本申请提供一种共享接入的检测方法,该方法可应用于局域网的网关设备,可包括:收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;基于所述预设的标识字段,判断所述用户终端的终端类型;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。使用本申请提供的方法,可实现通过预配置的策略组对接入的用户终端进行管控,以提高公司内网的安全性。
【技术实现步骤摘要】
共享接入的检测方法及装置
本申请涉及计算机通信领域,尤其涉及共享接入的检测方法及装置。
技术介绍
网络共享接入是指多台用户终端通过NAT(NetworkAddressTranslation,网络地址转换)、HTTP代理等方式,共享一个公网IP进行上网的行为。然而,在实际应用中,很多员工采用共享接入的方式通过公司内网环境进行上网,例如在公司网络环境中私建无线热点进行上网,从而大大降低了公司的内网安全。
技术实现思路
有鉴于此,本申请提供一种共享接入的检测方法及装置,用以通过预配置的策略组对接入的用户终端进行管控,以提高公司内网的安全性。具体地,本申请是通过如下技术方案实现的:根据本申请的第一方面,提供一种共享接入的检测方法,所述方法应用于局域网的网关设备,所述方法包括:收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;基于所述预设的标识字段,判断所述用户终端的终端类型;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。根据本申请的第二方面,提供一种共享接入的检测装置,所述装置应用于局域网的网关设备,所述装置包括:获取单元,用于收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;判断单元,用于基于所述预设的标识字段,判断所述用户终端的终端类型;匹配单元,用于如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。本申请提出一种共享接入的检测方法,通过网关设备收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段,并可基于所述预设的标识字段,判断所述用户终端的终端类型。如果所述用户终端是移动终端,网关设备可将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并基于匹配到的策略对用户终端进行接入控制,因此可有效地提高网络环境的安全性。附图说明图1是本申请一示例性实施例示出的一种共享接入的检测方法的流程图;图2是本申请一示例性实施例示出的一种共享接入的检测装置所在设备的硬件结构图;图3是本申请一示例性实施例示出的一种共享接入的检测装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。随着互联网,尤其是无线网络的迅速发展,主要依赖于无线网络的移动设备也日益增多,成为人们生活中不可缺少的一部分。然而,在实际应用中,尤其是对内网安全性要求较高的应用中,例如公司内部网络,很多员工采用共享接入的方式通过公司内网环境进行上网,例如在公司网络环境中私建无线热点进行上网,由于缺乏对共享接入的终端设备的管理控制,所以大大降低了公司的内网安全。本申请提出一种共享接入的检测方法,通过网关设备收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段,并可基于所述预设的标识字段,判断所述用户终端的终端类型。如果所述用户终端是移动终端,网关设备可将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略对应的预配置的IP列表类型不同。由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并基于匹配到的策略对用户终端进行接入控制,因此可有效地提高网络环境的安全性。参见图1,图1是本申请一示例性实施例示出的一种共享接入的检测方法的流程图,该共享接入的检测方法可包括如下所述步骤。步骤101:网关设备收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;步骤102:网关设备基于所述预设的标识字段,判断所述用户终端的终端类型;步骤103:如果所述用户终端是移动终端,网关设备将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略对应被预配置的IP列表类型不同。其中,上述标识字段,主要用于标识用户终端的终端类型,如移动用户终端、PC终端等。上述标识字段可为HTTP报文中的UA(User-Agent,用户代理)字段。通常UA字段可携带用户终端的操作系统及其版本、CPU类型、浏览器及其版本、浏览器渲染引擎、浏览器语言、浏览器插件等信息。网关设备可通过UA字段携带的信息,识别用户终端的终端类型。当然,上述标识字段也可为开发人员添加的字段,这里只是对标识字段进行示例性地说明,不对其进行具体地限定。上述预设的策略组,可包含若干个不同类型的策略。每个策略都可包括匹配项和执行动作,匹配项用于策略匹配,执行动作可用于基于匹配到的策略对匹配对象,如用户终端,执行相应的处理。例如,假设上述策略为白名单策略,该白名单策略的匹配项可为若干个受信IP地址,执行动作可为对用户终端的交互报文进行转发等。在本申请实施例中,上述策略组中的策略的匹配项可为IP地址列表,并且每种类型的策略的匹配项所对应的IP地址列表不同。例如,该策略组可包括白名单策略,白名单策略的匹配项可为预先配置的若干个受信IP。该策略组可还包括告警策略,告警策略的匹配项可为预先设置的第一网段。这里只是对策略组,策略及其匹配项和执行动作的示例性说明,不对其进行具体地限定。在本申请实施例中,由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并本文档来自技高网...
【技术保护点】
一种共享接入的检测方法,其特征在于,所述方法应用于局域网的网关设备,所述方法包括:收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;基于所述预设的标识字段,判断所述用户终端的终端类型;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。
【技术特征摘要】
1.一种共享接入的检测方法,其特征在于,所述方法应用于局域网的网关设备,所述方法包括:收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;基于所述预设的标识字段,判断所述用户终端的终端类型;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。2.根据权利要求1所述的方法,其特征在于,所述预设的策略组包括白名单策略;所述白名单策略的匹配项包括若干个受信IP地址,执行动作包括转发动作;所述白名单策略的优先级高于策略组中的其他策略;所述基于匹配到的策略,对所述用户终端进行接入控制,包括:将所述用户终端的IP地址与所述白名单策略进行匹配;如果所述用户终端的IP地址与所述白名单策略匹配项中的任一受信IP地址匹配,则转发所述用户终端的交互报文。3.根据权利要求2所述的方法,其特征在于,所述策略组还包括告警策略和阻断策略;其中,所述告警策略的匹配项包括预设的第一网段,执行动作包括告警动作;所述阻断策略的匹配项包括预设的第二网段,执行动作包括阻断转发动作;所述基于匹配到的策略,对所述用户终端进行接入控制,还包括:如果所述用户终端的IP地址与所述白名单策略匹配项中所有的受信IP地址都不匹配,则将所述用户终端的IP地址进一步与所述告警策略和所述阻断策略进行匹配;如果所述用户终端的IP地址属于所述告警策略匹配项的预设的第一网段,则进行告警;如果所述用户终端的IP地址属于所述阻断策略匹配项的预设的第二网段,则在预设的时长内阻断所述用户终端的报文转发。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:基于匹配到的策略中的执行动作对所述报文进行处理后,生成与该执行动作对应的日志文件;将生成的日志文件通过预设的可视化界面输出。5.根据权利要求1所述的方法,其特征在于,所述预设的标识字段为UA...
【专利技术属性】
技术研发人员:魏方征,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。