本發(fā)明提供一種對網絡設備訪問的控制審計方法，用戶在客戶端進行認證時，由管理中心把該用戶的策略信息下發(fā)到客戶端；當用戶訪問網絡資源時，客戶端根據(jù)用戶訪問的目標IP和端口判斷該設備是否屬于用戶權限范圍內的資源，如果是，則修改用戶數(shù)據(jù)報文，與代理服務器進行連接，并且將用戶真實訪問的目標IP等信息傳送到代理服務器上，代理服務器負責監(jiān)聽客戶端連接，提取客戶端要連接的目標設備的ip等信息，并啟用對應的本地應用服務，同時將客戶端流量轉發(fā)到對應的本地服務，再由代理服務器與目標設備進行連接，不僅整個過程對用戶來說完全是透明的，而且降低了用戶操作難度，由于采用本地服務的方式對ssh等加密協(xié)議也可以審計和控制。

技術領域

本發(fā)明涉及通信網絡信息安全技術領域，特別涉及一種對網絡設備訪問的控制審計方法。

背景技術

隨著網絡信息技術的迅速發(fā)展，企事業(yè)單位網絡規(guī)模和設備數(shù)量迅速擴大，建設重點逐步從網絡信息化到網絡信息安全、提升效益為特征的運行維護階段。企事業(yè)單位需要對特定資產的訪問進行控制和審計，攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，并對內部人員誤操作和非法操作進行審計監(jiān)控，以便事后責任追蹤，因此堡壘機應運而生。堡壘機具備帳號管理、身份認證、資源授權、訪問控制操作審計等功能有效解決企事業(yè)面臨的問題。傳統(tǒng)堡壘機以旁路模式接入網絡，用戶要訪問目標設備都需要登錄到堡壘機上再與目標設備進行連接操作，這種接入方式需要改變用戶的使用習慣，而且操作變得很繁瑣，無法一步到位直連到目標設備。

發(fā)明內容

本發(fā)明要解決的技術問題，在于提供一種對網絡設備訪問的控制審計方法，通過在用戶端改變用戶的數(shù)據(jù)報文把流量牽引到代理服務器上，再由代理服務器與目標設備進行連接，不僅整個過程對用戶來說完全是透明的，而且降低了用戶操作難度。

本發(fā)明是這樣實現(xiàn)的：一種對網絡設備訪問的控制審計方法，在用戶終端安裝客戶端，在客戶端進行認證的時候，由管理中心把該用戶的策略信息下發(fā)到客戶端；當用戶訪問網絡資源的時候，客戶端會根據(jù)用戶訪問的目標IP和端口判斷該設備是否屬于用戶權限范圍內的資源，如果是，則修改用戶數(shù)據(jù)報文，與代理服務器進行連接，并且將用戶真實訪問的目標IP和端口、應用層協(xié)議類型傳送到代理服務器上，代理服務器負責監(jiān)聽客戶端連接，提取客戶端要連接的目標設備的ip、端口、應用層協(xié)議類型等信息，并根據(jù)協(xié)議類型啟用對應的本地應用服務，同時將客戶端流量轉發(fā)到對應的本地服務，并與目標設備進行連接，并記錄用戶的操作行為，如果不是，則不做任何處理。

進一步的，所述管理中心把該用戶的策略信息下發(fā)到客戶端的同時，還將用戶認證的IP和帳號發(fā)送到代理服務器用于關聯(lián)用戶的操作行為。

進一步的，所述策略信息為敏感設備、帳號和訪問設備關聯(lián)信息。

本發(fā)明具有如下優(yōu)點：本發(fā)明采用完全透明轉發(fā)的方式，直接在用戶端改變用戶的網絡行為，用戶表面上是直接訪問網絡資源，但是在底層本發(fā)明方法會改變用戶的行為(即修改用戶數(shù)據(jù)報文)，讓其連接到代理服務器上，再由代理服務器與目標資源訪問，整個過程對用戶來說是完全透明的，但用戶無任何感知。而且本發(fā)明通過在客戶端將流量牽引到代理服務器上，由用戶跟代理服務器建立連接，再由代理服務器與目標設備進行連接的方式解決了傳統(tǒng)堡壘機需要先登錄到堡壘機上再從堡壘機上訪問目標設備操作繁瑣的問題，降低了用戶操作難度。

附圖說明

下面參照附圖結合實施例對本發(fā)明作進一步的說明。

圖1為本發(fā)明方法執(zhí)行流程圖。

具體實施方式