本发明专利技术实施例涉及计算机技术领域,公开了一种零信任中保护应用流量的方法、装置及计算设备,该方法包括:终端侧的代理接收到应用流量数据时,获取流量主机地址;判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中;根据判断结果对应用流量进行区分和分流。通过上述方式,本发明专利技术实施例能够正确识别保护和非保护应用流量并进行分流,算法简单。算法简单。算法简单。
【技术实现步骤摘要】
零信任中保护应用流量的方法、装置及计算设备
[0001]本专利技术实施例涉及计算机
,具体涉及一种零信任中保护应用流量的方法、装置及计算设备。
技术介绍
[0002]在零信任网络运行场景下,通常会同时使用公共应用和受零信任保护的应用,比如说同时使用百度网站与自己的办公自动化(Office Automation,OA)系统,而且可能在同一浏览器中,也可能在不同应用软件上,那么如何区分流量并且实现保护成为需要解决的问题。区分流量很简单,因为它们的地址不一样,或者说域名不一样,难点在于如何把受保护的应用流量和非受保护流量分开实现保护应用流量安全进入接入网关,公众应用流量直接走本机出口。
[0003]现有技术中可以通过修改主机hosts,因为在设备访问网络的过程中首先在hosts里找到命名主机对应的IP进行访问的。只要在这里进行重定向,就可以把对应受保护的流量指向需要流向的主机。这种方法缺陷很多,特别不适用于零信任网络。首先,在零信任网络中,虽然受保护流量能被重定向,但是这个流量无法被封装加密,被中间劫持怎么办,所以它无法解决中间人攻击问题。其次,很多杀毒软件会禁止软件改这个的。还有应该最主要的问题,如果该主机是通过代理上网的,这样做将无法上网。因此,这种方法无法在零信任环境中顺利使用。
[0004]现有技术中也可以是修改DNS,就是把主机的DNS改成特定的DNS服务器,然后这个DNS进行受保护和非受保护的流量的主机解析,这种方法效果等同于第一种。这种方法基本上等同于前一种,不过比前一种的好处是杀毒软件不会提拦截修改DNS的。
技术实现思路
[0005]鉴于上述问题,本专利技术实施例提供了一种零信任中保护应用流量的方法、装置及计算设备,克服了上述问题或者至少部分地解决了上述问题。
[0006]根据本专利技术实施例的一个方面,提供了一种零信任中保护应用流量的方法,所述方法包括:终端侧的代理接收到应用流量数据时,获取流量主机地址;判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中;根据判断结果对应用流量进行区分和分流。
[0007]在一种可选的方式中,所述接收到应用流量数据时,获取流量主机地址之前,包括:在终端侧设置一个代理,支持socks5和http代理协议,设定所述代理的本机地址和端口;所述代理开机时,从所述零信任网关获取受保护的虚拟地址信息,形成所述保护应用虚拟地址表,并保存到内存中。
[0008]在一种可选的方式中,所述获取流量主机地址,包括:根据代理协议从代理的指令中获取所述流量主机地址。
[0009]在一种可选的方式中,所述根据判断结果对应用流量进行区分和分流,包括:如果存在于所述保护应用虚拟地址表,则将受保护的应用流量放入零信任网关,并通过所述零
信任网关与应用服务器进行流量交互;如果不存在于所述保护应用虚拟地址表,则控制所述应用流量走原有通道进行流量交互。
[0010]在一种可选的方式中,所述将受保护的应用流量放入零信任网关,包括:建立代理与所述零信任网关之间的流量通道;应用所述流量通道将受保护的所述应用流量放入所述零信任网关。
[0011]根据本专利技术实施例的另一个方面,提供了一种零信任中保护应用流量的方法,包括:零信任网关接收从终端侧传输的受保护的应用流量;确定所述应用流量的流量主机地址是否在预存的保护应用虚拟地址表中;如果是,则根据所述保护应用虚拟地址表找到应用的真实地址;根据所述真实地址建立所述零信任网关与应用服务器之间的流量通道以进行流量交互。
[0012]根据本专利技术实施例的另一个方面,提供了一种零信任中保护应用流量的装置,所述装置包括:第一流量接收单元,用于终端侧的代理接收到应用流量数据,并获取流量主机地址;第一判断单元,用于判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中;流量区分单元,用于如果存在于所述保护应用虚拟地址表,则将受保护的应用流量放入零信任网关,并通过所述零信任网关与应用服务器进行流量交互;如果不存在于所述保护应用虚拟地址表,则控制所述应用流量走原有通道进行流量交互。
[0013]根据本专利技术实施例的另一个方面,提供了一种零信任中保护应用流量的装置,所述装置包括:第二流量接收单元,用于零信任网关接收从终端侧传输的受保护的应用流量;第二判断单元,用于确定所述应用流量的流量主机地址是否在预存的保护应用虚拟地址表中;地址获取单元,用于如果是,则根据所述保护应用虚拟地址表找到应用的真实地址;通道建立单元,用于根据所述真实地址建立所述零信任网关与应用服务器之间的流量通道以进行流量交互。
[0014]根据本专利技术实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
[0015]所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述零信任中保护应用流量的方法的步骤。
[0016]根据本专利技术实施例的又一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述零信任中保护应用流量的方法的步骤。
[0017]本专利技术实施例通过终端侧的代理接收到应用流量数据时,获取流量主机地址;判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中;根据判断结果对应用流量进行区分和分流,能够正确识别保护和非保护应用流量并进行分流,算法简单。
[0018]上述说明仅是本专利技术实施例技术方案的概述,为了能够更清楚了解本专利技术实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0019]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通
技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0020]图1示出了本专利技术实施例提供的零信任中保护应用流量的方法的流程示意图;
[0021]图2示出了本专利技术实施例提供的又一零信任中保护应用流量的方法的流程示意图;
[0022]图3示出了本专利技术实施例提供的另一零信任中保护应用流量的方法示意图;
[0023]图4示出了本专利技术实施例提供的零信任中保护应用流量的装置的结构示意图;
[0024]图5示出了本专利技术实施例提供的又一零信任中保护应用流量的装置的结构示意图;
[0025]图6示出了本专利技术实施例提供的计算设备的结构示意图;
[0026]图7示出了本专利技术实施例提供的又一计算设备的结构示意图。
具体实施方式
[0027]下面将参照附图更详细地描述本专利技术的示例性实施例。虽然附图中显示了本专利技术的示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种零信任中保护应用流量的方法,其特征在于,所述方法包括:终端侧的代理接收到应用流量数据时,获取流量主机地址;判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中;根据判断结果对应用流量进行区分和分流。2.根据权利要求1所述的方法,其特征在于,所述接收到应用流量数据时,获取流量主机地址之前,包括:在终端侧设置一个代理,支持socks5和http代理协议,设定所述代理的本机地址和端口;所述代理开机时,从所述零信任网关获取受保护的虚拟地址信息,形成所述保护应用虚拟地址表,并保存到内存中。3.根据权利要求1所述的方法,其特征在于,所述获取流量主机地址,包括:根据代理协议从代理的指令中获取所述流量主机地址。4.根据权利要求1所述的方法,其特征在于,所述根据判断结果对应用流量进行区分和分流,包括:如果存在于所述保护应用虚拟地址表,则将受保护的应用流量放入零信任网关,并通过所述零信任网关与应用服务器进行流量交互;如果不存在于所述保护应用虚拟地址表,则控制所述应用流量走原有通道进行流量交互。5.根据权利要求4所述的方法,其特征在于,所述将受保护的应用流量放入零信任网关,包括:建立代理与所述零信任网关之间的流量通道;应用所述流量通道将受保护的所述应用流量放入所述零信任网关。6.一种零信任中保护应用流量的方法,其特征在于,所述方法包括:零信任网关接收从终端侧传输的受保护的应用流量;确定所述应用流量的流量主机地址是否在预存的保护应用虚拟地址表中;如果是,则根据所述保护应用虚拟地址表找到应用的真实地址;根据所述真实地址建立所述零信任网...
【专利技术属性】
技术研发人员:范端胜,刘可,赵静谧,
申请(专利权)人:深圳竹云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。