一种用户访问未授权资源的提示方法及装置制造方法及图纸

本申请提供一种用户访问未授权资源的提示方法及装置。本申请中在用户访问未授权访问页面时，向客户端返回无权限提示页面，使得客户端的用户能够据此获知无法访问的原因，避免客户端处的用户由于不了解原因而上报管理员，无需管理员对相关问题的排查，便于网络维护。

A prompting method and device for users to access unauthorized resources

This application provides a method and device for prompting users to access unauthorized resources. In this application, when a user visits an unauthorized page, he returns an unauthorized prompt page to the client, which enables the client user to know the reason for inaccessibility, avoids the user at the client to report to the administrator because he does not know the reason, and does not need the administrator to investigate the relevant problems, so as to facilitate network maintenance.

【技术实现步骤摘要】
一种用户访问未授权资源的提示方法及装置
本申请涉及互联网领域，具体涉及一种用户访问未授权资源的提示方法及装置。
技术介绍
ACL(AccessControlList)全称访问控制列表，是一种控制流的工具，应用在交换路由设备的虚拟接口或者物理接口等，网络设备根据ACL中指定的匹配条件来检测数据包，从而决定该数据包转发或者丢弃。若通过配置ACL设置主机A只有内网权限，当主机A访问外网资源时，网络设备匹配到主机A的源地址、外网的目的地址等属性信息的ACL时，则执行丢包动作，使得主机A的使用者因无法访问外网而询问网络管理员，当用户量很大时，管理员无法快速判断主机A到底是因何缘由无法上网，可能需要对线路故障、ACL配置、防火墙安全策略等可能的原因逐一排查，导致管理员的工作负担大，降低使用者、管理员双方的工作效率。
技术实现思路
有鉴于此，本申请提供一种用户访问未授权资源的提示方法及装置。具体地，本申请是通过如下技术方案实现的：根据本申请的第一方面，提出了一种用户访问未授权资源的提示方法，包括：接收客户端发送的外网连接请求；在所述外网连接请求因匹配第一ACL规则不能被放行的情况下，与所述客户端建立连接；通过所述连接向所述客户端返回带有权限提示信息的页面。根据本申请的第二方面，提出了一种业务实现装置，包括：接收单元，接收客户端发送的外网连接请求；连接单元，在所述外网连接请求因匹配第一ACL规则不能被放行的情况下，与所述客户端建立连接；提示单元，通过所述连接向所述客户端返回带有权限提示信息的页面。由以上技术方案可见，本申请中在用户访问未授权访问页面时，通过设置网络设备向客户端返回无权限提示页面的方式替代现有技术中连接请求直接丢包的方式，使得客户端的用户能够据此获知无法访问的原因，避免客户端处的用户由于不了解原因而上报管理员，无需管理员对相关问题的排查，便于网络维护。附图说明图1是本申请提供的实施例应用组网图；图2是根据本申请一示例性实施例中的内网主机用户访问未授权资源的提示方法流程图；图3是根据本申请一示例性实施例中的一种用户访问未授权资源的提示方法的流程图；图4是根据本申请一示例性实施例中的另一种用户访问未授权资源的提示方法的流程图；图5是根据本申请一示例性实施例中的带有权限提示信息的页面；图6是根据本申请一示例性实施例中的一种电子设备的示意结构图；图7是根据本申请一示例性实施例中的一种用户访问未授权资源提示装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。在本专利技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本专利技术。在本专利技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。参见图1，图1为本申请实施例的应用组网图，本领域技术人员可以理解的是内网中存在多个客户端，所述多个客户端均与网络设备相连，所述网络设备可以是路由器、路由交换设备等，所述网络设备与外网连接。在具体实施方式中，通过在路由器上配置的ACL规则为主机设置网路访问权限，例如设置组网图中PC1没有外网访问权限，当PC1的使用者访问外网时，路由器通过预设置的ACL规则匹配到其源地址、目的地址不具备所述外网的访问权限，则执行丢包动作。但现有技术中路由器的丢包动作并不会通知源地址对应的主机PC1，因而使用该主机的用户在访问外网被拒后，无法得知不能上网的原因。为了解决上述问题，在现有解决方案中一般方案是在PC1不停的访问互联网失败后，主机PC1用户联系管理员审查设备配置和分析丢包原因，例如对线路故障、防火墙安全策略等可能的原因逐一排查，或者在路由器丢包时，发送日志到管理平台，管理员通过查询日志定位丢包原因，因而一旦用户无上外网权限的时候均需要联系管理员参与排查。如前所述，管理员无法快速判断主机不能上网的原因，排查过程事实上需要消耗较多时间，因而当用户量很大时，不仅对管理员工作造成负担，人力成本较高而且影响主机用户的工作效率和上网体验，不利于网络维护。有鉴于此，本申请提供一种用户访问未授权资源的提示方法，当用户访问无权限资源时，路由器向用户发出无权限提示的方法，从而使用户得知不能访问网站的原因，节省人力物力，提高处理效率。下面结合附图，对本专利技术的具体实施方案进行详细阐述。请参见图2，图2是根据本申请一示例性实施例中的内网主机用户访问未授权资源的提示方法流程图，其中包括：步骤201，接收客户端发送的外网连接请求。在一实施例中，客户端可以为内网中任一与服务端互相配合运行、为客户提供本地服务的硬件设备，例如任一台电脑或者移动设备。当内网主机用户在访问网络连接之前，需向网络设备发送网络连接请求，将目的地址、端口号等信息发送至网络设备，网络设备以自己的身份和对方联络，同时将对方返回的消息提供至内网用户。在一实施例中，网络设备接收来自内网客户端访问外网的连接请求报文，所述外网连接请求报文可以包括参数值，参数值包括诸如源IP地址、目的IP地址、源端口、目的端口以及连接协议类型等属性信息，在另一个例子中，可以使用用户、入接口、出接口、目的地址等属性信息作为用户主机及其访问目的地址的标识信息，当然也可以用其他属性信息来唯一确定出某一客户端或客户端的使用者及其要访问的目的地址，本申请在此不做限定。步骤202，在所述外网连接请求因匹配第一ACL规则不能被放行的情况下，与所述客户端建立连接。网络设备依据所配置的第一ACL规则对所接收的连接请求进行匹配，在该连接请求因匹配第一ACL规则不能被放行的情况下，获取所述外网连接请求中的目的地址，网络设备使用所述目的地址响应与客户端的连接请求以建立连接。在一个实施例中，网络设备使用会话属性中的目的地址与客户端建立的连接可以为TCP连接，所述访问可以为HTTP访问，建立连接的过程可以为客户端发送SYN数据包到网络设备，在接收到客户端的请求后，网络设备使用目的地址向客户端发送一个设置SYN与ACK标志位的TCP数据包和另设置一个比客户端发送来的ISN大1个单位的ISN值作为SYN_ACK数据包向客户端做出应答，接收客户端发送的一个带有ACK应答和增1后的ISN标志来确认SYN_ACK完成与客户端建立TCP连接。在另一个实施例中，网络设备使用会话属性中的目的地址与客户端建立的连接可以为STCP连接，作为TCP协议的改进协议，SCTP协议通过四次握手建立连接，本申请在此不对连接建立方式进行限定。步骤203，通过所述连接向所述客户端返回带有权限提示信息的页面。在一实施例中，可以监测连接的状态信息，并基于该状态信息确定是否需要向客户端响应带有权限提示信息的页面；例如，当所述连接状态信息为已建立连接的状态时，即可向客户端响应带有权限提示信息的页面。在另一实施例中，可以根据所述连接的会话属性信息生成第二ACL规则，截获客户端在已建立本文档来自技高网...

【技术保护点】
1.一种用户访问未授权资源的提示方法，应用于网络设备上，其特征在于：接收客户端发送的外网连接请求；在所述外网连接请求因匹配第一ACL规则不能被放行的情况下，与所述客户端建立连接；通过所述连接向所述客户端返回带有权限提示信息的页面。

【技术特征摘要】
1.一种用户访问未授权资源的提示方法，应用于网络设备上，其特征在于：接收客户端发送的外网连接请求；在所述外网连接请求因匹配第一ACL规则不能被放行的情况下，与所述客户端建立连接；通过所述连接向所述客户端返回带有权限提示信息的页面。2.根据权利要求1所述的方法，其特征在于，所述与客户端建立连接，包括：获取所述外网连接请求中的目的地址；使用所述目的地址响应所述客户端的连接请求。3.根据权利要求1所述的方法，其特征在于，所述通过所述连接向所述客户端返回带有权限提示信息的页面，包括：监测所述连接的状态信息；当所述状态信息为已建立状态时，向所述客户端响应带有权限提示信息的页面。4.根据权利要求1所述的方法，其特征在于，所述通过所述连接向所述客户端返回带有权限提示信息的页面，包括：根据所述连接的会话属性生成第二ACL规则；截获所述客户端在所述连接上发起的访问；当所述访问的属性信息匹配所述第二ACL规则时，向所述客户端发送带有权限提示信息的页面。5.根据权要求4所述的方法，其特征在于，所述第二ACL规则的匹配优先级大于所述第一ACL规则的匹配优先级。6.根据权利要求4所述的方法，其特征在于，还包括：针对第二ACL规则设定老化时长T1；在所述老化时长T1到达时，删除所述第二ACL规则；其中，所述老化时长T1小于第一ACL规则的...

【专利技术属性】
技术研发人员：张晓杰，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33