网络访问控制方法、装置、计算机设备制造方法及图纸

本申请提供了一种网络访问控制方法、装置、计算机设备，涉及网络安全技术领域，用于提高网络访问的安全性。方法主要包括：接收专用设备发送的IPv6数据包，所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包；从所述IPv6数据包中提取规则标识信息；查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容；所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系；若存在与所述规则标识信息对应的网络动作内容，则根据所述网络动作内容进行网络访问控制。络动作内容进行网络访问控制。络动作内容进行网络访问控制。

【技术实现步骤摘要】
网络访问控制方法、装置、计算机设备


[0001]本申请涉及网络安全
，尤其涉及一种网络访问控制方法、装置、计算机设备及存储介质。

技术介绍

[0002]目前，防火墙是实现网络访问控制的一种常用方式，根据其位于协议栈的位置可分为网络层防火墙和应用层防火墙，网络层防火墙利用封包的多种属性进行过滤(IP、端口、协议等)，应用层防火墙依据封包所属的应用程序进行过滤，理论上可以完全阻隔未知应用程序的数据流进到受保护的机器；防火墙可以部署在路由器上实现对内/外网的网络访问控制，也可以部署在单个PC上实现对PC的网络访问控制。
[0003]但是，诸多防火墙的规则难以统一的进行维护和管理，规则是否活跃也难以进行判断。同时，作为硬件防火墙，在流量较大的情况下常出现防火强性能不足的情况。

技术实现思路

[0004]本申请实施例提供一种网络访问控制方法、装置、计算机设备及存储介质，用于提高网络访问的安全性。
[0005]本专利技术实施例提供一种网络访问控制方法，所述方法包括：
[0006]接收专用设备发送的IPv6数据包，所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包；
[0007]从所述IPv6数据包中提取规则标识信息；
[0008]查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容；所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系；
[0009]若存在与所述规则标识信息对应的网络动作内容，则根据所述网络动作内容进行网络访问控制。
[0010]本专利技术实施例提供另一种网络访问控制方法，所述方法包括：
[0011]获取第一终端对应的IPv6数据包，所述第一终端为数据发送方；
[0012]从所述IPv6数据包中确定对应的第二终端；所述第二终端为数据接收方；
[0013]将所述IPv6数据包发送给所述第二终端，使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容，根据所述网络动作内容进行网络访问控制；
[0014]其中，所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
[0015]本专利技术实施例提供一种终端，所述终端包括：
[0016]接收模块，用于接收专用设备发送的IPv6数据包，所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包；
[0017]提取模块，用于从所述IPv6数据包中提取规则标识信息；
[0018]查询模块，用于查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容；所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系；
[0019]控制模块，用于若存在与所述规则标识信息对应的网络动作内容，则根据所述网络动作内容进行网络访问控制。
[0020]本专利技术实施例提供一种专用设备，所述专用设备包括：
[0021]获取模块，用于获取第一终端对应的IPv6数据包，所述第一终端为数据发送方；
[0022]提取模块，用于从所述IPv6数据包中确定对应的第二终端；所述第二终端为数据接收方；
[0023]发送模块，用于将所述IPv6数据包发送给所述第二终端，使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容，根据所述网络动作内容进行网络访问控制；其中，所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
[0024]一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述网络访问控制方法。
[0025]一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述网络访问控制方法。
[0026]本专利技术提供一种网络访问控制方法、装置、计算机设备及存储介质，接收专用设备发送的IPv6数据包，该IPv6数据包是专用设备根据网络访问控制规则库验证通过的数据包；从IPv6数据包中提取规则标识信息；查询本地的网络访问控制规则列表中是否存在与规则标识信息对应的网络动作内容；该网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系；若存在与规则标识信息对应的网络动作内容，则根据网络动作内容进行网络访问控制。即本专利技术在分别在专用设备和终端侧对接收到的数据包进行验证，然后基于规则标识信息对应的网络动作内容，进行网络访问控制，从而通过本专利技术实现了对流量的严格访问控制，进而提高了网络访问的安全性。
附图说明
[0027]图1为本申请提供的一种网络访问控制方法流程图；
[0028]图1a为本申请提供的一种内外网通信拓扑图；
[0029]图2为本申请提供的另一种网络访问控制方法流程图；
[0030]图3为本申请提供的又一种网络访问控制方法流程图；
[0031]图4为本申请提供的一种终端的结构示意图；
[0032]图5为本申请提供的一种专用设备的结构示意图
[0033]图6为本申请提供的计算机设备的一示意图。
具体实施方式
[0034]为了更好的理解上述技术方案，下面通过附图以及具体实施例对本申请实施例的技术方案做详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本申请实施
例技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互组合。
[0035]请参阅图1，本专利技术实施例提供的一种网络访问控制方法，本实施例以终端与专用设备的交互进行说明，本实施例中的终端为数据接收方，该方法具体包括步骤S101
‑
步骤S105：
[0036]步骤S101，专用设备向终端发送IPv6数据包。
[0037]在本专利技术提供的一个实施例中，在数据发送方为外网终端时，本实施例中的终端接收专用设备发送的IPv6数据包，IPv6数据包是专用设备根据外网发送的IPv4数据包生成的；或在数据发送方为内网终端时，本实施例中的终端接收专用设备发送的IPv6数据包，该IPv6数据包是由内网终端发送给专用设备的。其中，专用设备具体可以在交换机、路由器或终端等设备上实现，也可以为一个专有设备，用于实现网络的访问控制，本实施例不做具体限定。
[0038]具体的，在数据发送方为外网终端时，外网终端直接向专用设备发送IPv4数据包，专用设备在收到IPv4数据包后，获取IPv4数据包中的数据信息，然后查找网络访问控制规则列表中是否存在与数据信息对应的规则标识信息；若存在与数据信息对应的规则标识信息，则将IPv4数据包转换为对应的IPv6数据包，并将规则标识信息写入到IPv6数据包中；若不存在与数据信息对应的规则标识信息，则直接丢弃IPv4数据包。其中，该数据信息可以包括：发起I本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络访问控制方法，其特征在于，所述方法应用于终端，所述方法包括：接收专用设备发送的IPv6数据包，所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包；从所述IPv6数据包中提取规则标识信息；查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容；所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系；若存在与所述规则标识信息对应的网络动作内容，则根据所述网络动作内容进行网络访问控制。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：若所述终端对应的数据发送方为外网终端，所述IPv6数据包是所述专用设备根据所述外网发送的IPv4数据包生成的；若所述终端对应的数据发送方为内网终端，所述IPv6数据包是由所述内网终端发送给所述专用设备的。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：向所述专用设备发送IPv6数据包，使得所述专用设备从接收的IPv6数据包提取规则标识信息以及对应的数据接收方信息，并根据网络访问控制规则列表确定并执行所述规则标识信息对应的网络动作。4.根据权利要求3所述的方法，其特征在于，在向所述专用设备发送IPv6数据之前，所述方法还包括：确定待发送的IPv4数据包以及所述IPv4数据包中的数据信息；查找本地的网络访问控制规则列表中是否存在与所述数据信息对应的规则标识信息和网络动作内容；若存在，且所述网络动作内容为允许通信，则将所述IPv4数据包转换为对应的IPv6数据包，并将所述规则标识信息写入到所述IPv6数据包中。5.根据权利要求1所述的方法，其特征在于，在查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容之后，所述方法还包括：若不存在与所述规则标识信息对应的网络动作内容，从所述IPv6数据包中提取数据信息；根据所述数据信息更改预置设备及蜜罐的配置信息，以将所述IPv6数据包在所述蜜罐中执行；根据蜜罐对所述IPv6数据包的执行结果，确定所述规则标识信息对应的网络动作内容。6.根据权利要求1所述的方法，其特征在于，在查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容之后，所述方法还包括：若不存在与所述规则标识信息对应的网络动作内容，从所述IPv6数据包中提取数据信息；根据所述数据信息更改预置设备的配置信息，以将所述IPv6数据包引流至公网。7.一种网络访问控制方法，其特征在于，所述方法应用于专用设备，所述方法包括：获取第一终端对应的IPv6数据包，所述...

【专利技术属性】
技术研发人员：李林哲，杨斌，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：