一种基于eBPF的终端流量代理及访问控制方法技术

本发明专利技术公开了一种基于eBPF的终端流量代理及访问控制方法，步骤如下：（1）用户请求访问内部资源：当用户远程访问企业内部资源时，首先发起请求，如果请求合法则进入步骤（2），如果请求非法则拒绝访问；（2）引流和过滤：eBPF基于规则对数据包进行引流和过滤操作；（3）处理后的业务数据包经过客户端Agent发往安全网关：（4）用户收到目标资源响应：如果数据包通过eBPF的处理，并成功转发到目标资源，用户将收到响应，并访问所需的内部资源。本发明专利技术利用eBPF技术在终端引流、传输、代理、应用识别和精细化管控方面的应用，使得终端引流和过滤更高效，传输方式更灵活，应用识别更准确，以及精细化管控更精确。化管控更精确。化管控更精确。

【技术实现步骤摘要】
一种基于eBPF的终端流量代理及访问控制方法


[0001]本专利技术属于网络安全
，特别涉及一种基于eBPF的终端流量代理及访问控制方法。

技术介绍

[0002]随着全球化的发展和灵活的工作模式，企业出差员工和居家办公员工，需要在外地远程办公，并期望能够通过Internet随时随地的远程访问企业内部资源。同时，企业为了保证内网资源的安全性，希望能对移动办公用户进行多种形式的身份认证，并对移动办公用户可访问内网资源的权限做精细化控制。
[0003]当前远程办公场景下主流方案使用网络安全领域中的访问控制类产品，如SSL VPN、零信任SDP等系统，但两者均在终端无法实现精细化流量管控，终端兼容性较差，传输效率较低，用户感知较差等问题，同时在大规模用户接入访问场景下无法高效、快速处理大并发的业务请求问题。
[0004]传统SSL VPN架构基于虚拟网卡的引流方式是将用户设备上的流量通过虚拟网卡进行拦截和转发，再通过SSL协议进行加密和隧道传输。其工作流程如图1所示：步骤一：用户设备向目标服务器发送网络请求；步骤二：SSL VPN客户端在用户设备上拦截流量，并将其发送到虚拟网卡；步骤三：虚拟网卡将流量转发到SSL VPN服务器；步骤四：SSL VPN服务器对流量进行解密，并将请求转发到目标服务器；步骤五：目标服务器返回响应给SSL VPN服务器；步骤六：SSL VPN服务器对响应进行加密，并将其转发给用户设备；步骤七：SSL VPN客户端在用户设备上解密响应，完成请求响应流程。
[0005]由此可知，传统SSL VPN存在以下不足之处：性能瓶颈：传统SSL VPN基于虚拟网卡的引流方式导致性能瓶颈。由于SSL VPN客户端需要在用户设备上拦截和处理流量，并将其发送到虚拟网卡，这涉及到用户空间和内核空间之间的频繁切换，最终导致性能下降。
[0006]设备兼容性：传统SSL VPN客户端通常需要在用户设备上安装额外的软件，这将导致设备兼容性问题。不同操作系统和设备需要不同版本或不同配置的SSL VPN客户端，给部署和管理带来一定的复杂性。
[0007]局限性：传统SSL VPN的引流方式通常只能基于网络层或传输层进行引流，如IP地址和端口。这在某些场景下不够灵活，无法满足对应用层或更高级别的流量控制需求。
[0008]安全性风险：由于传统SSL VPN客户端需要在用户设备上运行，并进行流量拦截和处理，存在一定的安全风险。恶意软件或攻击者可能利用SSL VPN客户端的漏洞或不安全配置来进行攻击，威胁用户设备和网络安全。
[0009]配置和管理复杂性：传统SSL VPN的配置和管理通常需要针对每个用户设备进行独立的设置，包括安装和配置SSL VPN客户端、管理用户凭据等。这对于大规模部署和管理
来说比较繁琐和复杂。
[0010]隧道技术是在传输层面实现安全控制，主要包括3个关键内容：引流、传输和代理。引流是精准“抓”取业务访问 流量，传输是指以加密后传输给隧道代理网关，代理是由网 关代理客户端完成业务访问。
[0011]另外一种主流的方式是零信任SDP架构有两种终端引流和管控方式，其一是与传统SSL VPN一样的虚拟网卡方式，不再赘述，另一种方案采用基于Packet Filtering的引流方案，在该方案中利用WFP框架过滤驱动获取用户流量，在过滤驱动层实现一套规则引擎，可以实现IP粒度、端口粒度、进程粒度拆流其工作流程如图2所示：步骤一：用户发起连接：用户通过终端设备发起连接请求，例如访问企业内部资源或远程办公应用程序。
[0012]步骤二：流量捕获：在终端设备上，WFP过滤驱动位于网络协议栈中的合适位置，它负责捕获和处理网络流量。当用户发起连接时，WFP过滤驱动会截获该流量。
[0013]步骤三：安全策略检查：WFP过滤驱动根据预先定义的安全策略，对截获的流量进行检查。这些安全策略可以包括源IP地址、目标IP地址、端口号、应用程序标识等多个因素。
[0014]步骤四：授权验证：在安全策略检查通过后，WFP过滤驱动会将流量传递给授权验证模块。该模块根据用户的身份认证信息，如用户名、密码、证书等，对用户进行身份验证。
[0015]步骤五：访问控制：一旦用户通过身份验证，WFP过滤驱动将根据用户的授权级别和权限，决定是否允许流量继续流入内部网络。这种访问控制可以基于多个因素，例如用户组、角色、资源类型等。
[0016]步骤六：流量引流：经过访问控制的流量将被引流到企业内部资源，即被允许访问的目标服务器或应用程序。这样，用户就能够远程访问企业内部资源，并进行工作或使用所需的应用程序。
[0017]由此可知，基于Packet Filtering的零信任SDP方案存在如下不足：有限的精细化控制能力：尽管Packet Filtering可以实现基于IP、端口和协议的粗粒度访问控制，但在细粒度的访问控制方面存在一定的局限性。其无法对具体应用程序、用户身份、数据内容等因素进行细致的控制和策略定义。
[0018]缺乏深度应用识别：Packet Filtering主要基于网络层和传输层的信息进行过滤和访问控制，对于应用层的深度识别和控制能力较弱。这意味着其无法准确识别和处理应用层协议、应用程序特征和行为，将导致无法满足对特定应用的安全需求。
[0019]灵活性和可扩展性限制：Packet Filtering通常依赖于特定的过滤驱动程序或框架，其规则定义和配置相对固定，难以灵活地应对复杂的网络环境和安全需求。在需要动态更新和扩展规则时，需要额外的开发和配置工作，增加了管理和维护的复杂性。
[0020]性能开销：Packet Filtering在数据包处理和过滤过程中需要进行深度检查和匹配，这将引入一定的性能开销。特别是在高流量和高并发的网络环境下，将会对系统的处理能力和网络延迟产生一定影响。
[0021]因此结合上述当前主流的访问控制类安全产品SSL VPN、零信任SDP等系统可知，均存在性能不足、无法实现精细化访问控制、安全性不足等问题。

技术实现思路

[0022]专利技术目的：针对现有技术中存在的问题，本专利技术提供一种基于eBPF的终端流量代理及访问控制方法，不仅可以减少数据包的大小和数量，提高网络性能，创建轻量且高效的访问通道，还可以实现更加灵活的访问控制和安全策略。
[0023]技术方案：为解决上述技术问题，本专利技术提供一种基于eBPF的终端流量代理及访问控制方法，包括如下步骤：步骤1：用户请求访问内部资源：当用户远程访问企业内部资源时，首先发起请求，如果请求合法则进入步骤2，如果请求非法则拒绝访问；步骤2：引流和过滤：eBPF基于规则对数据包进行引流和过滤操作；步骤2.1：对数据包进行引流操作；步骤2.2：对数据包进行过滤操作；步骤3：处理后的业务数据包经过客户端Agent发往安全网关：用户的业务请求数据包经过内核层过滤命中对应安全规则后被引流至安全网关；并通过eBPF进行应用层识别和精细化访问控制本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于eBPF的终端流量代理及访问控制方法，其特征在于，包括如下步骤：步骤1：用户请求访问内部资源：当用户远程访问企业内部资源时，首先发起请求，如果请求合法则进入步骤2，如果请求非法则拒绝访问；步骤2：引流和过滤：eBPF基于规则对数据包进行引流和过滤操作；步骤2.1：对数据包进行引流操作；步骤2.2：对数据包进行过滤操作；步骤3：处理后的业务数据包经过客户端Agent发往安全网关：用户的业务请求数据包经过内核层过滤命中对应安全规则后被引流至安全网关；并通过eBPF进行应用层识别和精细化访问控制；步骤4：用户收到目标资源响应：如果数据包通过eBPF的处理，并成功转发到目标资源，用户将收到响应，并访问所需的内部资源。2.根据权利要求1所述的一种基于eBPF的终端流量代理及访问控制方法，其特征在于，所述步骤1中用户请求访问内部资源的具体步骤如下：步骤1.1：客户端Agent建立访问隧道，将用户的认证、鉴权请求发送至控制中心；步骤1.2：控制中心对用户身份、权限及终端安全状态进行验证和判断，确认是否是合法请求，如果是合法请求则进入步骤1.3，如果是非法请求则拒绝访问；步骤1.3：控制中心判断是合法请求，则会反馈消息至零信任客户端，允许客户端进行业务流量转发。3.根据权利要求1所述的一种基于eBPF的终端流量代理及访问控制方法，其特征在于，所述步骤2.1中对数据包进行引流操作的具体步骤如下：步骤2.1.1：配置引流规则；步骤2.1.2：引流匹配：当网络数据包到达系统时，eBPF模块会检查数据包是否与引流规则匹配；步骤2.1.3：数据包捕获：一旦数据包被确定为需要引流的，eBPF模块会将其捕获并转发至用户空间程序中；步骤2.1.4：数据包转发：先对引流的数据包进行过滤操作，将符合过滤条件后的数据包将进行转发。4.根据权利要求1所述的一种基于eBPF的终端流量代理及访问控制方法，其特征在于，所述步骤2.2中对数据包进行过滤操作的具体步骤如下：步骤2.2.1：定义过滤规则：确定需要过滤的特定数据包的条件；步骤2.2.2：过滤数据包：当数据包满足过滤规则时，eBPF程序对数据包进行处理，包括丢弃、修改或转发；步骤2.2.3：数据包转发：针对匹配过滤规则的数据包则会将流量进一步转发至零信任安全网关。5.根据权利要求1所述的一种基于eBPF的终端流量代理及访问控制方法，其特征在于，所述步骤3中处理后的业务数据包经过客户端Agent发往安全网关：用户的业务请求数据包经过内核层过滤命中对应安全规则后被引流至安全网关；并通过eBPF进行应用层识别和精细化访问控制的具体步骤如下：步骤3.1：数据包传输至安全网关，安全网关执行访问控制策略，判断用户是否与访问
控制策略匹配，策略主要包含终端安全类策略、访问行为类策略、身份安全策略、应用安全策略等，例如PC终端软件黑白名单检测、终端杀毒软件检测、补丁检测、异常时间登录...

【专利技术属性】
技术研发人员：张晓东，
申请(专利权)人：江苏易安联网络技术有限公司，
类型：发明
国别省市：