网URL地址，以便能够正常访问到内网资源。另外，在对该请求进行回应时，在HTTP或HTTPS应答数据包中加入链接改写脚本，链接改写脚本在用户浏览器端执行，执行时对应答HTTP或HTTPS数据包中含有内网URL路径的信息进行重新改写，替换成对应含有资源标识符的虚拟路径。

与现有技术相比较，该发明的优点是：对于HTTP数据包中的绝对路径不进行替换，保证绝对路径能够正常访问；HTTP数据包的改写在VPN网关完成，而URL路径的替换在客户端完成，避免了VPN网关由于处理事务过多引起的额外负担。

附图说明

附图为本发明SSL VPN的访问链接改写方法流程图。

具体实施方式

下面将通过在SSL VPN设备中实施本发明进行详细描述。实施时，需要将SSL VPN链接改写模块部署到SSL VPN设备中，该模块完成SSL VPN访问连接的改写功能。

一种SSL VPN的访问链接改写方法，它通过以下几个步骤来实现：

(一)管理员配置SSL VPN提供的内部WEB资源，每一个内部WEB资源生成唯一的资源标识符与之对应，存放于资源标识表中。

(二)户访问内部WEB资源的URL请求路径是含有该资源标识符的虚拟网关路径。用户访问SSL VPN提供的WEB资源时，链接改写模块对于用户的HTTP或HTTPS请求进行监控，如果发现请求数据包中含有资源标识表中存在的资源标识符，则对该请求进行标记，并记录其包含的资源标识符；

(三)链接改写模块对步骤二中URL请求中的资源标识部分进行改写，替换成对应的内网URL地址，并将修改过的请求数据包中重定向到对应的内部WEB服务器上，等待WEB服务器处理后返回结果；链接改写模块得到WEB服务器返回结果，并找到该回应数据包对应的请求来源，如果该请求已被打过标记，说明是执行过步骤二的对于内部WEB资源的访问请求，对于这些请求的回应，进行回应内容的改写，将链接改写脚本加入回应数据包的末尾，并将对应的资源标识符作为参数传送给链接改写脚本；链接改写模块将回应的数据包发送到用户客户端浏览器，浏览器执行得到页面内容，由于链接改写脚本位于数据包末尾，因此最后被执行，执行时对于数据包中的所有内网资源URL地址进行改写，替换成对应的WEB资源的虚拟路径，保证了用户看到的URL都是经过改写的虚拟地址，提高系统安全性。