[实用新型]一种基于ICAP协议的HTTP访问控制系统

说明书

技术领域

本实用新型涉及一种网络安全控制系统，尤其是涉及一种基于ICAP协议的HTTP访问控制系统。 

背景技术

为了解决高压力网络内容的安全性，传统部署安全类设备的方式通常有以下两种： 

●基于DPI（数据包检测）的串接部署： 

将安全扫描设备以串接的方式部署到核心主干网中： 

1.优点：实时性强，可以对大多数常见的恶意程序及病毒进行分析并及时对网络中垃圾流量进行清理； 

2.缺点：基于DPI技术的精准度低，漏判，误判情况较多并且串接的部署模式对于设备的性能以及稳定性有着极高的要求，要求串接部署的设备必须具有极高的冗余性及稳定性，不建议大规模部署。 

●基于DPI（数据包检测）的旁路部署： 

将安全扫描设备以旁路的方式部署到核心主干网中，通常以“分光”的方式将设备部署在分光器的背后。 

1.优点：可靠性强，可以对大多数常见的恶意程序进行分析，可以大规模部署，良好的冗余性； 

2.缺点：基于DPI技术的精准度低，漏判，误判情况较多并且分光设备通常功能单一，不具备对网络中流量实时观察及控制的功能，不能有效的遏制网络中木马及垃圾流量的传播。 

综合以上两种传统不熟方式来看，各有利弊，一方面对流量的控制是重中之重，另一方面，出于对网络可靠性来讲，保证网络的连通性又是一切的前提，所以业内一直在寻求一种两者兼并的数据处理方式及安全部署的方案。ICAP是设计用来传 输特定的基于互联网的内容专用服务器协议，ICAP是Internet Content AdaptationProtocol的缩写，它在本质上是在HTTP信息上执行远程过程调用（RPC）的一种轻量级的协议。 

发明内容

本实用新型的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性强、成本低、可扩展性强的基于ICAP协议的HTTP访问控制系统。 

本实用新型的目的可以通过以下技术方案来实现： 

一种基于ICAP协议的HTTP访问控制系统，包括ICAP服务器、ICAP客户端和HTTP访问链路，所述的ICAP服务器和ICAP客户端分别与HTTP访问链路连接。 

所述的ICAP服务器和ICAP客户端通过ICAP协议通讯连接。 

所述的HTTP访问链路包括用户端、路由器、防火墙和HTTP服务器，所述的用户端依次连接路由器、防火墙和HTTP服务器，所述的路由器分别连接ICAP服务器和ICAP客户端。 

与现有技术相比，本实用新型具有以下优点： 

1）实时性强，能对流量进行有效的控制，对流量执行阻拦或监控策略； 

2）部署成本低，传统分光技术需要多台设备构成的系统（分光器，光信号放大器等若干设备），本发明只需一台ICAP客户端即可； 

3）维护成本低，通常维护一套分光检测系统需要若干人员，本发明需要的管理ICAP客户端设备的人员较少； 

4）网络可扩展性强，如果网络中部署了基于分光技术的恶意流量监测方案之后，网络中的设备变更会变得困难，本实用新型无需考虑物理部署，只需将需要扫描的流量在ICAP客户端配置即可。 

附图说明

图1为本实用新型的结构示意图。 

具体实施方式

下面结合附图和具体实施例对本实用新型进行详细说明。 

实施例 

如图1所示，一种基于ICAP协议的HTTP访问控制系统，包括ICAP服务器1、ICAP客户端2和HTTP访问链路，所述的ICAP服务器1和ICAP客户端2分别与HTTP访问链路连接。HTTP访问链路包括用户端3、路由器4、防火墙5和HTTP服务器6，所述的用户端3依次连接路由器4、防火墙5和HTTP服务器6，所述的路由器4分别连接ICAP服务器1和ICAP客户端2。所述的ICAP服务器1和ICAP客户端2通过ICAP协议通讯连接。本实用新型将ICAP客户端和服务器都分别旁路在HTTP访问链路中，对HTTP访问链路的冗余性有着良好的支持。 

上述基于ICAP协议的HTTP访问控制系统的工作原理为：ICAP客户端2将HTTP信息（包括HTTP请求信息和HTTP应答信息）封装为ICAP信息发送给ICAP服务器1，ICAP服务器1实时地对ICAP信息进行扫描，并将扫描结果以ICAP报文交互给ICAP客户端2，如果扫描安全，那么放行HTTP访问链路中用户端3对HTTP服务器6的访问，如果扫描出恶意流量，那么ICAP服务器1将阻拦访问过程。