(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211030956.7 (22)申请日 2022.08.26 (71)申请人 福建省海峡星云信息科技有限公司 地址 350100 福建省闽侯县南屿镇尧溪路3 号电子信息集团科学工业园一号厂房 第1层 (72)发明人 庄锐芳　郑安陈　 (74)专利代理 机构 重庆百润洪知识产权代理有 限公司 5 0219 专利代理师 沈锋 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 67/10(2022.01) H04L 67/1001(2022.01) (54)发明名称 一种内网访问互联网的方法及系统 (57)摘要 本发明公开一种内网访问互联网的方法及 系统， 其方法包括步骤： S1、 互联网用户端 通过域 名解析访问托管云负载均衡器入口， 由均衡器将 数据流向对外服务器； S2、 对外服务器上通过反 向代理web服务器将数据流反向代理到后端的中 间件服务器的自研中间件应用； S3、 自研中间件 应用接受外部服务器请求进行逻辑处理； S4、 逻 辑处理成功后， 反向代理web服务器将用户的流 入数据流再行一次合法的多层反向代理。 通过 nginx(反向代理web服务器)转发后， 互联网可以 快速、 安全访问内部的业务系统， 并且通过自研 中间件应用获取到用户信息， 实现单点登录到业 务系统。 即实现内外网阻隔， 又不影响业务系统 访问。 权利要求书1页 说明书5页 附图4页 CN 115459970 A 2022.12.09 CN 115459970 A 1.一种内网访问互联网的方法， 其特 征在于， 包括 步骤： S1、 互联网用户端通过域名解析访 问托管云负载均衡器入口， 由均衡器将数据流向对 外服务器； S2、 对外服务器上通过反向代理web服务器将数据流反向代理到后端的中间件服务器 的自研中间件应用； S3、 自研中间件应用接受外 部服务器请求进行逻辑处 理； S4、 逻辑处理成功后， 反向代理web服务器将用户的流入数据流再行一次合法的多层反 向代理。 2.根据权利要求1所述的一种内网访问互联网的方法及系统， 其特征在于， 步骤S3 中逻 辑处理流程步骤包括： S301、 自研中间件应用接受外网服务器的数据请求将数据流， 并提交给企业微信接口 服务器进行身份验证； 若验证失败， 返回用户无法找到用户信息的错 误给客户端； 若验证成功， 则获取到企业微信通讯录的成员信息， 则将身份验证通过的信息返回给 中间件服 务器； S302、 身份验证通过后， 获取到企业微信通讯录的成员信息， 根据获取到用户信息在自 研中间件 对该用户成员信息进行二次验证； 如验证不 通过， 则返回用户无权限访问页面； 如验证通过， 则获取到用户身份令牌， 中间件服务器会将外网用户端的数据流重新返 回给对外服 务器。 3.根据权利要求1或2所述的一种内网访 问互联网的方法及系统， 其特征在于， 步骤S4 多层反向代理的数据流为： 对外服务器传输到中间件服务器， 中间件服务器传输到后端的 各种应用服 务器； 服务器回应用户的数据流向： 后端的各种应用服务器传输到中间件服务器， 中间件服 务器传输 到对外服 务器， 对外服 务器传输 到用户端。 4.根据权利要求3所述的一种内网访问互联网的方法及系统， 其特征在于， 在反 向代理 web服务器的配置文件中， 通过正则表达式， 与转发过来 地址进行匹配。 5.一种内网访问互联网的系统， 其特征在于， 包括对外服务器、 中间件服务器和内网服 务器； 对外服务器， 用于直接连接互联网的服务器， 技术人员需通过在反向代 理web服务器上 配置转发地址作为用户访问请求 转发； 中间件服务器： 连接对外服务器以及内部服务器， 通过自研中间件应用接受访问请求， 并对企业 微信接口服 务器转发用户请求， 再对用户身份认信息进行二次认证校验； 内网服务器： 在内网办公系统对中间件服 务器获取到身份认证令牌进行 校验。权　利　要　求　书 1/1 页 2 CN 115459970 A 2一种内网访问互联网的方 法及系统 技术领域 [0001]本发明属于网络安全技术领域， 具体来说， 涉及一种内网访问互联网的方法及系 统。 背景技术 [0002]由于互联网的快速发展， 网络安全愈发重要， 很多大中小公司对于服务器管理更 加严格， 服务器不仅本身开启了系统防火墙同时建立起了物理防火墙， 这样做确实安全方 面有了一定保障， 但是同时造成了系统访问互联网提供了一定阻碍 。 [0003]在专利号为CN202010786330.3的中国发明专利中， 公开了一种内网终端访问互联 网的方法， 包括： 客户端向服务端完成请求认证并建立远程应用的连接； 所述客户端接收所 述服务端发送远程应用的虚拟界面的图像数据， 根据所述虚拟界面的图像数据显示远程应 用的虚拟界面， 所述虚拟界面包含多种类型浏览器的快捷方式图标； 所述客户端获取用户 对显示的所述虚拟界面的鼠标点击/键盘输入操作指令， 并将所述操作指令发送至所述服 务端； 所述客户端接 收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据， 并根据所述更新虚拟界面的图像数据实时更新所述远程应用的虚拟界面， 所述操作指 令是 所述用户远程操作某种浏览器访问互联网； 所述客户端持续获取所述用户的所述鼠标点 击/键盘输入操作指令， 并发送至所述服务端， 直至完成互联网的访问； 所述客户端注销认 证， 并断开远程应用的连接。 实现了在内网终端安全访问内部网络的同时， 可以安全的访问 互联网。 [0004]现有专利中的缺陷在于， 现有专利虽然实现了内网访问外网的安全性； 但缺乏多 层反向代理的验证， 无法判断其外网访问失败的原因， 导 致用户的交 互性差。 发明内容 [0005]针对现有技术中缺乏多层反向代理的验证， 无法判断其外网访问失败的原因， 导 致用户的交 互性差的问题， 本发明提供了一种内网访问互联网的方法及系统。 [0006]为实现上述 技术目的， 本发明采用的技 术方案如下： [0007]一种内网访问互联网的方法， 包括 步骤： [0008]S1、 互联网用户端通过域名解析访问托管云负载均衡器入口， 由均衡器将数据流 向对外服 务器； [0009]S2、 对外服务器上通过反向代理web服务器将数据流反向代理到后端的中间件服 务器的自研中间件应用； [0010]S3、 自研中间件应用接受外 部服务器请求进行逻辑处 理； [0011]S4、 逻辑处理成功后， 反向代理web服务器将用户的流入数据流再行一次合法的多 层反向代理。 [0012]进一步地， 步骤S3中逻辑处 理流程步骤包括： [0013]S301、 自研中间件应用接受外网服务器的数据请求将数据流， 并提交给企业微信说　明　书 1/5 页 3 CN 115459970 A 3