【技术实现步骤摘要】
一种内网终端访问互联网的方法、装置及系统
本专利技术涉及互联网领域,特别是涉及一种内网终端访问互联网的方法、装置及系统。
技术介绍
为方便内部信息交流,企业或单位建设了自己的网络和服务资源,以供用户通过内部网络进行访问。为保证其内部网络的安全,企业或单位普遍使用网络隔离技术将内部网络和互联网进行隔离。现有网络隔离技术大致分为:一是完全的物理隔离,该技术是最有效、彻底、安全的解决方案,但使得内部网络处于信息孤岛状态,若想从互联网获取信息则需要另一台能够连接互联网的电脑,如此两套网络和系统不仅造成信息交流的不便、降低工作效率,而且提高了成本,同时也给维护管理带来了极大的不便;二是使用硬件卡、数据转播、空气开关、安全通道等隔离技术,在一定程度上有效地实现了把内外网络隔离开来,实现了内外网数据的安全交换,但存在内外网之间不断地转换的烦琐,在工作时不能方便地在互联网上浏览和交互信息;三是桌面云技术,用户终端通过网络协议连接到桌面云服务器的虚拟桌面,用虚拟机访问网络资源,数据保存在虚拟机里;虚拟机的运行需要较多的CPU、内存等资源,当企业或单位人员众多时,需要的桌面云资源较多,其总拥有成本并不低;企业或单位分配给用户的终端一般都是配置较高的台式电脑、笔记本电脑,再使用桌面云,有资源浪费的可能;当使用桌面云访问内部网络,用户终端访问互联网,则用户终端暴露在互联网上,安全防护和运维管理难度高,安全风险很大;当使用用户终端访问内部网络,桌面云访问互联网,则桌面云的虚拟机安全防护的难度、成本也不低。综上所述,用户终端安全...
【技术保护点】
1.一种内网终端访问互联网的方法,所述方法是基于远程应用的内网终端访问互联网Web服务器的方法,包括:/n客户端向服务端完成请求认证并建立远程应用的连接;/n所述客户端接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面,所述虚拟界面包含多种类型浏览器的快捷方式图标;/n所述客户端获取用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端;/n所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,并根据所述更新虚拟界面的图像数据实时更新所述远程应用的虚拟界面,所述操作指令是所述用户远程操作某种浏览器访问互联网;/n所述客户端持续获取所述用户的所述鼠标点击/键盘输入操作指令,并发送至所述服务端,直至完成互联网的访问;/n所述客户端注销认证,并断开远程应用的连接。/n
【技术特征摘要】
1.一种内网终端访问互联网的方法,所述方法是基于远程应用的内网终端访问互联网Web服务器的方法,包括:
客户端向服务端完成请求认证并建立远程应用的连接;
所述客户端接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面,所述虚拟界面包含多种类型浏览器的快捷方式图标;
所述客户端获取用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,并根据所述更新虚拟界面的图像数据实时更新所述远程应用的虚拟界面,所述操作指令是所述用户远程操作某种浏览器访问互联网;
所述客户端持续获取所述用户的所述鼠标点击/键盘输入操作指令,并发送至所述服务端,直至完成互联网的访问;
所述客户端注销认证,并断开远程应用的连接。
2.一种内网终端访问互联网的方法,所述方法是基于放开防火墙策略允许所述内网终端直接访问互联网的方法,包括:
所述服务端捕获内网终端的域名请求报文;
所述服务端获取所述域名请求报文中的域名及源IP地址;
所述服务端判断所述源IP地址是否获得访问所述域名的授权;
当判断为非授权时,所述服务端丢弃所述域名请求报文;
当判断为授权时,所述服务端将所述域名请求报文转发至互联网;
所述服务端捕获所述域名请求报文对应的域名响应报文;
所述服务端获取所述域名响应报文中解析的目的IP地址,并转发所述域名响应报文至内部网络;
所述服务端实时新增防火墙策略,放开所述源IP地址访问所述目的IP地址的网络限制;
所述服务端检测到源IP地址访问所述目的IP地址的相应TCP连接关闭或超时,删除设置的所述防火墙策略,阻断网络访问。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述客户端向所述服务端完成请求认证,则所述请求认证是否合法由所述服务端进行判断;当认证不成功,所述客户端提示所述用户重新进行认证;当认证成功,所述客户端与所述服务端建立远程应用的连接;
所述虚拟界面包含多种类型浏览器的快捷方式图标,则所述多种类型浏览器是所述服务端内置的不同厂商的浏览器,设置所述浏览器主页为上网导航;通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作;所述服务端对所述用户访问的网页中的文件打开和下载进行安全管理;
所述客户端获取所述用户对所述虚拟界面的鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端,包括:所述客户端和所述服务端之间仅允许所述用户复制和粘贴文本文件的内容和网页上显示的文本,所述服务端对粘贴的内容进行记录,写入日志文件;所述客户端和所述服务端禁止通过粘贴板功能的任何类型的文件传输;禁止所述客户端将本地的硬盘、USB设置、扫描仪映射到所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,包括:所述服务端对接收的所述客户端发送的所述鼠标点击/键盘输入操作指令进行响应,以执行对Web浏览器的操作,并将键盘输入进行记录,写入日志文件;
当所述用户对音频/视频媒体文件进行请求时,所述服务端判断所述用户是否获得授权;当所述用户未获得授权,则所述服务端拒绝所述用户对所述音频/视频媒体文件的请求;当所述用户获得授权,则所述服务端将获取的音频/视频媒体文件数据转发至所述客户端;所述客户端接收所述媒体文件数据,并将所述媒体文件数据进行解码播放。
4.根据权利要求1或3所述的方法,其特征在于,所述的方法还包括:
所述服务端判断所述客户端的所述请求认证,需要用户的特征信息;所述用户的特征信息包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;
所述服务端判断所述用户是否获得对音频/视频媒体的授权,需要资源的特征信息,以及所述用户使用所述资源的授权和所述资源是否授权给所述用户的判断;所述资源的特征信息包括资源种类,域名,端口,IP地址;所述授权是指将所述资源分配授权给所述用户;所述判断是指确定所述资源是否分配授权给所述用户。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述服务端实时新增防火墙策略,放开所述源IP地址访问所述目的IP地址的网络限制,包括:所述服务端在所述资源的特征信息中查找所述域名对应的目的端口,并根据获得的所述目的IP地址、所述目的端口、所述源IP地址,实时新增所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的防火墙策略,放开所述源IP地址访问所述目的IP地址的所述目的端口的网络限制;
所述服务端检测到所述源IP地址访问所述目的IP地址的相应TCP连接关闭或超时,删除设置的所述防火墙策略,阻断网络访问,包括:所述服务端检测到所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所有TCP连接关闭或超时,删除所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所述防火墙策略,阻断所述源IP地址访问所述目的IP地址的所述目的端口的网络访问;
当所述内网终端安装的Client客户端访问使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,所述服务端可以手工设置防火墙策略,放开所述Client客户端直接访问所述应用程序服务器Server的网络限制,直至手工删除所述防火墙策略为止。
6.一种内网终端访问互联网的客户端装置,其特征在于,包括:
控制模块,用于控制各个模块协调一致地工作;
认证及连接建立模块,用于向所述服务端完成请求认证并与所述服务端建立远程应用的连接;
界面图像处理模块,用于接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面;
其中,所述界面图像处理模块包括:接收单元,接收所述服务端发送远...
【专利技术属性】
技术研发人员:姜文志,其他发明人请求不公开姓名,
申请(专利权)人:于奎,
类型:发明
国别省市:云南;53
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。