基于云的互联网访问控制方法、装置、介质、设备和系统制造方法及图纸

本发明专利技术提供了一种基于云的互联网访问控制方法、系统、装置、计算机可读存储介质和电子设备，该方法包括：通过云安全管理平台为目标用户配置引流策略和安全访问控制策略，并将引流策略分别发送至边缘节点以及目标用户对应的目标终端，以及将安全访问控制策略发送至边缘节点；目标终端根据引流策略将访问流量引流到对应的边缘节点；边缘节点根据接收到的来自目标终端的访问流量，获取目标终端的网络属性，根据预存的引流策略和目标终端的网络属性，确定目标终端对应的目标用户的安全访问控制策略，根据安全访问控制策略，对目标终端的访问流量进行安全访问控制处理。通过本发明专利技术，实现了一种全新、高效的网络流量的安全管理模式。式。式。

【技术实现步骤摘要】
基于云的互联网访问控制方法、装置、介质、设备和系统


[0001]本专利技术涉及网络安全
，尤其涉及一种基于云的互联网访问控制方法、系统、装置、计算机可读存储介质和电子设备。

技术介绍

[0002]随着互联网技术的发展，企业对互联网的使用也越来越多。企业终端与数据中心之间大多使用互联网来建立连接。在目前的技术方案中，用户可以通过MPLS或VPN实现对企业数据中心的访问，同时企业内也部署各类安全设备如DDoS、WAF、IDS、IPS、上网行为管理等，以保证互联网访问的安全性。然而，上述过程中访问流量需回传到企业内进行检查和过滤，容易出现较大的时延和网络波动，影响用户体验，且各类安全设备需要进行维护，维护成本较高。由此，如何提高互联网访问的访问效率，保证互联网访问的安全性成为了亟待解决的技术问题。

技术实现思路

[0003]有鉴于此，本专利技术实施例的目的在于提供一种基于云的互联网访问控制方法、系统、装置、计算机可读存储介质和电子设备，使得目标终端不再需要管理众多的安全设备就能够实现对目标终端全栈的安全管控，大大降低了成本。
[0004]第一方面，本专利技术提供了一种基于云的互联网访问控制方法，应用于边缘节点，所述边缘节点与至少一个目标终端相连接，所述方法包括：
[0005]根据接收到的来自目标终端的访问流量，获取所述目标终端的网络属性；
[0006]根据预存的引流策略和所述目标终端的网络属性，确定所述目标终端对应的目标用户的安全访问控制策略；
[0007]根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理。
[0008]第二方面，专利技术提供了一种基于云的互联网访问控制方法，应用于云安全管理平台，所述方法包括：
[0009]为目标用户配置引流策略和安全访问控制策略；
[0010]将所述引流策略分别发送至边缘节点以及所述目标用户对应的目标终端，以使所述目标终端根据所述引流策略将访问流量引流至所述边缘节点；
[0011]将所述安全访问控制策略发送至边缘节点，以使所述边缘节点根据所述安全访问控制策略对所述访问流量进行安全访问控制处理。
[0012]第三方面，本专利技术提供了一种基于云的互联网访问控制方法，应用于目标终端，所述目标终端包括用户终端设备或分支机构的网络出口，所述方法包括：
[0013]从云安全管理平台获取引流策略，所述引流策略为所述目标终端对应的目标用户的引流策略；
[0014]根据所述引流策略将访问流量引流到对应的边缘节点。
[0015]第四方面，本专利技术实施例提供了一种基于云的互联网访问控制系统，所述系统包括：
[0016]云安全管理平台，用于为目标用户配置引流策略和安全访问控制策略，并将所述引流策略分别发送至边缘节点和所述目标用户对应的目标终端；将所述安全访问控制策略发送至所述边缘节点；
[0017]边缘节点，用于根据所述安全访问控制策略对来自所述目标终端的访问流量进行安全访问控制处理。
[0018]第五方面，本专利技术提供了一种基于云的互联网访问控制装置，设置于边缘节点上，所述边缘节点与至少一个目标终端相连接，包括：
[0019]获取单元，用于根据接收到的来自目标终端的访问流量，获取所述目标终端的网络属性；
[0020]确定单元，用于根据预存的引流策略和所述目标终端的网络属性，确定所述目标终端对应的目标用户的安全访问控制策略；
[0021]控制单元，用于根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理。
[0022]第六方面，本专利技术提供了一种基于云的互联网访问控制装置，设置于云安全管理平台上，包括：
[0023]配置单元，用于为目标用户配置引流策略和安全访问控制策略；
[0024]第一发送单元，用于将所述引流策略分别发送至边缘节点以及所述目标用户对应的目标终端，以使所述目标终端根据所述引流策略将访问流量引流至所述边缘节点；
[0025]第二发送单元，用于将所述安全访问控制策略发送至边缘节点，以使所述边缘节点根据所述安全访问控制策略对所述访问流量进行安全访问控制处理。
[0026]第七方面，本专利技术提供了一种基于云的互联网访问控制装置，设置于目标终端上，包括：
[0027]获取单元，用于从云安全管理平台获取引流策略，所述引流策略为所述目标终端对应的目标用户的引流策略；
[0028]引流单元，用于根据所述引流策略将访问流量引流到对应的边缘节点。
[0029]第八方面，本专利技术提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时，以实现第一方面提供的一种基于云的互联网访问控制方法，或，实现如第二方面提供的一种基于云的互联网访问控制方法，或，实现如第三方面提供的一种基于云的互联网访问控制方法。
[0030]第九方面，本专利技术提供了一种电子设备，其包括：
[0031]处理器；
[0032]用于存储所述处理器可执行指令的存储器；
[0033]其中，所述处理器被配置为执行所述指令，以实现第一方面提供的一种基于云的互联网访问控制方法，或，实现如第二方面提供的一种基于云的互联网访问控制方法，或，实现如第三方面提供的一种基于云的互联网访问控制方法。
[0034]与现有技术相比，本专利技术的上述技术方案具有如下有益效果：
[0035]1、本专利技术通过云安全管理平台为目标用户配置引流策略和安全访问控制策略，并
将引流策略分别发送至边缘节点以及目标用户对应的目标终端，以使目标终端根据引流策略将访问流量引流至所述边缘节点，同时将安全访问控制策略发送至边缘节点，以使边缘节点根据安全访问控制策略对访问流量进行安全访问控制处理，实现了一种全新、高效的网络流量的安全管理模式；与现有技术相比，这种安全管理模式无需配置和管理众多的安全设备，整个系统具有更大的弹性，尤其符合云计算和移动办公技术发展趋势，并且由于目标终端的流量不再需要回传到总部进行统一的流量检查和过滤，使得维护和管理成本得以大幅度地降低。
[0036]2、在本专利技术的实施例中，云安全管理平台作为管理中心，为各目标用户配置个性化的引流策略和安全访问控制策略，作为针对多用户的安全云网关的管理中心，具备强大的弹性和业务扩展能力；
[0037]3、在本专利技术的实施例中，边缘节点允许目标终端根据引流策略将访问流量直接引流到边缘节点，进行统一的流量检查和过滤，使得使用和管理成本得以大幅度地降低，此外，边缘节点上具有全栈的安全管控能力，能够根据安全访问控制策略对来自对应的目标终端的访问流量进行全栈的精细化防护管控，使得目标终端侧不再需要配置众多的安全管理设备，大大降低了成本；
[0038]4、在本专利技术的实施例中，分布式的边缘节点的部署允许目标终端可以就近接入边缘节点，显著降低信息到达边缘节点的时间延迟，使得用户体验感得以大幅度地提升；
[0039]5、在本专利技术的实施例中，目标终端从云安全管本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于云的互联网访问控制方法，应用于边缘节点，其特征在于，所述边缘节点与至少一个目标终端相连接，所述方法包括：根据接收到的来自目标终端的访问流量，获取所述目标终端的网络属性；根据预存的引流策略和所述目标终端的网络属性，确定所述目标终端对应的目标用户的安全访问控制策略；根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理。2.根据权利要求1所述的方法，其特征在于，所述安全访问控制策略包括对IP、端口、协议的访问控制策略、对DNS请求的访问控制策略、对HTTP/HTTPS的访问控制策略以及对身份信息的访问控制策略中的至少一种。3.根据权利要求1所述的方法，其特征在于，根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理，包括：根据所述目标终端的网络属性信息，对所述访问流量进行过滤处理；若所述访问流量通过所述过滤处理，则将所述访问流量发送至对应的服务节点。4.根据权利要求1所述的方法，其特征在于，根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理，包括：获取所述访问流量包含的目标访问域名；根据所述目标访问域名，确定所述目标访问域名对应的域名类别；若所述域名类别为目标类别，则将所述访问流量发送至对应的服务节点。5.根据权利要求1所述的方法，其特征在于，根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理，包括：指示所述目标终端显示身份认证界面，所述身份认证界面包括至少一种身份认证选项；根据所述身份认证界面接收到的针对所述至少一种身份认证选项的选择信息，确定与所述选择信息对应的身份认证策略；根据所述身份认证策略，对所述目标终端进行身份认证处理；若通过所述身份认证处理，则将所述访问流量发送至对应的服务节点。6.根据权利要求5所述的方法，其特征在于，所述身份认证策略包括身份信息认证策略和/或权限信息认证策略。7.根据权利要求1所述的方法，其特征在于，根据安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理，包括：获取所述访问流量包含的统一资源定位符和上传文件的文件信息；根据所述统一资源定位符和所述文件信息，若判定所述访问流量具有数据泄露风险，则对所述访问流量进行阻断。8.根据权利要求1所述的方法，其特征在于，根据所述安全访问控制策略，对来自所述目标终端的访问流量进行安全访问控制处理，包括：根据预先设定的HTTP/HTTPS访问控制策略，对所述访问流量进行HTTP/HTTPS访问控制处理；若未通过所述HTTP/HTTPS访问控制处理，则向所述目标终端返回对应的错误信息。
9.根据权利要求8所述的方法，其特征在于，在根据预先设定的HTTP/HTTPS访问控制策略，对所述访问流量进行HTTP/HTTPS访问控制处理之前，还包括：从云安全管理平台获取CA根证书；当接收到目标终端发送的https访问流量时，使用所述目标终端对应的目标用户对应的CA根证书对目标访问域名进行证书的签发，并与所述https访问流量实现https握手。10.一种基于云的互联网访问控制方法，应用于云安全管理平台，其特征在于，所述方法包括：为目标用户配置引流策略和安全访问控制策略；将所述引流策略分别发送至边缘节点以及所述目标用户对应的目标终端，以使所述目标终端根据所述引流策略将访问流量引流至所述边缘节点；将所述安全访问控制策略发送至边缘节点，以使所述边缘节点根据所述安全访问控制策略对所述访问流量进行安全访问控制处理。11.根据权利要求10所述的方法，其特征在于，所述目标终端包括用户终端设备或分支机构的网络出口。12.根据权利要求11所述的方法，其特征在于，当所述目标终端为用户终端设备时，所述引流策略包括通过设置在所述用户终端设备上的引流应用程序建立引流隧道的配置信息。13.根据权利要求11所述的方法，其特征在于，当所述目标终端为分支机构的网络出口时，所述引流策略包括在所述网络出口建立引流隧道的配置信息。14.根据权利要求10所述的方法，其特征在于，所述引流策略包括引流方式，所述引流方式为网络隧道协议。15.根据权利要求14所述的方法，其特征在于，所述网络隧道协议包括GRE、IPSec、PAC、自定义网络隧道协议或所述目标终端支持的其他网络隧道协议。16.根据权利要求11所述的方法，其特征在于，当所述目标终端为用户终端设备时，将所述引流策略发送至所述目标用户对应的目标终端，包括：根据目标终端的接入请求，向所述目标终端反馈所述目标终端对应的目标用户的引流策略。17.根据权利要求10所述的方法，其特征在于，所述安全访问控制策略包...

【专利技术属性】
技术研发人员：胡金涌，刘贺，
申请(专利权)人：上海云盾信息技术有限公司，
类型：发明
国别省市：