本发明专利技术提供了一种针对私有网络的安全访问方法及系统,其中,所述方法包括:接收私有网络中目标设备发起的网络访问请求,并识别所述网络访问请求的归属信息;读取与所述归属信息相匹配的安全配置策略,在所述安全配置策略表征所述设备层级具备对应的域名解析服务器的情况下,向所述域名解析服务器发送所述网络访问请求,并接收所述域名解析服务器反馈的域名解析结果;判断所述域名解析结果指向的资源服务器的服务器类型,若所述服务器类型表征外网服务器,按照请求转换规则对所述网络访问请求进行转换后,将转换得到的访问请求发送至所述资源服务器处
【技术实现步骤摘要】
一种针对私有网络的安全访问方法及系统
[0001]本专利技术涉及网络安全
,特别涉及一种针对私有网络的安全访问方法及系统
。
技术介绍
[0002]SASE(Secure Access Service Edge
,安全访问服务边缘技术
)
将网络和安全整合到一个平台上,这样就可以将多种安全解决方案整合到云服务中,从而在所有公司的位置
、
用户和数据之间实施统一的战略
。
[0003]然而,私有网络中网络结构比较复杂,硬件更新迭代快,导致网络服务相对落后,复杂的网络配置需要投入额外的成本才能实现
。
[0004]鉴于此,目前需要一种成本较低的针对私有网络的安全访问方式
。
技术实现思路
[0005]本专利技术提供一种针对私有网络的安全访问方法及系统,能够节省私有网络中的网络访问成本
。
[0006]鉴于此,本专利技术一方面提供一种针对私有网络的安全访问方法,所述方法包括:
[0007]接收私有网络中目标设备发起的网络访问请求,并识别所述网络访问请求的归属信息,所述归属信息至少表征所述目标设备在所述私有网络中所处的设备层级;
[0008]读取与所述归属信息相匹配的安全配置策略,在所述安全配置策略表征所述设备层级具备对应的域名解析服务器的情况下,向所述域名解析服务器发送所述网络访问请求,并接收所述域名解析服务器反馈的域名解析结果;
[0009]判断所述域名解析结果指向的资源服务器的服务器类型,若所述服务器类型表征外网服务器,从所述安全配置策略中获取请求转换规则,并按照所述请求转换规则对所述网络访问请求进行转换后,将转换得到的访问请求发送至所述资源服务器处
。
[0010]在一个实施方式中,识别所述网络访问请求的归属信息包括:
[0011]从所述网络访问请求中识别源地址信息,并基于所述源地址信息中的前缀网段,对所述目标设备的地理位置进行定位;
[0012]确定位于定位得到的地理位置处的机房,并根据所述源地址信息中的后缀网段,在所述机房中确定所述目标设备的设备层级
。
[0013]在一个实施方式中,若所述网络访问请求中不具备源地址信息,所述方法还包括:
[0014]响应于所述网络访问请求,向所述目标设备发送地址探测数据包,并接收所述目标设备针对所述地址探测数据包反馈的回复数据,并从所述回复数据中提取所述目标设备的源地址信息
。
[0015]在一个实施方式中,所述方法还包括:
[0016]若所述安全配置策略表征所述设备层级不具备对应的域名解析服务器,向预设的权威域名解析服务器发送所述网络访问请求,并接收所述权威域名解析服务器反馈的域名
解析结果
。
[0017]在一个实施方式中,按照所述请求转换规则对所述网络访问请求进行转换包括:
[0018]识别所述网络访问请求中的源地址信息;
[0019]根据所述目标设备所处的设备层级,获取对应的对外地址信息;
[0020]利用所述对外地址信息替换所述网络访问请求中的源地址信息
。
[0021]本专利技术另一方面提供一种针对私有网络的安全访问系统,所述系统包括:
[0022]请求处理单元,用于接收私有网络中目标设备发起的网络访问请求,并识别所述网络访问请求的归属信息,所述归属信息至少表征所述目标设备在所述私有网络中所处的设备层级;
[0023]策略读取单元,用于读取与所述归属信息相匹配的安全配置策略,在所述安全配置策略表征所述设备层级具备对应的域名解析服务器的情况下,向所述域名解析服务器发送所述网络访问请求,并接收所述域名解析服务器反馈的域名解析结果;
[0024]请求转换单元,用于判断所述域名解析结果指向的资源服务器的服务器类型,若所述服务器类型表征外网服务器,从所述安全配置策略中获取请求转换规则,并按照所述请求转换规则对所述网络访问请求进行转换后,将转换得到的访问请求发送至所述资源服务器处
。
[0025]在一个实施方式中,所述请求处理单元具体用于,从所述网络访问请求中识别源地址信息,并基于所述源地址信息中的前缀网段,对所述目标设备的地理位置进行定位;确定位于定位得到的地理位置处的机房,并根据所述源地址信息中的后缀网段,在所述机房中确定所述目标设备的设备层级
。
[0026]在一个实施方式中,所述请求处理单元具体还用于,若所述网络访问请求中不具备源地址信息,响应于所述网络访问请求,向所述目标设备发送地址探测数据包,并接收所述目标设备针对所述地址探测数据包反馈的回复数据,并从所述回复数据中提取所述目标设备的源地址信息
。
[0027]本专利技术提供的技术方案,在接收到私有网络中发起的网络访问请求后,可以对目标设备所处的设备层级进行识别
。
不同的设备层级可能对应不同的安全配置策略,某些设备层级会具备预先部署的内部的域名解析服务器,从而保证域名解析过程的安全性
。
在这种情况下,该网络访问请求可以通过内部的域名解析服务器进行解析,并且在向外网发送网络请求时,可以对网络访问请求进行转换,从而保护内网地址的隐私性,在规避了安全风险的同时,也不需要额外部署复杂的硬件架构,从而节省了私有网络的网络访问成本
。
[0028]本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解
。
本专利技术的目的和其他优点可通过在所写的说明书
、
权利要求书
、
以及附图中所特别指出的结构来实现和获得
。
[0029]下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述
。
附图说明
[0030]附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制
。
在附图中:
[0031]图1为本专利技术实施例中一种针对私有网络的安全访问方法的步骤示意图;
[0032]图2为本专利技术实施例中一种针对私有网络的安全访问系统的功能模块示意图
。
具体实施方式
[0033]以下结合附图对本专利技术的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本专利技术,并不用于限定本专利技术
。
[0034]请参阅图1,本专利技术提供一种针对私有网络的安全访问方法,所述方法包括:
[0035]S1
:接收私有网络中目标设备发起的网络访问请求,并识别所述网络访问请求的归属信息,所述归属信息至少表征所述目标设备在所述私有网络中所处的设备层级;
[0036]S2
:读取与所述归属信息相匹配的安全配置策略,在所述安全配置策略表征所述设备层级具备对应的域名解析服务器的情况下,向所述域名解析服务器发本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种针对私有网络的安全访问方法,其特征在于,所述方法包括:接收私有网络中目标设备发起的网络访问请求,并识别所述网络访问请求的归属信息,所述归属信息至少表征所述目标设备在所述私有网络中所处的设备层级;读取与所述归属信息相匹配的安全配置策略,在所述安全配置策略表征所述设备层级具备对应的域名解析服务器的情况下,向所述域名解析服务器发送所述网络访问请求,并接收所述域名解析服务器反馈的域名解析结果;判断所述域名解析结果指向的资源服务器的服务器类型,若所述服务器类型表征外网服务器,从所述安全配置策略中获取请求转换规则,并按照所述请求转换规则对所述网络访问请求进行转换后,将转换得到的访问请求发送至所述资源服务器处
。2.
根据权利要求1所述的方法,其特征在于,识别所述网络访问请求的归属信息包括:从所述网络访问请求中识别源地址信息,并基于所述源地址信息中的前缀网段,对所述目标设备的地理位置进行定位;确定位于定位得到的地理位置处的机房,并根据所述源地址信息中的后缀网段,在所述机房中确定所述目标设备的设备层级
。3.
根据权利要求2所述的方法,其特征在于,若所述网络访问请求中不具备源地址信息,所述方法还包括:响应于所述网络访问请求,向所述目标设备发送地址探测数据包,并接收所述目标设备针对所述地址探测数据包反馈的回复数据,并从所述回复数据中提取所述目标设备的源地址信息
。4.
根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述安全配置策略表征所述设备层级不具备对应的域名解析服务器,向预设的权威域名解析服务器发送所述网络访问请求,并接收所述权威域名解析服务器反馈的域名解析结果
。5.
根据权利要求1所述的方法,其特征在于...
【专利技术属性】
技术研发人员:余丹,兰雨晴,马海洋,邢智涣,
申请(专利权)人:慧之安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。