本申請?zhí)峁┮环N防止非法外聯(lián)的方法及裝置，通過認(rèn)證設(shè)備接收用戶主機(jī)上的登錄認(rèn)證組件在確認(rèn)用戶主機(jī)非法外聯(lián)時(shí)發(fā)送的攜帶用戶主機(jī)地址和用戶名的非法外聯(lián)消息，登錄認(rèn)證組件是認(rèn)證設(shè)備在用戶主機(jī)登錄內(nèi)部網(wǎng)絡(luò)時(shí)向用戶主機(jī)推送的；判斷用戶主機(jī)是否還在訪問內(nèi)部網(wǎng)絡(luò)，如果是，則將用戶主機(jī)登錄內(nèi)部網(wǎng)絡(luò)時(shí)本地記錄的與用戶主機(jī)地址和用戶名對應(yīng)的認(rèn)證信息刪除，以斷開用戶主機(jī)與內(nèi)部網(wǎng)絡(luò)的連接。因此本申請可以通過登錄認(rèn)證組件來檢測用戶主機(jī)是否進(jìn)行非法外聯(lián)，并在確認(rèn)用戶主機(jī)非法外聯(lián)時(shí)通知認(rèn)證設(shè)備斷開用戶主機(jī)與內(nèi)部網(wǎng)絡(luò)的連接，從而避免用戶主機(jī)非法外聯(lián)時(shí)導(dǎo)致的內(nèi)部網(wǎng)絡(luò)的安全問題，進(jìn)而提升內(nèi)部網(wǎng)絡(luò)的安全性。

技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種防止非法外聯(lián)的方法及裝置。

背景技術(shù)

一些具有較高安全性的內(nèi)部網(wǎng)絡(luò)(如政府部門、軍事部門的網(wǎng)絡(luò))常常采用與外部網(wǎng)絡(luò)(如Internet)實(shí)施物理隔離的方法來確保其網(wǎng)絡(luò)的安全性。物理隔離雖然確保了外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間不存在任何可能的物理鏈路，但是由于管理制度的不健全或缺乏有效的終端監(jiān)控技術(shù)，內(nèi)部網(wǎng)絡(luò)中個(gè)別用戶還是可以利用電話撥號、即插即用的互聯(lián)網(wǎng)接入設(shè)備，外連互聯(lián)網(wǎng)進(jìn)行外部網(wǎng)絡(luò)的訪問操作，導(dǎo)致物理隔離環(huán)境被破壞，我們稱之為“非法外聯(lián)”行為。

“非法外聯(lián)”使原本封閉的內(nèi)部系統(tǒng)環(huán)境與外部網(wǎng)絡(luò)之間出現(xiàn)隱蔽通道，導(dǎo)致內(nèi)部網(wǎng)絡(luò)將面臨病毒、木馬、非授權(quán)訪問、數(shù)據(jù)竊聽、暴力破解等多種安全威脅，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器部署、安全防護(hù)措施等信息被泄露，甚至進(jìn)行跨安全域、跨網(wǎng)絡(luò)破壞。

發(fā)明內(nèi)容

有鑒于此，本申請?zhí)峁┮环N防止非法外聯(lián)的方法及裝置，來解決內(nèi)網(wǎng)用戶非法外聯(lián)的問題。

具體地，本申請是通過如下技術(shù)方案實(shí)現(xiàn)的：

第一方面，本申請?zhí)峁┮环N防止非法外聯(lián)的方法，所述方法應(yīng)用于認(rèn)證設(shè)備，該方法包括：

接收用戶主機(jī)上的登錄認(rèn)證組件在確認(rèn)所述用戶主機(jī)非法外聯(lián)時(shí)發(fā)送的攜帶用戶主機(jī)地址和用戶名的非法外聯(lián)消息，所述登錄認(rèn)證組件是所述認(rèn)證設(shè)備在用戶主機(jī)登錄內(nèi)部網(wǎng)絡(luò)時(shí)向所述用戶主機(jī)推送的；

判斷所述用戶主機(jī)是否還在訪問內(nèi)部網(wǎng)絡(luò)，如果是，則將用戶主機(jī)登錄內(nèi)部網(wǎng)絡(luò)時(shí)本地記錄的與所述用戶主機(jī)地址和用戶名對應(yīng)的認(rèn)證信息刪除，以斷開所述用戶主機(jī)與內(nèi)部網(wǎng)絡(luò)的連接。

作為一個(gè)實(shí)施例，在接收所述非法外聯(lián)消息之前，所述方法還包括：

在用戶主機(jī)登錄內(nèi)部網(wǎng)絡(luò)時(shí)，記錄主機(jī)的地址信息和用戶名，向用戶主機(jī)推送所述登錄認(rèn)證組件，該登錄認(rèn)證組件中預(yù)先配置的指定外網(wǎng)地址，以使該登錄認(rèn)證組件通過所述用戶主機(jī)的瀏覽器周期性的請求訪問所述指定外網(wǎng)地址，在訪問所述指定外網(wǎng)地址成功時(shí)，確認(rèn)所述用戶主機(jī)非法外聯(lián)。

作為一個(gè)實(shí)施例，在接收所述非法外聯(lián)消息之前，所述方法還包括：

預(yù)先在所述登錄認(rèn)證組件中配置指定地址，所述指定地址屬于內(nèi)網(wǎng)服務(wù)器的地址范圍，以使所述登錄認(rèn)證組件在確認(rèn)所述用戶主機(jī)非法外聯(lián)時(shí)，根據(jù)所述指定地址將所述非法外聯(lián)消息通過用戶主機(jī)中的內(nèi)網(wǎng)服務(wù)器的路由轉(zhuǎn)發(fā)至所述認(rèn)證設(shè)備。

作為一個(gè)實(shí)施例，判斷所述用戶主機(jī)是否還在訪問內(nèi)部網(wǎng)絡(luò)，包括：

判斷是否收到所述登錄認(rèn)證組件發(fā)送的心跳報(bào)文，如果是，則確定所述用戶主機(jī)還在訪問內(nèi)部網(wǎng)絡(luò)；如果否，則確定所述用戶主機(jī)未訪問內(nèi)部網(wǎng)絡(luò)。

作為一個(gè)實(shí)施例，接收所述非法外聯(lián)消息之后，所述方法還包括：

根據(jù)所述非法外聯(lián)消息生成非法外聯(lián)日志，所述非法外聯(lián)日志至少包括所述非法外聯(lián)消息中的用戶主機(jī)地址和用戶名，以及標(biāo)識用戶主機(jī)處于非法外聯(lián)狀態(tài)的狀態(tài)信息，將所述非法外聯(lián)日志存儲至內(nèi)部網(wǎng)絡(luò)中的日志服務(wù)器。

第二方面，本申請?zhí)峁┮环N防止非法外聯(lián)的裝置，所述裝置應(yīng)用于認(rèn)證設(shè)備，該裝置包括：