本申请公开了一种网络流量管控方法、装置、设备及介质,涉及网络技术领域。方法应用于二层交换机,通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。提升了二层网络资源访问的安全性。提升了二层网络资源访问的安全性。
【技术实现步骤摘要】
一种网络流量管控方法、装置、设备及介质
[0001]本申请涉及网络
,特别是涉及一种网络流量管控方法、装置、设备及介质。
技术介绍
[0002]零信任代表了新一代的网络安全防护理念;基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。近年来,通过零信任终端进行远程办公的场景也是越来越多。但是,在涉及二层网络资源的安全管控上,传统的网络环境和传统的零信任系统解决方案均存在不足。
[0003]在传统零信任的实现方案中,流量的权限管控是由零信任网关完成,而网关的部署一般是和核心交换器串连在一起部署,使用这样的部署方式一方面是因为流量管控的需要,即只有网络流量必须经过零信任网关才能实现流量管控;另一方面是建设成本的问题,和核心交换机部署在一起而不是和二层(或非核心三层)交换机部署在一起可以减少零信任网关部署数量。因此,基于以上原因,二层网络的访问流量因为不流经零信任网关,所以传统零信任无法针对二层网络资源的访问流量进行管控。此外,在传统的二层网络环境中,只要终端连接网络就可以访问二层网络资源,这对资源来说会有严重的安全风险。
[0004]鉴于上述问题,如何实现二层网络资源的访问流量进行管控,并实现对二层网络资源的安全访问,是该领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种网络流量管控方法、装置、设备及介质,能够实现对二层网络资源的访问流量进行管控,并实现对二层网络资源的安全访问。
[0006]为解决上述技术问题,本申请提供一种网络流量管控方法,应用于二层交换机;所述方法包括:对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。
[0007]优选地,所述对连接的各终端设备进行入网认证包括:当所述终端设备为设置有所述零信任终端的所述PC时,接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息;发送所述设备信息至所述零信任控制器,以用于所述零信任控制器根据所述设备信息对所述PC进行入网认证,并返回认证结果。
[0008]优选地,所述接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息包括:通过基于局域网的扩展认证协议接收所述设备信息,以用于作为中继将所述设备信息通过基于局域网的扩展认证协议发送至所述零信任控制器。
[0009]优选地,所述对连接的各终端设备进行入网认证包括:若所述终端设备还包括哑终端,则通过MAC旁路认证对所述哑终端进行所述入网认证。
[0010]优选地,所述零信任终端接管所述二层网络的流量代理与管控的具体过程包括:根据所述资源访问权限清单生成本地流量规划;根据所述本地流量规划对访问所述二层网络中的所述终端设备的流量进行控制。
[0011]优选地,还包括:根据所述本地流量规划对访问三层及以上网络的业务系统的流量进行控制,或通过零信任网关对访问三层及以上网络的业务系统的流量进行管控。
[0012]优选地,在所述对连接的各终端设备进行入网认证之前,还包括:判断连接的所述PC是否设置有所述零信任终端;若是,则进入所述对连接的各终端设备进行入网认证的步骤;若否,则根据控制策略禁止所述PC的访问流量。
[0013]为解决上述技术问题,本申请还提供一种网络流量管控装置,应用于二层交换机;所述装置包括:第一认证模块,用于对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;第二认证模块,用于与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;接收模块,用于若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;发送模块,用于发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。
[0014]为解决上述技术问题,本申请还提供一种网络流量管控设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述所述的网络流量管控方法的步骤。
[0015]为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的网络流量管控方法的步骤。
[0016]本申请所提供的网络流量管控方法,应用于二层交换机;通过对连接的各终端设备进行入网认证;其中,终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过入网认证的PC进行单包认证;若PC通过单包认证,则接收零信任控制器发送的资源访问权限清单;发送资源访问权限清单至PC,以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知,上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证,在通过认证后赋予了零信任终端二层网络资源访问权限;通过零信
任终端即可实现二层网络资源的访问流量管控,提升了二层网络资源访问的安全性。
[0017]此外,本申请实施例还提供了一种网络流量管控装置、设备及介质,效果同上。
附图说明
[0018]为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为本申请实施例提供的一种网络结构示意图;图2为本申请实施例提供的一种网络流量管控方法的流程图;图3为本申请实施例提供的一种网络流量管控装置的示意图;图4为本申请实施例提供的一种网络流量管控设备的示意图。
[0020]其中,30为二层交换机,31为零信任控制器,32为PC,33为文件服务器,34为打印机,35为零信任网关,36为业务系统,37为核心交换机。
具体实施方式
[0021]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
[0022]本申请的核心是提供一种网络流量管控方法、装置、设备及介质。
[0023]为了使本
的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
[0024]图1为本申请实施例提供的一种网络结构示意图。如图1所示,在传统零信任的实现方案中,流量的权限管控是由零信任网关35完成;零信任网关35和核心交换机37串连,减少了零信任网关35的部署数量;网络流量必须经过零信任网关35才能实现流量管控,因此无法对未部署零信任网关35的二层网络资源进行访本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络流量管控方法,其特征在于,应用于二层交换机;所述方法包括:对连接的各终端设备进行入网认证;其中,所述终端设备至少包含设置有零信任终端的PC;与零信任控制器共同对通过所述入网认证的所述PC进行单包认证;若所述PC通过所述单包认证,则接收所述零信任控制器发送的资源访问权限清单;发送所述资源访问权限清单至所述PC,以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。2.根据权利要求1所述的网络流量管控方法,其特征在于,所述对连接的各终端设备进行入网认证包括:当所述终端设备为设置有所述零信任终端的所述PC时,接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息;发送所述设备信息至所述零信任控制器,以用于所述零信任控制器根据所述设备信息对所述PC进行入网认证,并返回认证结果。3.根据权利要求2所述的网络流量管控方法,其特征在于,所述接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息包括:通过基于局域网的扩展认证协议接收所述设备信息,以用于作为中继将所述设备信息通过基于局域网的扩展认证协议发送至所述零信任控制器。4.根据权利要求1所述的网络流量管控方法,其特征在于,所述对连接的各终端设备进行入网认证包括:若所述终端设备还包括哑终端,则通过MAC旁路认证对所述哑终端进行所述入网认证。5.根据权利要求1所述的网络流量管控方法,其特征在于,所述零信任终端接管所述二层网络的流量代理与管控的具体过程包括:根据所述资源访问权限清单生成本地流量规划;根据所述本地流量...
【专利技术属性】
技术研发人员:刘威,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。