技術領域

本發明涉及網絡信息安全技術領域，尤其涉及一種網絡資源訪問控制方法、裝置及相關設備。

背景技術

虛擬專用網絡(VPN，Virtual?Private?Network)被定義為通過公用網絡(可以為因特網)建立臨時的、安全的連接，是一條穿過公用網絡的安全、穩定隧道。VPN可以幫助遠程用戶、公司分支結構等同公司的內部網建立可見的安全連接。安全套接層(SSL，Secure?Sockets?Layer)是一套因特網數據安全協議，被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間，通過加密方法保護在因特網上傳輸的數據安全性。

SSL?VPN是一種采用SSL加密連接實現遠程訪問的VPN技術。SSL?VPN的功能如圖1所示。其中，遠程主機與SSL?VPN網關終結了SSL連接，SSL?VPN網關通過與內網服務器(服務器1、服務器2......服務器N)建立傳輸控制協議(TCP，Transmission?Control?Protocol)連接或者直接通過因特網協議(IP，International?Protocol)轉發，以明文方式傳送遠程主機發來的請求，并將內網服務器的應答通過SSL連接發送給遠程主機。

為了增強網絡資源訪問的安全性，SSL?VPN網關通過存儲允許訪問的統一資源定位符(URL，Uniform?Resource?Locator)列表對遠程主機訪問的網絡資源進行控制。當SSL?VPN網關接收到遠程主機發送的訪問請求時，SSL?VPN網關判斷訪問請求中攜帶的URL是否存在于自身存儲的允許訪問URL列表中，如果存在，則允許遠程主機訪問該URL對應的內容，否則，禁止遠程主機訪問該URL對應的內容。

由于允許訪問的URL對應的頁面中可能包含有其它URL鏈接，當遠程主機基于允許訪問的URL對應的頁面，訪問其包含的URL時，如果SSL?VPN網關存儲的允許訪問的URL中沒有該外部URL時(即根據SSL?VPN存儲的允許訪問的URL列表中不包括該URL)，將導致SSL?VPN網關禁止遠程主機訪問該外部URL的內容，但是由于遠程主機基于允許訪問的URL對應的頁面訪問該URL，能夠保證網絡資源訪問的安全性，是允許遠程主機訪問的。例如，在SSL?VPN網關上存儲的允許訪問URL列表中包含www.ruijie.net，當遠程主機通過向SSL?VPN網關提交包含URL地址為https://sslvpn/www.ruijie.net的訪問請求，請求SSL?VPN網關代理訪問www.ruijie.net時，SSL?VPN網關接收到遠程主機提交的訪問請求之后，由于自身存儲的允許訪問URL列表中存在www.ruijie.net，便允許遠程主機訪問www.ruijie.net，同時向www.ruijie.net服務器發送訪問請求。SSL?VPN網關接收到www.ruijie.net服務器的回復后，修改www.ruijie.net服務器回復的網頁中的URL(在URL的地址部分加入前綴：sslvpn/)，并將修改后的網頁推送給遠程主機。www.ruijie.net服務器回復的網頁中可能包含https://sslvpn/www.baidu.com，此時，若遠程主機通過網頁www.ruijie.net訪問https://sslvpn/www.baidu.com，如果在SSL?VPN網關上存儲的允許訪問URL列表中不存在www.baidu.com時，將禁止遠程主機訪問www.baidu.com，而實際上允許用戶通過www.ruijie.net訪問www.baidu.com，即允許用戶通過允許訪問的URL對應的頁面訪問該允許訪問的URL對應的頁面中包含的URL。

為了解決上述問題，現有技術提出了以下兩種解決方案：1)手動配置URL類表，根據允許訪問的URL的內容，在SSLVPN網關上依次手動添加該允許訪問的URL對應的頁面中包含的URL，但是手動配置方法操作繁瑣，如果允許訪問的URL對應的頁面發生改變，還需要對比原來的URL對應的頁面并手動進行添加或者刪除；2)關閉授權，關閉授權后遠程主機可以不受限制的訪問所有的URL，這樣，將降低網絡資源訪問的安全性。

由上述描述可知，如何準確識別遠程主機是否是基于允許訪問的URL對應的頁面訪問不存在于允許訪問URL列表中的URL，以簡化網絡側設備授權流程，保證網絡資源訪問安全性，成為現有技術中亟待解決的技術問題之一。

發明內容