本申请提供一种基于SSLVPN的上网行为审计方法及系统,通过获取用户端发送至总部服务器的SSLVPN报文,并对报文类型进行判断,根据报文的类型以及合法性控制连接SSL VPN报文的控制平面,以通过控制平面得到所述用户端身份认证结果,根据身份认证结果建立第一数据通道,第一数据通道中传输有数据包,对通过数据平面对所述数据包解密得到内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为。本申请通过对SSL VPN报文类型进行判断,根据报文类型选择对应的平面对SSLVPN报文进行解密,从而根据得到的内层报文进行策略匹配,统计审计行为,提高对用户端上网行为审计的效率和安全性。的效率和安全性。的效率和安全性。
【技术实现步骤摘要】
一种基于SSL VPN的上网行为审计方法及系统
[0001]本申请涉及上网行为审计领域,尤其涉及一种基于SSLVPN的上网行为审计方法及系统。
技术介绍
[0002]SSLVPN是基于安全套接层协议的VPN技术,客户端可以通过SSLVPN直接在用户端和总部服务器之间建立通信隧道。处于远端的用户端即可通过通信隧道接入总部服务器的网络,并访问企业内部的资源。但是,这会将企业内部的资源与网络暴露在可被攻击的环境下。
[0003]为了提高企业内部的资源与网络的安全性,需要对企业内部的上网行为进行审计。但是,总部服务器的应用引擎只能对SSLVPN外层的IP报文进行解析和审计,而无法对SSLVPN隧道中的传输数据进行审计和控制。在SSLVPN隧道中,应用引擎只能看到是SSLVPN协议报文。
[0004]由于原始报文封装在SSLVPN报文内部,总部服务器无法完成对通信隧道的审计与控制,从而无法得到SSLVPN报文准确的审计结果。为此,可以在每个用户端对应的分支机构部署一台审计设备,以对每个用户端进行审计和控制。但是,对于海量用户端,审计设备的数据处理量大,会降低用户端上网行为审计的效率和安全性。
技术实现思路
[0005]为了解决对SSLVPN隧道中的传输数据进行审计效率和安全性低的问题,第一方面,本申请的部分实施例提供一种基于SSLVPN的上网行为审计方法,所述方法包括:
[0006]获取用户端发送至总部服务器的SSLVPN报文;
[0007]如果所述SSLVPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则连接所述SSLVPN报文的控制平面,以通过所述控制平面得到所述用户端身份认证结果;
[0008]根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和所述总部服务器,所述第一数据通道中传输有数据包;
[0009]对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
[0010]在一些实施例中,所述方法还包括:
[0011]获取所述SSLVPN报文的协议类型以及所述SSLVPN报文的目标端口;
[0012]遍历所述用户端的配置端口;
[0013]如果所述协议类型无连接传输协议,且所述目标端口不为本地端口,则标记所述SSLVPN报文为合法报文。
[0014]在一些实施例中,通过所述控制平面得到所述用户端身份认证结果,包括:
[0015]获取所述用户端的用户信息,所述用户信息包括所述用户端的账号密码和所述用
户端的SSLVPN权限;
[0016]通过所述控制平面发送所述用户端的账号密码至网络安全系统,以及,通过所述控制平面发送所述用户端的SSLVPN权限至数据平面;
[0017]通过网络安全系统通过验证所述用户端的账号密码,得到第一反馈结果,以及,通过所述数据平面验证所述用户端的SSLVPN权限,得到第二反馈结果;
[0018]将所述第一反馈结果和所述第二反馈结果通过进程间通信发送至所述控制平面,以得到所述用户端身份认证结果。
[0019]在一些实施例中,根据所述身份认证结果建立第一数据通道,包括:
[0020]在所述控制平台设置所述用户端的标志位;
[0021]当所述控制平面收到认证成功的用户端身份认证结果时,在所述标志位分配虚拟地址;
[0022]根据所述虚拟地址建立第一数据通道。
[0023]在一些实施例中,对内层报文执行策略匹配前,所述方法还包括:
[0024]将所述数据包发送至所述数据平面;
[0025]通过所述数据平面解析所述数据包的封装格式;
[0026]根据所述封装格式,解密所述数据包,以得到内层报文。
[0027]在一些实施例中,对内层报文执行策略匹配,包括:
[0028]遍历所述审计行为管理设备的策略表,所述策略表包括所述审计行为管理设备的运行策略,所述运行策略包括用户列表和资源列表;
[0029]如果所述运行策略为启用状态,则在所述用户列表中查询所述内层报文,以及,在所述资源列表中查询目标IP,所述目标IP为所述用户端访问所述总部服务器所产生的IP地址;
[0030]如果在用户列表中查询到所述用户端且在所述资源列表中查询到所述目标IP,则生成放行所述数据包的匹配结果。
[0031]在一些实施例中,根据策略匹配结果记录所述用户端的审计行为,包括:
[0032]根据所述内层报文创建用户对象;
[0033]将总部服务器产生的会话与所述用户对象关联,以得到审计对话;
[0034]根据特征库对所述审计对话执行上网行为审计,所述特征库通过解析内层报文得到。
[0035]在一些实施例中,根据特征库对所述审计对话执行上网行为审计,包括:
[0036]通过审计行为管理设备对用户端的流量进行汇总;
[0037]根据所述用户端的流量获取总部服务器的上网行为统计信息。
[0038]在一些实施例中,所述方法还包括:
[0039]在所述审计行为管理设备创建第二数据通道,所述第二数据通道用于连接客户端和所述总部服务器;
[0040]通过发包函数对所述数据包执行加密封装;
[0041]将封装后的数据包和所述上网行为统计信息通过所述第二数据通道发送至客户端。
[0042]第二方面,本申请的部分实施例提供一种基于SSLVPN的上网行为审计系统,所述
系统包括报文类型判别模块和审计模块,其中,所述报文类型判别模块被配置为判断SSLVPN报文的报文类型,所述报文类型包括审计行为管理设备的本地报文和审计行为管理设备的转发报文;
[0043]所述审计模块被配置为当所述SSL VPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文时,连接所述SSLVPN报文的控制平面,以通过所述控制平面得到用户端身份认证结果,
[0044]根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和总部服务器,所述第一数据通道中传输有数据包;
[0045]对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
[0046]由以上技术方案可知,本申请提供一种基于SSLVPN的上网行为审计方法及系统,通过获取用户端发送至总部服务器的SSLVPN报文,并对报文类型进行判断,如果SSL VPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则控制连接SSLVPN报文的控制平面,以通过控制平面得到所述用户端身份认证结果,根据身份认证结果建立第一数据通道,第一数据通道中传输有数据包,对通过数据平面对所述数据包解密得到内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为。本申请通过对SSLVPN报文类型进行判断,根据报文本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于SSLVPN的上网行为审计方法,其特征在于,所述方法包括:获取用户端发送至总部服务器的SSLVPN报文;如果所述SSLVPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则连接所述SSLVPN报文的控制平面,以通过所述控制平面得到所述用户端身份认证结果;根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和所述总部服务器,所述第一数据通道中传输有数据包;对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。2.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,所述方法还包括:获取所述SSLVPN报文的协议类型以及所述SSLVPN报文的目标端口;遍历所述用户端的配置端口;如果所述协议类型无连接传输协议,且所述目标端口不为本地端口,则标记所述SSLVPN报文为合法报文。3.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,通过所述控制平面得到所述用户端身份认证结果,包括:获取所述用户端的用户信息,所述用户信息包括所述用户端的账号密码和所述用户端的SSLVPN权限;通过所述控制平面发送所述用户端的账号密码至网络安全系统,以及,通过所述控制平面发送所述用户端的SSLVPN权限至数据平面;通过网络安全系统通过验证所述用户端的账号密码,得到第一反馈结果,以及,通过所述数据平面验证所述用户端的SSLVPN权限,得到第二反馈结果;将所述第一反馈结果和所述第二反馈结果通过进程间通信发送至所述控制平面,以得到所述用户端身份认证结果。4.根据权利要求3所述的基于SSLVPN的上网行为审计方法,其特征在于,根据所述身份认证结果建立第一数据通道,包括:在所述控制平台设置所述用户端的标志位;当所述控制平面收到认证成功的用户端身份认证结果时,在所述标志位分配虚拟地址;根据所述虚拟地址建立第一数据通道。5.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,对内层报文执行策略匹配前,所述方法还包括:将所述数据包发送至所述数据平面;通过所述数据平面解析所述数据包的封装格式;根据所述封装格式,解密所述数据包,以得到内层报文。6.根据权利要求1所述的基于SS...
【专利技术属性】
技术研发人员:任作明,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。