[发明专利]一种安全网关及其创建方法、用户访问内部服务的方法、电子设备及存储介质

权利要求书

1.一种安全网关，其特征在于，包括隐身网关、统一认证中心和应用网关；

所述隐身网关用于检测客户端的硬件设备特征合法性；

所述统一认证中心用于验证用户身份，确定用户访问的系统；

所述应用网关用于为用户提供服务。

2.一种创建安全网关的方法，其特征在于，包括以下步骤:

S1.构建隐身网关；

S2.配置统一认证中心。

3.根据权利要求2所述的一种创建安全网关的方法，其特征在于，所述构建隐身网关的方法具体包括以下步骤：

S11.为iptables防火墙配置默认拒绝策略，丢弃所有传入的数据包；

S12.在端口敲击服务器上安装Fwknop客户端，并开放端口敲击接口，调用所述接口令服务器向网关发送端口敲击包；

S13.在隐身网关安装Fwknop服务端，令iptables的INPUT链的第一条规则为FWKNOP_INPUT链；

S14.在浏览器上安装插件，所述插件添加监听事件，监听到用户访问指定URL，向端口敲击服务器发送端口敲击包。

4.根据权利要求3所述的一种创建安全网关的方法，其特征在于，所述配置统一认证中心的具体方法是，包括以下步骤：

S21.编写Sa-client处理逻辑，用于处理用户的访问请求；

S22.编写Sa-server处理逻辑，完成用户登录功能；

S23.配置Nginx服务器，作为身份认证与访问控制的基础，并提供Web应用服务。

5.根据权利要求4所述的一种创建安全网关的方法，其特征在于，所述配置默认拒绝策略的方法具体为，在隐身网关上执行两条命令以在iptables的INPUT链上添加规则；所述规则包括：

第一条规则：允许已建立连接的数据包通过，以避免删除临时准入规则后原来已建立的连接被断开；

第二条规则：拒绝所有传入数据包，使得对外部而言所有端口处于“关闭”状态。

6.根据权利要求5所述的一种创建安全网关的方法，其特征在于，所述编写Sa-client处理逻辑的具体方法是，Sa-client负责检查用户是否登录，通过判断用户浏览器中是否具有Sa-server网站的cookie，如果用户浏览器中有对应cookie，则从中取出Token并查询Redis以判断此Token是否有效，如果用户浏览器未存储cookie或者Token被判断为无效，则抛出未登录异常。

7.根据权利要求6所述的一种创建安全网关的方法，其特征在于，所述配置Nginx服务器的具体方法是，为Nginx添加auth_request模块，令该模块指向具备用户登录检查功能的服务器，并在该模块中配置拦截403错误码的处理地址，使得用户登录检查服务器返回403错误时用户浏览器根据该模块的配置跳转到指定的地址进行登录，从而为Nginx提供身份验证功能。

8.一种用户访问内部服务的方法，其特征在于，包括以下步骤:

步骤一.用户于浏览器输入目标URL；

步骤二.浏览器插件向端口敲击服务器发送敲击请求；

步骤三.端口敲击服务器根据请求信息，向隐身网关发送端口敲击包，所述隐身网关为权利要求1所述的隐身网关或权利要求2所述构建的隐身网关；

步骤四.隐身网关验证用户认证因素，随后对此用户开放端口；

步骤五.统一认证中心发送302重定向，引导用户进入登录页面登录；

步骤六.用户输入正确的身份信息，统一认证中心引导用户访问对应服务。

9.一种电子设备，其特征在于，包括存储器和处理器，存储器存储有计算机程序，所述的处理器执行所述计算机程序时实现权利要求2-7任一项所述的一种创建安全网关的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求2-7任一项所述的一种创建安全网关的方法。