本发明专利技术公开了一种应用访问方法、装置、电子设备及存储介质。该方法应用于安全网关,包括:通过用户空间处理进程,接收到内核网络协议栈发送的上行报文;通过用户空间处理进程,对上行报文进行解析,得到解析内容;通过用户空间处理进程,对解析内容进行过滤,并将保留的解析内容发送至后续模块,以使后续模块对解析内容进行处理,发送至应用服务器,以使应用服务器对上行报文进行响应。本发明专利技术实施例的技术方案降低了防火墙的开发难度,减小了防火墙的运维风险。的运维风险。的运维风险。
【技术实现步骤摘要】
应用访问方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络信息安全
,尤其涉及一种应用访问方法、装置、电子设备及存储介质。
技术介绍
[0002]在客户端对应用进行访问的过程中,防火墙对于安全性尤为重要。
[0003]传统防火墙通常嵌入在内核网络协议栈中,运行在内核空间中。
[0004]但是,运行在内核网络协议栈的防火墙开发难度较大,同时,内核网络协议栈的防火墙部署繁琐,运维存在宕机风险。
技术实现思路
[0005]本专利技术提供了一种应用访问方法、装置、电子设备及存储介质,降低了防火墙的开发难度,减小了防火墙的运维风险
[0006]根据本专利技术的一方面,提供了一种应用访问方法,应用于安全网关,包括:
[0007]通过用户空间处理进程,接收到内核网络协议栈发送的上行报文;
[0008]通过用户空间处理进程,对上行报文进行解析,得到解析内容;
[0009]通过用户空间处理进程,对解析内容进行过滤,并将保留的解析内容发送至后续模块,以使后续模块对解析内容进行处理,发送至应用服务器,以使应用服务器对上行报文进行响应。
[0010]根据本专利技术的另一方面,提供了一种应用访问装置,应用于安全网关,包括:
[0011]用户空间处理进程,用于接收到内核网络协议栈发送的上行报文;
[0012]用户空间处理进程,用于对上行报文进行解析,得到解析内容;
[0013]用户空间处理进程,用于对解析内容进行过滤,并将保留的解析内容发送至后续模块,以使后续模块对解析内容进行处理,发送至应用服务器,以使应用服务器对上行报文进行响应。
[0014]根据本专利技术的另一方面,提供了一种电子设备,所述电子设备包括:
[0015]至少一个处理器;以及
[0016]与所述至少一个处理器通信连接的存储器;其中,
[0017]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的应用访问方法。
[0018]根据本专利技术的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的应用访问方法。
[0019]本专利技术实施例的技术方案,通过用户空间处理进程,接收到内核网络协议栈发送的上行报文,通过用户空间处理进程,对上行报文进行解析,得到解析内容,通过用户空间
处理进程,对解析内容进行过滤,并将保留的解析内容发送至后续模块,以使后续模块对解析内容进行处理,发送至应用服务器,以使应用服务器对上行报文进行响应,解决了运行在内核网络协议栈的防火墙开发难度较大,同时,内核网络协议栈的防火墙部署繁琐,运维存在宕机风险的问题,降低了防火墙的开发难度,减小了防火墙的运维风险
[0020]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0021]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0022]图1是根据本专利技术实施例一提供的一种应用访问方法的流程图;
[0023]图2是根据本专利技术实施例二提供的一种应用访问方法的流程图;
[0024]图3是根据本专利技术实施例二提供的一种VPN网关的结构示意图;
[0025]图4是根据本专利技术实施例二提供的一种上行报文发送的流程图;
[0026]图5是根据本专利技术实施例二提供的一种下行报文发送的流程图;
[0027]图6是根据本专利技术实施例二提供的一种策略匹配方法的流程图;
[0028]图7是根据本专利技术实施例二提供的一种策略配置方法的流程图;
[0029]图8是根据本专利技术实施例三提供的一种应用访问装置的结构示意图;
[0030]图9是实现本专利技术实施例的应用访问方法的电子设备的结构示意图。
具体实施方式
[0031]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0032]需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0033]实施例一
[0034]图1为本专利技术实施例一提供的一种应用访问方法的流程图。本专利技术实施例可适用于对应用进行访问情况,该方法可以由应用访问装置来执行,该应用访问装置可以采用硬件和/或软件的形式实现,该应用访问装置可配置于承载应用访问功能的电子设备中,例如
安全网关中。
[0035]参见图1所示的应用访问方法,应用于安全网关,包括:
[0036]S110、通过用户空间处理进程,接收到内核网络协议栈发送的上行报文。
[0037]用户空间处理进程可以用于处理应用程序相关的任务。用户空间处理进程可以部署于安全网关的用户空间中。内核网络协议栈可以用于处理操作系统相关的任务。内核网络协议栈可以部署于安全网关的内核空间中。用户空间处理进程可以与内核网络协议栈进行单向通信连接。例如,用户空间处理进程可以接收内核网络协议栈发送的上行报文。在客户端对应用程序进行访问时,可以通过安全网关,由客户端向应用服务器发送上行报文,以及接收应用服务器响应的下行报文,实现客户端对应用程序的访问。上行报文可以是在客户端对应用程序进行访问时客户端向安全网关发送的报文。上行报文可以是经过客户端与安全网关之间的隧道协议加密后的报文。
[0038]S120、通过用户空间处理进程,对上行报文进行解析,得到解析内容。
[0039]解析内容可以是对上行报文进行解析后得到的内容。可选的,上行报文可以包括源IP(Internet Protocol,互联网协议)、目标IP、目标端口号和报文载荷信息等中至少一项。其中,源IP可以用于标识对应用程序进行访问的客户端,可以理解为,源IP可以用于标识应用程序的访问用户本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用访问方法,其特征在于,应用于安全网关,包括:通过用户空间处理进程,接收到内核网络协议栈发送的上行报文;通过所述用户空间处理进程,对所述上行报文进行解析,得到解析内容;通过所述用户空间处理进程,对所述解析内容进行过滤,并将保留的解析内容发送至后续模块,以使后续模块对所述解析内容进行处理,发送至应用服务器,以使所述应用服务器对所述上行报文进行响应。2.根据权利要求1所述的方法,其特征在于,在将保留的解析内容发送至后续模块之后,还包括:通过所述用户空间处理进程,接收到所述内核网络协议栈发送的针对所述解析内容反馈的下行报文;通过所述用户空间处理进程,对所述下行报文进行加密,并将加密后的所述下行报文发送至后续模块,以使所述后续模块对加密后的所述下行报文进行处理,发送至客户端,以实现所述客户端对所述应用服务器的访问。3.根据权利要求1所述的方法,其特征在于,所述通过所述用户空间处理进程,对所述解析内容进行过滤,并将保留的解析内容发送至后续模块,包括:通过所述用户空间处理进程,获取恶意软件标识字符;通过所述用户空间处理进程,对所述解析内容中是否包含所述恶意软件标识字符进行检测;通过所述用户空间处理进程,在所述解析内容中不包含所述恶意软件标识字符时,保留所述解析内容,并将保留的解析内容发送至后续模块。4.根据权利要求3所述的方法,其特征在于,还包括:通过所述用户空间处理进程,对客户端的资源访问权限进行检测;所述通过所述用户空间处理进程,在所述解析内容中不包含所述恶意软件标识字符时,保留所述解析内容,包括:通过所述用户空间处理进程,在所述客户端的资源访问权限的检测结果为通过且所述解析内容中不包含所述恶意软件标识字符时,保留所述解析内容。5.根据权利要求3所述的方法,其特征在于,还包括:通过所述用户空间处...
【专利技术属性】
技术研发人员:李斌,王伟,
申请(专利权)人:北京指掌易科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。