【技术实现步骤摘要】
本专利技术涉及计算机及通信
,尤其涉及一种访问控制方法及一种访问控制设备。
技术介绍
随着互联网应用的迅速发展,计算机网络在社会生活的各个领域迅速普及,使得人们获取、共享和传播信息更加方便,但同时也给企业的管理者带来了困扰:员工随意不受控地访问非法网站,不仅严重影响工作效率而且对企业信息安全造成威胁。对于相当多企业的管理者而言,希望员工在上班时间不要访问娱乐、体育、新闻等与工作无关的网站,而是只访问工作相关的网站。基于统一资源定位符(UniformResourceLocator,简称URL)的白名单机制是实现上述目的的一种常见的现有技术。基于URL的白名单机制的实现原理是:在网关、防火墙等网络接入设备中预先存储一个白名单,该白名单中仅包含;网络接入设备接收到来自于所连接的企业网络(例如企业局域网)中的用户发起的网络访问请求后,从网络访问请求中提取请求访问的网络资源的URL,判断所提取的URL是否属于上述白名单;若所提取的URL不属于上述白名单,则阻断该网络访问请求;若所提取的URL属于上述白名单,则将该网络访问请求发送到互联网。目前很多网站页面中都内嵌有其他网站的URL,例如中国软件开发联盟的网站页面URLhttp://bbs.csdn.net/home中内嵌有以图片链接或文字链接方式呈现的猎聘网URLhttp://www.liepin.com/等其网站URL,以图片链接为例,页面URLhttp://bbs.csdn.net/home中的一个静态或动态图片实际是由URLhttp://www.liepi ...
【技术保护点】
一种访问控制方法,其特征在于,包括:接收来自企业网络的第一网络访问请求,所述第一网络访问请求携带第一URL;判断所述第一URL是否记录于预先设置的第一白名单;基于所述第一URL记录于所述第一白名单的判断结果,向互联网中的服务器转发所述第一网络访问请求;接收来自所述服务器的对所述第一网络访问请求的响应;建立第二白名单,所述第二白名单中保存有所述响应中携带的至少一个第二URL;接收来自所述企业网络的第二网络访问请求,所述第二网络访问请求携带第三URL;判断所述第三URL是否记录于所述第二白名单;基于所述第三URL记录于所述第二白名单的判断结果,向互联网发送所述第二网络访问请求。
【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:
接收来自企业网络的第一网络访问请求,所述第一网络访问请求携带第一
URL;
判断所述第一URL是否记录于预先设置的第一白名单;
基于所述第一URL记录于所述第一白名单的判断结果,向互联网中的服务
器转发所述第一网络访问请求;
接收来自所述服务器的对所述第一网络访问请求的响应;
建立第二白名单,所述第二白名单中保存有所述响应中携带的至少一个第
二URL;
接收来自所述企业网络的第二网络访问请求,所述第二网络访问请求携带
第三URL;
判断所述第三URL是否记录于所述第二白名单;
基于所述第三URL记录于所述第二白名单的判断结果,向互联网发送所述
第二网络访问请求。
2.根据权利要求1所述的方法,其特征在于,在建立第二白名单之前,
还包括:
确定第一网络访问请求属于新建会话,所述新建会话是指完成用以建立会
话的三次握手且未交互业务数据的会话,基于上述确定结果,建立第二白名单。
3.根据权利要求2所述的方法,其特征在于,所述判断所述第三URL是
否记录于所述第二白名单之前,还包括:
确定所述第二网络访问请求属于所述第一网络访问请求所在的会话;
基于确定结果,执行判断所述第三URL是否记录于所述第二白名单的步骤。
4.根据权利要求1或2所述的方法,其特征在于,所述判断所述第三URL
是否记录于所述第二白名单之前,还包括:
基于所述第二网络访问请求不属于所述第一网络访问请求所在的会话的
确定结果,判断所述第三URL是否记录于所述第一白名单;
基于所述第三URL未记录于所述第一白名单的判断结果,执行判断所述第
三URL是否记录于所述第二白名单的步骤。
5.根据权利要求4任一所述的方法,其特征在于,所述第二白名单中还
包括时间戳、以及所述第一网络访问请求携带的用户代理标识、源地址,所述
时间戳为接收到所述第一网络访问请求的时间、或接收到所述第一网络访问请
求对应的响应的时间;
基于所述第三URL记录于所述第二白名单的判断结果,向服务器发送所述
第二网络访问请求的步骤,包括:
基于所述第三URL记录于所述第二白名单的判断结果,确定所述第二网络
访问请求的源地址与所述第二白名单中的源地址是否相同、所述第二网络访问
请求携带的用户代理标识与所述第二白名单中的用户代理标识是否相同、接收
到所述第二网络访问请求的时间与所述第二白名单中的时间戳之间的差值是
否在预先设定的范围内;
基于所述第二网络访问请求的源地址与所述第二白名单中的源地址相同、
所述第二网络访问请求携带的用户代理标识与所述第二白名单中的用户代理
标识相同、且接收到所述第二网络访问请求的时间与所述第二白名单中的时间
戳之间的差值在预先设定的范围内的确定结果,执行所述向互联网发送所述第
二网络访问请求的步骤。
6.根据权利要求1至5中任一所述的方法,其特征在于,所述建立第二
白名单之后,还包括:
设定所述第二白名单对应的老化时间,所述老化时间用于指示所述第二白
名单保存的时间长度。
7.一种网络接入设备,其特征在于,包括存储器、处理器以及网络接口,
所述存储器、所述处理器以及所述网络接口通过总线连接,
所述网络接口用于接收来自企业网络的第一网络访问请求,所述第一网络
访问请求携带第一URL;
所述处理器用于读取所述存储器中存储的程序代码,执行以下操作:
判断所述第一URL是否记录于预先设置的第一白名单;
基于所述第一URL记录于所述第一白名单的判断结果,指示所述网络接口
向所述服务器转发所述第一网络访问请...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。