[發明專利]一種外網訪問控制方法、裝置、設備及存儲介質有效
| 申請號: | 202110560390.8 | 申請日: | 2021-05-21 |
| 公開(公告)號: | CN113285949B | 公開(公告)日: | 2022-03-25 |
| 發明(設計)人: | 李蒙;孫利輝 | 申請(專利權)人: | 新華三大數據技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京博思佳知識產權代理有限公司 11415 | 代理人: | 郭思晨 |
| 地址: | 450000 河南省鄭州市高新技*** | 國省代碼: | 河南;41 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 訪問 控制 方法 裝置 設備 存儲 介質 | ||
1.一種外網訪問控制方法,其特征在于,所述方法應用于內網中的接入設備,所述方法包括:
接收到用戶終端發送的外網訪問報文,若確定已記錄了與該用戶終端對應的安全組標簽,則將所述安全組標簽添加在所述外網訪問報文的指定字段中;所述指定字段在所述外網訪問報文從接入設備到出口設備的轉發過程中,不會被轉發過程中所經過的中間設備修改或刪除;
將添加了安全組標簽的外網訪問報文發送給出口設備,以使所述出口設備獲取該外網訪問報文攜帶的安全組標簽,根據所述安全組標簽確認外網訪問策略并進行外網訪問控制。
2.根據權利要求1所述的方法,其特征在于,所述指定字段位于所述外網訪問報文的IP頭的DS域中。
3.根據權利要求2所述的方法,其特征在于,所述指定字段為所述DS域中的第5-7位。
4.根據權利要求1所述的方法,其特征在于,所述用戶終端對應的安全組標簽通過如下方式記錄:
將所述外網訪問報文發送給認證服務器,以使得認證服務器在基于所述外網訪問報文,對所述用戶終端認證通過后,為該用戶終端分配安全組;
接收所述認證服務器為該用戶終端分配的安全組標簽并記錄。
5.一種外網訪問控制方法,其特征在于,所述方法應用于內網中的出口設備,所述出口設備與外網相連,所述方法包括:
接收接入設備發送的來自于用戶終端的外網訪問報文;
從所述外網訪問報文的指定字段中獲取該用戶終端對應的安全組標簽;所述安全組標簽是所述接入設備添加至所述外網訪問報文中的;所述指定字段在所述外網訪問報文從接入設備到出口設備的轉發過程中,不會被轉發過程中所經過的中間設備修改或刪除;
根據所述安全組標簽確認對應的外網訪問策略;
基于所述外網訪問策略對所述外網訪問報文進行外網訪問控制。
6.根據權利要求5所述的方法,其特征在于,所述指定字段位于所述外網訪問報文的IP頭的DS域中。
7.根據權利要求6所述的方法,其特征在于,所述指定字段為所述DS域中的第5-7位。
8.根據權利要求7所述的方法,其特征在于,所述方法還包括:
若所述外網訪問策略是允許訪問外網,則讀取所述外網訪問報文的IP頭中DS域中的DSCP字段的前4位的取值,依據讀取到的取值對所述外網訪問報文進行Qos處理,并發送Qos處理后的外網訪問報文。
9.一種接入設備,其特征在于,所述接入設備包括可讀存儲介質和處理器;
其中,所述可讀存儲介質,用于存儲機器可執行指令;
所述處理器,用于讀取所述可讀存儲介質上的所述機器可執行指令,并執行所述指令以實現權利要求1-4任一所述方法的步驟。
10.一種機器可讀存儲介質,其特征在于,所述機器可讀存儲介質存儲有機器可執行指令,在被處理器調用和執行時,所述機器可執行指令促使所述處理器執行如權利要求1-4任一項所述方法。
11.一種出口設備,其特征在于,所述出口設備包括可讀存儲介質和處理器;
其中,所述可讀存儲介質,用于存儲機器可執行指令;
所述處理器,用于讀取所述可讀存儲介質上的所述機器可執行指令,并執行所述指令以實現權利要求5-8任一所述方法的步驟。
12.一種機器可讀存儲介質,其特征在于,所述機器可讀存儲介質存儲有機器可執行指令,在被處理器調用和執行時,所述機器可執行指令促使所述處理器執行如權利要求5-8任一項所述方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于新華三大數據技術有限公司,未經新華三大數據技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110560390.8/1.html,轉載請聲明來源鉆瓜專利網。
