安全網(wǎng)關(guān)的訪問控制方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)關(guān)領(lǐng)域����,具體而言,涉及一種安全網(wǎng)關(guān)的訪問控制方法和裝置��。
【背景技術(shù)】
[0002] 當(dāng)前大部分網(wǎng)絡(luò)都采用動(dòng)態(tài)分配IP的方式部署網(wǎng)絡(luò),對(duì)于同一個(gè)用戶而言����,IP的 變化是不可避免的。傳統(tǒng)防火墻基于IP的訪問控制策略已不能有效的應(yīng)對(duì)現(xiàn)階段網(wǎng)絡(luò)環(huán) 境的巨大變化����,因?yàn)镮P并不等于用戶,上述基于IP的訪問控制策略具有以下缺點(diǎn):
[0003] 1����、無法精確的識(shí)別出用戶,并有效的對(duì)用戶進(jìn)行管控����。
[0004] 2、無法根據(jù)企業(yè)的組織結(jié)構(gòu)分級(jí)�,實(shí)現(xiàn)在組織結(jié)構(gòu)中分層的對(duì)用戶行為進(jìn)行監(jiān)控 和管理,為網(wǎng)絡(luò)行為控制��、網(wǎng)絡(luò)權(quán)限和帶寬資源的分配提供基于用戶/用戶組的管理維度��。
[0005] 3���、無法為不同用戶定制差異化的認(rèn)證方案����,實(shí)現(xiàn)更加精細(xì)和靈活的管理���。
[0006] 針對(duì)現(xiàn)有技術(shù)中無法精確的識(shí)別出用戶�,并有效的對(duì)用戶進(jìn)行管控的問題����,目前 尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的主要目的在于提供一種安全網(wǎng)關(guān)的訪問控制方法和裝置�,以解決現(xiàn)有技 術(shù)中無法精確的識(shí)別出用戶,并有效的對(duì)用戶進(jìn)行管控的問題����。
[0008] 為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明實(shí)施例的一個(gè)方面��,提供了一種安全網(wǎng)關(guān)的訪問 控制方法�����。
[0009] 根據(jù)本發(fā)明的安全網(wǎng)關(guān)的訪問控制方法包括:接收網(wǎng)頁訪問請(qǐng)求的數(shù)據(jù)包����;在發(fā) 送所述數(shù)據(jù)包的用戶通過身份認(rèn)證的情況下�,記錄所述用戶對(duì)應(yīng)的用戶ID ;根據(jù)所述用戶 ID和所述數(shù)據(jù)包確定所述用戶的目標(biāo)匹配條件�����;根據(jù)所述目標(biāo)匹配條件在所述安全網(wǎng)關(guān) 中查詢所述用戶對(duì)應(yīng)的安全規(guī)則表�,并獲取所述安全規(guī)則表中的安全規(guī)則;以及按照所述 安全規(guī)則對(duì)所述網(wǎng)頁訪問請(qǐng)求中的數(shù)據(jù)包進(jìn)行處理�。
[0010] 進(jìn)一步地,根據(jù)所述目標(biāo)匹配條件在所述安全網(wǎng)關(guān)中查詢所述用戶對(duì)應(yīng)的安全規(guī) 則表��,并獲取所述安全規(guī)則表中的所述安全規(guī)則包括:將所述目標(biāo)匹配條件作為查詢條件�����, 在安全網(wǎng)關(guān)中查詢到所述用戶對(duì)應(yīng)的安全規(guī)則表����;判斷所述用戶對(duì)應(yīng)的所述安全規(guī)則表中 的所述安全規(guī)則是否為空;其中�,在判斷出所述用戶對(duì)應(yīng)的所述安全規(guī)則表中的所述安全 規(guī)則為空的情況下,丟棄所述數(shù)據(jù)包��;在判斷出所述用戶對(duì)應(yīng)的所述安全規(guī)則表中的所述 安全規(guī)則不為空的情況下��,按照所述安全規(guī)則對(duì)所述網(wǎng)頁訪問請(qǐng)求中的數(shù)據(jù)包進(jìn)行處理。
[0011] 進(jìn)一步地����,按照所述安全規(guī)則對(duì)所述網(wǎng)頁訪問請(qǐng)求中的數(shù)據(jù)包進(jìn)行處理包括:遍 歷獲取到的所述安全規(guī)則�����,依次判斷每個(gè)所述安全規(guī)則對(duì)應(yīng)的預(yù)設(shè)指令為第一預(yù)設(shè)指令�����, 還是第二預(yù)設(shè)指令��,其中�,所述第一預(yù)設(shè)指令和所述第二預(yù)設(shè)指令為不同的預(yù)設(shè)指令;其 中�,在每判斷出所述安全規(guī)則對(duì)應(yīng)的預(yù)設(shè)指令為第一預(yù)設(shè)指令時(shí),對(duì)所述數(shù)據(jù)包執(zhí)行所述 安全規(guī)則對(duì)應(yīng)的處理操作���;在判斷出獲取到的全部所述安全規(guī)則對(duì)應(yīng)的預(yù)設(shè)指令均為第二 預(yù)設(shè)指令時(shí)�,丟棄所述數(shù)據(jù)包���。
[0012] 進(jìn)一步地����,在按照所述安全規(guī)則對(duì)所述網(wǎng)頁訪問請(qǐng)求中的數(shù)據(jù)包進(jìn)行處理時(shí),所 述訪問控制方法還包括:記錄所述用戶ID對(duì)應(yīng)的用戶的日志信息�����。
[0013] 進(jìn)一步地�����,在接收訪問請(qǐng)求的數(shù)據(jù)包之后�����,并且在在發(fā)送所述數(shù)據(jù)包的用戶通過 身份認(rèn)證的情況下�,記錄所述用戶對(duì)應(yīng)的所述用戶ID之前,所述訪問控制方法還包括:根 據(jù)認(rèn)證策略����,判斷所述用戶是否需要進(jìn)行身份認(rèn)證;在判斷出所述用戶需要進(jìn)行身份認(rèn)證 的情況下��,判斷所述用戶是否已經(jīng)進(jìn)行過身份認(rèn)證���;在判斷出所述用戶未進(jìn)行過身份認(rèn)證 的情況下���,判斷所述用戶是否為免身份認(rèn)證用戶����;在判斷出所述用戶不是所述免身份認(rèn)證 用戶的情況下�,跳轉(zhuǎn)到認(rèn)證界面����,接收所述用戶輸入的賬戶信息;根據(jù)所述賬戶信息����,判斷 所述用戶是否為合法用戶;以及在判斷出所述用戶為所述合法用戶的情況下��,更新身份認(rèn) 證數(shù)據(jù)庫����,并彈出身份認(rèn)證成功界面。
[0014] 進(jìn)一步地,在接收網(wǎng)頁訪問請(qǐng)求的數(shù)據(jù)包之前,所述訪問控制方法還包括:建立所 述用戶對(duì)應(yīng)的用戶ID ;根據(jù)所述用戶ID和所述用戶的初始匹配條件���,建立所述用戶的目標(biāo) 匹配條件��;以及根據(jù)所述用戶的目標(biāo)匹配條件與安全規(guī)則進(jìn)行匹配�,以得到所述用戶對(duì)應(yīng) 的安全規(guī)則表。
[0015] 進(jìn)一步地����,在建立每個(gè)用戶對(duì)應(yīng)的用戶ID之后,所述訪問控制方法還包括:建立 用戶組及所述用戶組的用戶組ID ;將所述用戶組中包含的所述用戶的所述用戶ID添加至 所述用戶組�;根據(jù)所述用戶ID和所述用戶的初始匹配條件,建立所述用戶的目標(biāo)匹配條件 包括:根據(jù)所述用戶組ID和所述用戶組的初始匹配條件�,建立所述用戶組的目標(biāo)匹配條 件;根據(jù)所述用戶的目標(biāo)匹配條件與安全規(guī)則進(jìn)行匹配�,以得到所述用戶對(duì)應(yīng)的安全規(guī)則 表包括:根據(jù)所述用戶組的目標(biāo)匹配條件與安全規(guī)則進(jìn)行匹配,以得到所述用戶組對(duì)應(yīng)的 安全規(guī)則表��。
[0016] 為了實(shí)現(xiàn)上述目的��,根據(jù)本發(fā)明實(shí)施例的另一方面�����,提供了一種安全網(wǎng)關(guān)的訪問 控制裝置��。
[0017] 根據(jù)本發(fā)明的安全網(wǎng)關(guān)的訪問控制裝置包括:第一接收單元�����,用于接收網(wǎng)頁訪問 請(qǐng)求的數(shù)據(jù)包�����;計(jì)算單元,用于在發(fā)送所述數(shù)據(jù)包的用戶通過身份認(rèn)證的情況下����,記錄所述 用戶對(duì)應(yīng)的用戶ID ;確定單元,用于根據(jù)所述用戶ID和所述數(shù)據(jù)包確定所述用戶的目標(biāo)匹 配條件�����;獲取單元���,用于根據(jù)所述目標(biāo)匹配條件在所述安全網(wǎng)關(guān)中查詢所述用戶對(duì)應(yīng)的安 全規(guī)則表,并獲取所述安全規(guī)則表中的安全規(guī)則�����;以及處理單元���,用于按照所述安全規(guī)則對(duì) 所述網(wǎng)頁訪問請(qǐng)求中的數(shù)據(jù)包進(jìn)行處理���。
[0018] 進(jìn)一步地,所述獲取單元包括:查詢模塊��,用于將所述目標(biāo)匹配條件作為查詢條 件,在安全網(wǎng)關(guān)中查詢到所述用戶對(duì)應(yīng)的安全規(guī)則表��;第一判斷模塊���,用于判斷所述用戶對(duì) 應(yīng)的所述安全規(guī)則表中的所述安全規(guī)則是否為空���;其中,在判斷出所述用戶對(duì)應(yīng)的所述安 全規(guī)則表中的所述安全規(guī)則為空的情況下���,丟棄所述數(shù)據(jù)包�;在判斷出所述用戶對(duì)應(yīng)的所 述安全規(guī)則表中的所述安全規(guī)則不為空的情況下����,按照所述安全規(guī)則對(duì)所述網(wǎng)頁訪問請(qǐng)求 中的數(shù)據(jù)包進(jìn)行處理。
[0019] 進(jìn)一步地�,所述處理單元包括:第二判斷模塊,用于遍歷獲取到的所述安全規(guī)則�, 依次判斷每個(gè)所述安全規(guī)則對(duì)應(yīng)的預(yù)設(shè)指令為第一預(yù)設(shè)指令,還是第二預(yù)設(shè)指令�,其中,所 述第一預(yù)設(shè)指令和所述第二預(yù)設(shè)指令為不同的預(yù)設(shè)指令�;其中,在每判斷出所述安全規(guī)則 對(duì)應(yīng)的預(yù)設(shè)指令為第一預(yù)設(shè)指令時(shí),對(duì)所述數(shù)據(jù)包執(zhí)行所述安全規(guī)則對(duì)應(yīng)的處理操作��;在 判斷出獲取到的全部所述安全規(guī)則對(duì)應(yīng)的預(yù)設(shè)指令均為第二預(yù)設(shè)指令時(shí)����,丟棄所述數(shù)據(jù) 包。
[0020] 進(jìn)一步地�,所述訪問控制裝置還包括:記錄單元,用于在按照所述安全規(guī)則對(duì)所述 網(wǎng)頁訪問請(qǐng)求中的數(shù)據(jù)包進(jìn)行處理時(shí)�����,記錄所述用戶ID對(duì)應(yīng)的用戶的日志信息���。
[0021] 進(jìn)一步地,所述訪問控制裝置還包括:第一判斷單元�,用于在接收訪問請(qǐng)求的數(shù)據(jù) 包之后,并且在在發(fā)送所述數(shù)據(jù)包的用戶通過身份認(rèn)證的情況下�,記錄所述用戶對(duì)應(yīng)的所 述用戶ID之前,根據(jù)認(rèn)證策略�����,判斷所述用戶是否需要進(jìn)行身份認(rèn)證��;第二判斷單元�,用于 在判斷出所述用戶需要進(jìn)行身份認(rèn)證的情況下���,判斷所述用戶是否已經(jīng)進(jìn)行過身份認(rèn)證; 第三判斷單元�����,用于在判斷出所述用戶未進(jìn)行過身份認(rèn)證的情況下��,判斷所述用戶是否為 免身份認(rèn)證用戶�����;第二接收單元�,用于在判斷出所述用戶不是所述免身份認(rèn)證用戶的情況 下,跳轉(zhuǎn)到認(rèn)證界面��,接收所述用戶輸入的賬戶信息���;第三判斷單元���,用于根據(jù)所述賬戶信 息,判斷所述用戶是否為合法用戶�����;以及更新單元,用于在判斷出所述用戶為所述合法用戶 的情況下�,更新身份認(rèn)證數(shù)據(jù)庫,并彈出身份認(rèn)證成功界