【技术实现步骤摘要】
基于云的互联网访问控制方法、装置、介质、设备和系统
[0001]本专利技术涉及网络安全
,尤其涉及一种基于云的互联网访问控制方法、系统、装置、计算机可读存储介质和电子设备。
技术介绍
[0002]随着互联网技术的发展,企业对互联网的使用也越来越多。企业终端与数据中心之间大多使用互联网来建立连接。在目前的技术方案中,用户可以通过MPLS或VPN实现对企业数据中心的访问,同时企业内也部署各类安全设备如DDoS、WAF、IDS、IPS、上网行为管理等,以保证互联网访问的安全性。然而,上述过程中访问流量需回传到企业内进行检查和过滤,容易出现较大的时延和网络波动,影响用户体验,且各类安全设备需要进行维护,维护成本较高。由此,如何提高互联网访问的访问效率,保证互联网访问的安全性成为了亟待解决的技术问题。
技术实现思路
[0003]有鉴于此,本专利技术实施例的目的在于提供一种基于云的互联网访问控制方法、系统、装置、计算机可读存储介质和电子设备,使得目标终端不再需要管理众多的安全设备就能够实现对目标终端全栈的安全管控,大大降低了成本。
[0004]第一方面,本专利技术提供了一种基于云的互联网访问控制方法,应用于边缘节点,所述边缘节点与至少一个目标终端相连接,所述方法包括:
[0005]根据接收到的来自目标终端的访问流量,获取所述目标终端的网络属性;
[0006]根据预存的引流策略和所述目标终端的网络属性,确定所述目标终端对应的目标用户的安全访问控制策略;
[0007]根据所述安全 ...
【技术保护点】
【技术特征摘要】
1.一种基于云的互联网访问控制方法,应用于边缘节点,其特征在于,所述边缘节点与至少一个目标终端相连接,所述方法包括:根据接收到的来自目标终端的访问流量,获取所述目标终端的网络属性;根据预存的引流策略和所述目标终端的网络属性,确定所述目标终端对应的目标用户的安全访问控制策略;根据所述安全访问控制策略,对来自所述目标终端的访问流量进行安全访问控制处理。2.根据权利要求1所述的方法,其特征在于,所述安全访问控制策略包括对IP、端口、协议的访问控制策略、对DNS请求的访问控制策略、对HTTP/HTTPS的访问控制策略以及对身份信息的访问控制策略中的至少一种。3.根据权利要求1所述的方法,其特征在于,根据所述安全访问控制策略,对来自所述目标终端的访问流量进行安全访问控制处理,包括:根据所述目标终端的网络属性信息,对所述访问流量进行过滤处理;若所述访问流量通过所述过滤处理,则将所述访问流量发送至对应的服务节点。4.根据权利要求1所述的方法,其特征在于,根据所述安全访问控制策略,对来自所述目标终端的访问流量进行安全访问控制处理,包括:获取所述访问流量包含的目标访问域名;根据所述目标访问域名,确定所述目标访问域名对应的域名类别;若所述域名类别为目标类别,则将所述访问流量发送至对应的服务节点。5.根据权利要求1所述的方法,其特征在于,根据所述安全访问控制策略,对来自所述目标终端的访问流量进行安全访问控制处理,包括:指示所述目标终端显示身份认证界面,所述身份认证界面包括至少一种身份认证选项;根据所述身份认证界面接收到的针对所述至少一种身份认证选项的选择信息,确定与所述选择信息对应的身份认证策略;根据所述身份认证策略,对所述目标终端进行身份认证处理;若通过所述身份认证处理,则将所述访问流量发送至对应的服务节点。6.根据权利要求5所述的方法,其特征在于,所述身份认证策略包括身份信息认证策略和/或权限信息认证策略。7.根据权利要求1所述的方法,其特征在于,根据安全访问控制策略,对来自所述目标终端的访问流量进行安全访问控制处理,包括:获取所述访问流量包含的统一资源定位符和上传文件的文件信息;根据所述统一资源定位符和所述文件信息,若判定所述访问流量具有数据泄露风险,则对所述访问流量进行阻断。8.根据权利要求1所述的方法,其特征在于,根据所述安全访问控制策略,对来自所述目标终端的访问流量进行安全访问控制处理,包括:根据预先设定的HTTP/HTTPS访问控制策略,对所述访问流量进行HTTP/HTTPS访问控制处理;若未通过所述HTTP/HTTPS访问控制处理,则向所述目标终端返回对应的错误信息。
9.根据权利要求8所述的方法,其特征在于,在根据预先设定的HTTP/HTTPS访问控制策略,对所述访问流量进行HTTP/HTTPS访问控制处理之前,还包括:从云安全管理平台获取CA根证书;当接收到目标终端发送的https访问流量时,使用所述目标终端对应的目标用户对应的CA根证书对目标访问域名进行证书的签发,并与所述https访问流量实现https握手。10.一种基于云的互联网访问控制方法,应用于云安全管理平台,其特征在于,所述方法包括:为目标用户配置引流策略和安全访问控制策略;将所述引流策略分别发送至边缘节点以及所述目标用户对应的目标终端,以使所述目标终端根据所述引流策略将访问流量引流至所述边缘节点;将所述安全访问控制策略发送至边缘节点,以使所述边缘节点根据所述安全访问控制策略对所述访问流量进行安全访问控制处理。11.根据权利要求10所述的方法,其特征在于,所述目标终端包括用户终端设备或分支机构的网络出口。12.根据权利要求11所述的方法,其特征在于,当所述目标终端为用户终端设备时,所述引流策略包括通过设置在所述用户终端设备上的引流应用程序建立引流隧道的配置信息。13.根据权利要求11所述的方法,其特征在于,当所述目标终端为分支机构的网络出口时,所述引流策略包括在所述网络出口建立引流隧道的配置信息。14.根据权利要求10所述的方法,其特征在于,所述引流策略包括引流方式,所述引流方式为网络隧道协议。15.根据权利要求14所述的方法,其特征在于,所述网络隧道协议包括GRE、IPSec、PAC、自定义网络隧道协议或所述目标终端支持的其他网络隧道协议。16.根据权利要求11所述的方法,其特征在于,当所述目标终端为用户终端设备时,将所述引流策略发送至所述目标用户对应的目标终端,包括:根据目标终端的接入请求,向所述目标终端反馈所述目标终端对应的目标用户的引流策略。17.根据权利要求10所述的方法,其特征在于,所述安全访问控制策略包...
【专利技术属性】
技术研发人员:胡金涌,刘贺,
申请(专利权)人:上海云盾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。