[发明专利]基于内网节点转发技术的防火墙/子网的穿透方法

说明书

一、技术领域

本发明涉及一种对防火墙/子网穿透的方法，具体的说是利用内网节点作为数据转发服务器，对外网的请求和所需的数据进行转发，从而实现防火墙/子网的穿透。

二、技术背景

出于网络安全和充分利用有限的互联网地址资源的原因，很多公司、组织需要将自己内部网络组成子网且和外部网络，譬如互联网隔离开来，对内部网络和外部网络之间的网络访问进行控制，防火墙能有效地实现这种功能。同时，如果不采取特殊措施，处于外部网络的可信任用户也不能访问内部网络的资源。很多情况下，需要给外部网络的可信任用户提供内部网络的资源，允许他们访问内部网络的资源。如何穿透防火墙和子网成为解决这个问题的根本。目前，普遍采用的技术是NAT(网络地址转换)穿透，是通过将专用的网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet)，从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。但是，NAT技术本身也有的它的不足之处，如增加了错误编址的可能性；使得一些应用无法实现，至少也会使得运行这些应用程序更加困难；它隐藏了主机的信息，使得主机无法被识别；和SNMP(简单网络管理协议)，DNS(域名系统)等诸多技术有兼容性问题等等。

三、发明内容

为了克服NAT技术的一些缺点，本发明提供了一种基于内网节点转发技术的防火墙/子网穿透方法。该方法中，以内网中的一个节点作为数据转发服务器，作为连接内网和外网的中介。外网的请求和内网的数据都通过此转发服务器，从而实现防火墙/子网的穿透。

本发明通过以下技术方案来实现：

由三个模块构成：Server(服务器)模块，主要负责主动发起连接，建立LC通道(命令通道)和所需的LD通道(数据通道)，处理由Client(客户)转发的请求，获得相应的资源，并且进行转发；Client模块，主要负责和Server建立LC通道和所需的LD通道，将Proxy(代理)的请求通过LC通道转发给Server；Proxy模块，主要负责收集Web(网页)浏览器、FTP(文本传输协议)服务器等的请求，并将其转发给Client模块。具体工作流程：Server向Client发起连接，建立LC通道；建立LC通道后，Client创建两个子线程LA和Lproxy，LA负责监听并接受由Server发起的连接，用于建立LD通道，Lproxy负责监听并接受由Proxy请求的连接，用于转发请求；当Proxy接收到Web浏览器，FTP服务器等的请求后，向Lproxy请求连接，建立连接后，发送Web浏览器，FTP服务器等的请求；Lproxy将从Proxy收到的请求按照一定的格式进行封装(加入和Proxy进行通信的套接字：fdp)通过LC通道转发给Server；Server接收到请求后，解封装后，取出套接字fdp和所请求连接的目标服务器的地址以及端口号，然后利用该地址的特定端口请求和目标服务器建立连接。如果建立连接失败，则通过LC通道向Lproxy发一个经过封装的失败应答报文；当Server和目标服务器成功建立连接时，Server向LA请求创建一个新的LD通道，如果LD通道创建失败，通过LC通道向Client发一个经过封装的失败应答报文，并关闭所有相关的连接，如果LD通道创建成功，创建一个子线程——该子线程通过这个新的LD通道将解封装后得到的套接字fdp发给LA，然后进入为Proxy进行数据转发的流程，而主线程则通过LC向Lproxy发一个经过封装的成功应答报文；LA接收到套接字fdp后，创建一个线程进行数据转发，该线程利用fdp向proxy发送一个应答报文，表示代理成功，将进行数据传输，进入为Proxy进行数据转发的流程；Lproxy接收到的应答报文，判断代理是否成功，如果代理失败，则向Proxy发一个失败的应答，如果代理成功，则进入处理下一个请求的过程。

该方法中的数据转发服务器设备既可以是通用个人电脑，也可以是能够独立在网络上工作的嵌入式电脑。软件方面，可以采用主流的个人操作系统如Windows或Linux以及它们的嵌入式版本作为数据转发服务器的平台。Proxy模块中采用的协议是SOCKS V5协议(RFC1928)。该协议被描述为用来提供在TCP和UDP下为客户机-服务器应用程序便利和安全的穿过防火墙的一个架构，在概念上被描述为一个介于应用层和传输层之间的“隔离层”。