(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111613170.3 (22)申请日 2021.12.27 (71)申请人 武汉思普崚技术有限公司 地址 430070 湖北省武汉市东湖新 技术开 发区光谷大道308号光谷动力节能环 保科技企业孵化器 （加速器） 一期11栋 3层01室 (72)发明人 刘恒　莫冰　 (74)专利代理 机构 北京弘权知识产权代理有限 公司 11363 代理人 郭放　许伟群 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种用于引流、 回流、 远程访问的控制方法 及装置 (57)摘要 一种用于引流、 回流、 远程访问的控制方法 及装置。 本申请通过设置引流策略判断访问数据 或应答数据是否具有引流资格， 根据五元组建立 正反向会话对 数据传输方向进行限定， 根据数据 传输方向建立数据传输隧道用于转发访问数据。 通过回流设备将数据传输至安全设备检验数据 安全性， 再将通过安全性检验的数据经数据隧道 回流至引流 设备， 最后由引流设备将数据发送至 服务器或PC端。 用数据转发的形式代替数据拷贝 后， 节省了储存空间， 提升了 数据访问效率。 对有 威胁的数据做出实时反应， 提升了数据访问的安 全性， 保证 了用户端的安全运行。 权利要求书2页 说明书7页 附图2页 CN 114363027 A 2022.04.15 CN 114363027 A 1.一种用于引流、 回流、 远程访 问的控制装置， 应用于基于透明部署的网络通信系统， 所述网络通信系统包括PC端、 防火墙、 路 由器及服务器， 所述路 由器构成透明桥， 用于PC端 与服务器之间的数据 交互； 其特征在于， 所述控制装置还包括： 引流设备、 回流设备和安全 设备； 所述PC端的输出端口与所述引流设备的第一子接口连接； 所述引流设备的第 一子接口 与所述回流设备的第一子接口经数据隧道连接； 所述引流设备的第二子接口与所述防火墙 的第一子 接口连接， 所述引流设备的第二子 接口与防火墙的第一子 接口之间双向通信； 所述防火墙的第 二子接口与 所述路由器的数据交换口连接； 所述服务器的数据交换口 与所述路由器的数据交换口连接； 所述路由器的数据交换口还与所述回流设备的第一子接 口连接； 所述回流设备的第二子 接口与所述 安全设备的数据交换口连接； 所述控制装置由所述引流设备将访问数据或应答数据封装传输至所述 回流设备； 再由 所述回流设备将所述访问数据传输至所述安全设备， 又经所述回流设备将所述访问数据回 传至所述引流设备， 最终由所述引流设备与服 务器和PC端 进行数据交互； 所述引流设备被 配置为： 设置引流策略； 结合所述引流策略、 所述引流设备的第 一子接口的地址信 息和所述 回流设备的第 一子 接口的地址信息建立数据隧道； 识别PC端的访问数据， 将所述访问数据传输 至所述回流设备； 所述回流设备被配置为： 接收所述访 问数据并传输至所述安全设备， 记录当前传输的 入接口、 出接口及转发关系； 接收通过安全检验的访问数据并将所述访问数据回流至所述引流设备； 所述引流设备被进一 步配置为： 接收所述访问数据并传输 至服务器； 接收服务器的应答数据并将所述应答数据引流至所述回流设备； 所述回流设备被进一 步配置为： 接收所述应答数据并传输 至所述安全设备； 接收通过安全检验的应答数据并将所述应答数据回流至所述引流设备； 所述引流设备被进一 步配置为： 接收所述应答数据并传输 至PC端。 2.根据权利要求1所述的用于引流、 回流、 远程访 问的控制装置， 所述引流设备在进行 识别PC端的访问数据， 将所述访问数据传输 至所述回流设备时， 被进一 步配置为： 获取所述访问数据的五元组， 将所述五元组与所述引流策略进行匹配， 进行引流判定； 根据引流判定结果， 传输所述访问数据。 3.根据权利要求2所述的用于引流、 回流、 远程访问的控制装置， 所述五元组包括： 所述 访问数据的源ip、 目的ip、 协议 号、 源端口和目的端口。 4.根据权利要求2所述的用于引流、 回流、 远程访 问的控制装置， 所述引流设备在获取 所述访问数据的五元组， 将所述 五元组与所述引流策略进行匹配， 进 行引流判定时， 被进一 步配置为： 将所述五元组中的数据地址与所述引流策略中划定的ip范围进行匹配； 判定当前访问数据的入接口为引流策略中规定的桥下接口。 5.根据权利要求2所述的用于引流、 回流、 远程访 问的控制装置， 所述引流设备在根据 引流判定结果， 传输所述访问数据时， 被进一 步配置为： 若所述五元组中的信息与所述引流策略匹配成功， 判定所述访 问数据命中引流策略，权　利　要　求　书 1/2 页 2 CN 114363027 A 2建立正反向会话， 结合所述正反向会话通过数据隧道将所述访问数据传输至所述回流设 备； 若所述五元组中的信息与所述引流策略匹配失败， 判定所述访问数据未命中引流策 略， 将所述访问数据通过路由器传输 至服务器。 6.根据权利要求1所述的用于引流、 回流、 远程访 问的控制装置， 所述回流设备在接收 通过安全检验的访问数据并将所述访问数据回流至所述引流设备时， 被进一 步配置为： 配置用于回流传输所述访问数据的接口； 对所述访问数据进行封装处 理， 经所述数据隧道回流至所述引流设备。 7.根据权利要求4所述的用于引流、 回流、 远程访 问的控制装置， 所述回流设备在配置 用于回流传输所述访问数据的接口时， 被进一 步配置为： 调用所述访问数据传输 至所述回流设备时的入接口、 出接口及转发关系； 根据所述入接口、 出接口及转发关系记录， 将所述入接口设置为用于回流所述访 问数 据的回流出口。 8.根据权利要求1所述的用于引流、 回流、 远程访 问的控制装置， 所述引流设备在接收 所述访问数据并传输至服务器时， 被进一步配置为： 调用正反向会话， 按 所述正反向会话中 指定的传输端口将所述访问数据传输至防火墙； 由防火墙将所述访问数据进一步传输至服 务器。 9.一种用于引流、 回流、 远程访问的控制方法， 应用于如权利1至9中任一项所述的用于 引流、 回流、 远程访问的控制装置， 其特 征在于， 包括： 设置引流策略； 结合所述引流策略、 所述引流设备的第 一子接口的地址信 息和所述 回流设备的第 一子 接口的地址信息建立数据隧道； 识别PC端的访问数据， 将所述访问数据传输 至回流设备； 接收所述访问数据并传输 至安全设备， 记录当前传输的入接口、 出接口及转发关系； 接收通过安全检验的访问数据并将所述访问数据回流至引流设备； 接收所述访问数据并传输 至服务器； 接收服务器的应答数据并将所述应答数据引流至回流设备； 接收所述应答数据并传输 至安全设备； 接收通过安全检验的应答数据并将所述应答数据回流至引流设备； 接收所述应答数据并传输 至PC端。权　利　要　求　书 2/2 页 3 CN 114363027 A 3