一种防火墙穿透方法及系统

一种防火墙穿透方法及系统

　　技术领域

　　本发明涉及防火墙穿透领域，尤其涉及一种防火墙穿透方法及系统。

　　背景技术

　　近年来，由于信息安全事件越来越多，防火墙安全策略对内部应用系统控制非常严格，但是在实际中往往由于技术水平、防火墙、路由等原因，很难实现内网与外网的访问，例如内网中某台服务器应用系统开放，该服务仅能供内网用户使用，而外网用户根本没有办法直接访问，因此，要想让外网用户能够访问局域网中的系统服务，通过IP地址和端口号互换，即可实现防火墙穿透技术。

　　发明内容

　　本发明的目的在于提供一种防火墙穿透方法及系统，客户端基于IP地址和端口号与主机端建立通信连接，进而穿透防火墙。

　　为实现上述目的，本发明的技术方案如下：

　　一种防火墙穿透方法，应用于防火墙穿透系统，包括客户端、服务器和主机端，且在客户端与主机端之间设置有用于过滤客户端与主机端通信的防火墙，包括如下步骤：

　　主机端与服务器通信连接；

　　客户端发送IP报文至服务器，主机端获取客户端IP报文的数据包括客户端的IP地址和端口号；

　　主机端发送IP报文，其报文的目的地址和目的端口号为客户端的IP地址和端口号；

　　客户端从服务器获取主机端的IP地址和端口号；

　　客户端再次发出IP报文，其报文的目的地址和目的端口号为主机端的IP地址和端口号，从而穿透防火墙与主机端通信连接。

　　进一步地，所述客户端包括应用模块，所述应用模块用于直接通告客户端即将使用的IP地址和端口号。

　　进一步地，所述客户端还包括与应用模块通信连接的通告模块，所述通告模块用于监控客户端发向主机端的特定IP地址和端口号。

　　一种防火墙穿透系统，包括客户端、服务器和主机端，所述客户端与主机端之间设置有用于过滤客户端与主机端通信的防火墙，所述主机端与服务器通信连接，所述客户端发送IP报文至服务器，主机端获取客户端IP报文数据中的IP地址和端口号，主机端发送IP报文，其报文的目的地址和目的端口号为客户端的IP地址和端口号；客户端从服务器获取主机端的IP地址和端口号；客户端再次发出IP报文，其报文的目的地址和目的端口号为主机端的IP地址和端口号，从而穿透防火墙与主机端通信连接。

　　进一步地，所述客户端包括应用模块和与所述应用模块通信连接的通告模块，所述应用模块用于直接通告客户端的IP地址和端口号，并发送至通告模块，所述通告模块用于监控客户端发向主机端的特定IP地址和端口号。

　　与现有技术相比，本发明的防火墙穿透方法及系统的有益效果为，客户端与主机端通过服务器互换IP地址和端口号，进而穿透防火墙，建立安全可靠的数据通信通道，操作简单且通用性高。

　　附图说明

　　构成说明书一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理，参照附图，可以更加清楚地理解本发明：

　　图1是本发明基于五元组匹配规则的防火墙穿透方法的流程图。

　　具体实施方式

　　下面结合附图和实施例对本发明的技术方案做进一步的详细说明。

　　如图1所示，一种防火墙穿透方法，应用于防火墙穿透系统，包括客户端、服务器和主机端，且在客户端与主机端之间设置有用于过滤客户端与主机端通信的防火墙，包括如下步骤：

　　步骤一，主机端与服务器通信连接；

　　步骤二，客户端发送IP报文至服务器，主机端获取客户端IP报文的数据包括客户端的IP地址和端口号；

　　步骤三，主机端发送IP报文，其报文的目的地址和目的端口号为客户端的IP地址和端口号；

　　步骤四，客户端从服务器获取主机端的IP地址和端口号；

　　步骤五，客户端再次发出IP报文，其报文的目的地址和目的端口号为主机端的IP地址和端口号，从而穿透防火墙与主机端通信连接。

　　其中，客户端包括应用模块，所述应用模块用于直接通告客户端即将使用的IP地址和端口号；客户端还包括与应用模块通信连接的通告模块，所述通告模块用于监控客户端发向主机端的特定IP地址和端口号。

　　一种防火墙穿透系统，包括客户端、服务器和主机端，主机端与服务器采用TCP或UDP等协议通信连接，客户端发送IP报文至服务器，主机端获取客户端IP报文数据中的IP地址和端口号，主机端发送IP报文，其报文的目的地址和目的端口号为客户端的IP地址和端口号；客户端从服务器获取主机端的IP地址和端口号；客户端再次发出IP报文，其报文的目的地址和目的端口号为主机端的IP地址和端口号，从而穿透防火墙与主机端通信连接。

　　作为本发明的一实施例，客户端包括应用模块和与应用模块通信连接的通告模块，应用模块用于直接通告客户端的IP地址和端口号，并发送至通告模块；通告模块用于监控客户端发向主机端的特定IP地址和端口号。

　　当客户端为第三方应用程序，应用模块无法直接获知第三方应用程序的IP地址和端口号，则需要通过通告模块监控第三方应用程序发出IP报文，从中获取IP地址和端口号，并经报文的形式传输至服务器。

　　通常，应用模块和通告模块均为常见的软件应用程序，采用直接通告或间接监控的方式获取客户端的IP地址和端口号。

　　本发明的防火墙穿透方法及系统，客户端与主机端通过服务器互换IP地址和端口号，实现穿透防火墙，建立安全可靠的数据通信通道，操作简单且通用性高。

　　以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是，以上所述仅为本发明的具体实施方式，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应含在本发明的保护范围之内。