[发明专利]代理系统及访问请求转发方法

权利要求书

1.一种代理系统，其特征在于，所述代理系统包括彼此通信连接的服务端和管理端；

所述服务端设置于隔离DMZ区域；所述DMZ区域包括一特定外联区域；所述特定外联区域的网络策略为：防火墙开放所有对外网IP的访问权限，但仅开放80端口和443端口，且只许出不许进；

所述服务端配置有Nginx配置文件、每个应用系统分别对应的配置文件、以及用于解析合作方域名的域名系统DNS域名参数；

所述管理端用于在所述服务端分配各应用系统的应用系统标识并授权，配置各应用系统的IP地址、代理域名和服务端口，以及配置合作方服务器的服务地址和服务端口；其中，所述合作方服务器位于外网；

所述服务端用于接收第一应用系统的访问请求，根据所述管理端在所述服务端的配置和所述访问请求，对所述第一应用系统进行身份认证和权限控制，并根据身份认证和权限控制的结果，向所述合作方服务器转发所述访问请求。

2.根据权利要求1所述的代理系统，其特征在于，所述代理系统还包括：负载均衡服务器；

所述服务端通过所述负载均衡服务器，与各应用系统连接；

所述负载均衡服务器中配置有XFF头，用于转发各应用系统的源IP地址。

3.根据权利要求2所述的代理系统，其特征在于，所述服务端包括2台安装有Nginx程序的代理服务器；

所述代理服务器分别与所述负载均衡服务器、以及所述管理端连接。

4.根据权利要求3所述的代理系统，其特征在于，所述管理端包括管理服务器和数据库服务器；

所述管理服务器分别与所述代理服务器、以及所述数据库服务器连接。

5.根据权利要求2所述的代理系统，其特征在于，所述管理端具体用于为应用系统分配应用系统标识并授权；在请求方IP白名单中添加应用系统的所有IP地址；配置应用系统的代理域名和服务端口、以及合作方服务器的服务地址和服务端口；配置应用系统对应的日志文件名称、以及符合安全审计要求的日志格式；重新加载服务端配置；

所述应用系统的Hosts文件中配置的应用系统的代理域名对应的IP地址为所述负载均衡服务器的虚拟IP地址；所述应用系统中配置的HttpClient的请求地址为所述合作方服务器的服务地址，且所述应用系统的访问请求的请求字段中包含有所述管理端分配的应用系统标识和授权码。

6.根据权利要求5所述的代理系统，其特征在于，所述服务端具体用于根据所述第一应用系统的访问请求，判断所述第一应用系统的应用系统标识和授权码是否正确；

若所述第一应用系统的应用系统标识或授权码不正确，则向第一应用系统返回身份认证失败响应码及响应信息；

若所述第一应用系统的应用系统标识和授权码正确，则根据所述第一应用系统的应用系统标识、以及访问请求对应的请求报文中的X-Forwarded-For字段对应的源IP地址，校验所述第一应用系统是否具有域名访问权限；

若所述第一应用系统不具有域名访问权限，则向所述第一应用系统返回权限校验失败响应码及响应信息；

若所述第一应用系统具有域名访问权限，则将所述第一应用系统的访问请求转发至外网的合作方服务器。

7.根据权利要求6所述的代理系统，其特征在于，所述服务端还用于在转发所述第一应用系统的访问请求时，记录关键安全审计字段；

所述关键安全审计字段至少包括：请求时间戳、应用系统标识、请求址、请求响应码、以及请求响应消息。