【技术实现步骤摘要】
本申请涉及通信领域,尤其涉及控制终端安全访问互联网和内网的方法及设备。
技术介绍
1、当终端同时连接互联网和内网时,容易通过互联网中病毒后,被黑客利用,作为跳板,攻击内网的业务系统,因此需要实现终端不能同时访问互联网和内网,从而保障终端安全访问互联网和内网。
2、现有技术中,通常是在终端上通过软件层面控制能否访问内网和互联网,安全性不够。因此需要提供一种控制终端安全访问互联网和内网的方法,以提升安全性。
技术实现思路
1、本申请实施例提供了一种控制终端安全访问互联网和内网的方法及设备,能够提升安全性。
2、第一方面,提供了一种控制终端安全访问互联网和内网的方法。控制器从终端接收用户认证请求,所述用户认证请求中包括所述终端的设备信息和第一用户的用户信息;所述控制器在针对所述用户认证请求认证通过后,向所述终端发送用户标识,以及与所述终端上的所述第一用户的权限相对应的内网模式下的访问应用列表;向代理网关发送可信资产列表以及默认访问控制策略;其中,所述访问应用列表包括至少一个应用的应用标识,所述可信资产列表包括所述终端的网络协议(internet protocol,ip)地址、与所述访问应用列表对应的端口列表、所述用户标识;所述默认访问控制策略为仅允许所述终端上的所述第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略。
3、本申请实施例,控制器在针对用户认证请求认证通过后,不仅向终端发送用户标识,以及与所
4、在一种可能的实施方式中,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。根据该实施方式,控制器根据终端的默认访问模式,向代理网关发送与默认访问模式相适应的默认访问控制策略,从而实现终端和代理网关二者对访问内网和互联网控制的一致性。
5、进一步地,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述控制器从所述终端接收用于指示终端从互联网模式切换到内网模式的第一通知,所述第一通知中携带所述用户标识;所述控制器向所述代理网关发送针对所述用户标识的所述第二访问控制策略,以使所述代理网关将所述第二访问控制策略作为当前访问控制策略。根据该实施方式,当终端从互联网模式切换到内网模式时,与终端上的模式切换相适应,代理网关相应的更新其上的访问控制策略,以使终端和代理网关二者始终保持访问内网和互联网控制的一致性。
6、进一步地,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述控制器从所述终端接收指示终端从内网模式切换到互联网模式的第二通知,所述第二通知中携带所述用户标识;所述控制器向所述代理网关发送针对所述用户标识的所述第一访问控制策略,以使所述代理网关将所述第一访问控制策略作为当前访问控制策略。根据该实施方式,当终端从内网模式切换到互联网模式时,与终端上的模式切换相适应,代理网关相应的更新其上的访问控制策略,以使终端和代理网关二者始终保持访问内网和互联网控制的一致性。
7、第二方面,提供了一种控制终端安全访问互联网和内网的方法。代理网关从控制器接收可信资产列表以及默认访问控制策略;其中,所述可信资产列表包括终端的网络协议 ip地址、内网模式下的可访问端口列表、用户标识;所述默认访问控制策略为仅允许所述用户标识对应的所述终端上的第一用户访问互联网的第一访问控制策略,或者,仅允许所述终端上的所述第一用户访问内网的第二访问控制策略;所述代理网关从所述终端接收第一访问请求,所述第一访问请求中携带互联网的应用的端口和所述用户标识;所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略确定转发所述第一访问请求;或者,所述代理网关从所述终端接收第二访问请求,所述第二访问请求中携带内网的应用的端口和所述用户标识;所述代理网关根据所述用户标识查找到所述第二访问控制策略和所述可信资产列表,并根据所述第二访问控制策略和所述可信资产列表确定转发所述第二访问请求。
8、本申请实施例,代理网关从控制器接收可信资产列表以及默认访问控制策略,由代理网关根据默认访问控制策略进行互联网和内网的路由层面控制,相对于通常的在终端上通过软件层面控制能否访问内网和互联网,能够提升安全性。
9、在一种可能的实施方式中,所述代理网关从所述终端接收所述第二访问请求,所述代理网关根据所述用户标识查找到所述第一访问控制策略,基于所述第一访问控制策略拒绝转发所述第二访问请求。根据该实施方式,第二访问请求用于所述用户标识对应的所述终端上的第一用户请求访问内网,第一访问控制策略仅允许所述用户标识对应的所述终端上的第一用户访问互联网,代理网关对于从终端接收的不符合当前访问控制策略的访问请求,拒绝转发该访问请求,实现互联网和内网的路由层面控制。
10、在一种可能的实施方式中,所述代理网关从所述终端接收所述第一访问请求,所述代理网关根据所述用户标识查找到所述第二访问控制策略,基于所述第二访问控制策略拒绝转发所述第一访问请求。该实施方式中,代理网关对于从终端接收的不符合当前访问控制策略的访问请求,拒绝转发该访问请求,实现互联网和内网的路由层面控制。根据该实施方式,第一访问请求用于所述用户标识对应的所述终端上的第一用户请求访问互联网,第二访问控制策略仅允许所述用户标识对应的所述终端上的第一用户访问内网,代理网关对于从终端接收的不符合当前访问控制策略的访问请求,拒绝转发该访问请求,实现互联网和内网的路由层面控制。
11、在一种可能的实施方式中,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。根据该实施方式,代理网关会从控制器接收到与终端的默认访问模式相适应的默认访问控制策略,从而实现终端和代理网关二者对访问内网和互联网控制的一致性。
12、进一步地,所述代理网关从控制器接收可信资产列表以及默认访问控制策略之后,所述代理网关从所述控制器接收当前访问控制策略,所述当前访问控制策略为所述第一访问控制策略或所述第二访问控制策略;将所述默认访问控制策略更新为所述当前访问控制策略。根据该实施方式,能够实现代理网关上的访问控制策略的更新,以使终端和代理网关二者始终保持对访问内网和互联网控制的一致性。
13、第三方面,本申请实施例提供了一种控制器,该控制器可以实现上述第一方面方法设计中所执行的功能,所述功能可以通本文档来自技高网...
【技术保护点】
1.一种控制终端安全访问互联网和内网的方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。
3.如权利要求2所述的方法,其特征在于,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
4.如权利要求2所述的方法,其特征在于,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
5.一种控制终端安全访问互联网和内网的方法,其特征在于,所述方法包括:
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
7.如权利要求5所述的方法,其特征在于,所述方法还包括:
8.如权利要求5所述的方法,其特征在于,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所
9.如权利要求8所述的方法,其特征在于,所述代理网关从控制器接收可信资产列表以及默认访问控制策略之后,所述方法还包括:
10.一种控制器,其特征在于,所述控制器包括:
11.一种代理网关,其特征在于,所述代理网关包括:
12.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-9中任一项的所述的方法。
13.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-9中任一项的所述的方法。
...【技术特征摘要】
1.一种控制终端安全访问互联网和内网的方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述默认访问控制策略对应于所述终端的默认访问模式,所述默认访问模式为互联网模式时,所述默认访问控制策略为所述第一访问控制策略;所述默认访问模式为内网模式时,所述默认访问控制策略为所述第二访问控制策略。
3.如权利要求2所述的方法,其特征在于,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
4.如权利要求2所述的方法,其特征在于,所述控制器向代理网关发送可信资产列表以及默认访问控制策略之后,所述方法还包括:
5.一种控制终端安全访问互联网和内网的方法,其特征在于,所述方法包括:
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
7.如权利要求5所述的方法,其特征在于,所述方法还包括:<...
【专利技术属性】
技术研发人员:徐菊华,邹仁冬,王伟,孙跃卓,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。