本申請提供一種外網訪問控制方法、裝置、設備及存儲介質，包括：接入設備在接收到用戶終端發送的外網訪問報文時，若確定已記錄了與該用戶終端對應的安全組標簽，則將所述安全組標簽添加在所述外網訪問報文的指定字段中；所述指定字段在所述外網訪問報文從接入設備到出口設備的轉發過程中，不會被轉發過程中所經過的中間設備修改或刪除；接入設備將添加了安全組標簽的外網訪問報文發送給出口設備，以使所述出口設備獲取該外網訪問報文攜帶的安全組標簽，根據所述安全組標簽確認外網訪問策略并進行外網訪問控制，從而實現基于安全組的外網訪問控制。

技術領域

本申請涉及計算機通信領域，尤其涉及一種外網訪問控制方法、裝置、設備及存儲介質。

背景技術

在一些網絡場景中，比如企業、園區網絡場景中，通常采用基于安全組的組網配置。當用戶終端接入內網時，認證服務器會對用戶終端進行認證，并為用戶分配一個安全組。用戶可以基于為其分配的安全組所對應的權限進行內網用戶的通信、以及內網資源的訪問等。

但是在現有的基于安全組的組網中，對于用戶終端的外網訪問，仍然采用基于用戶終端的IP(Internet Protocol Address，互聯網協議地址)地址進行外網訪問控制。這種外網訪問控制方法有許多不好之處。比如，當用戶終端的IP地址發生變化，就需要修改出口設備上的外網訪問控制策略，不利用外網訪問控制策略的維護。由此可見，這種基于IP地址的外網訪問控制方法會對外網訪問控制的實現造成極大的不便。

發明內容

有鑒于此，本申請提供一種外網訪問控制方法、裝置、設備及存儲介質，用于實現基于安全組的外網訪問控制。

具體地，本申請是通過如下技術方案實現的：

根據本申請的第一方面，提供一種外網訪問控制方法，所述方法應用于內網中的接入設備，所述方法包括：

接收到用戶終端發送的外網訪問報文，若確定已記錄了與該用戶終端對應的安全組標簽，則將所述安全組標簽添加在所述外網訪問報文的指定字段中；所述指定字段在所述外網訪問報文從接入設備到出口設備的轉發過程中，不會被轉發過程中所經過的中間設備修改或刪除；

將添加了安全組標簽的外網訪問報文發送給出口設備，以使所述出口設備獲取該外網訪問報文攜帶的安全組標簽，根據所述安全組標簽確認外網訪問策略并進行外網訪問控制。

可選的，所述指定字段位于所述外網訪問報文的IP頭的DS域中。

可選的，所述指定字段為所述DS域中的第5-7位。

可選的，所述用戶終端對應的安全組標簽通過如下方式記錄：

將所述外網訪問報文發送給認證服務器，以使得認證服務器在基于所述外網訪問報文，對所述用戶終端認證通過后，為該用戶終端分配安全組；

接收所述認證服務器為該用戶終端分配的安全組標簽并記錄。

根據本申請的第二方面，提供一種外網訪問控制方法，所述方法應用于內網中的出口設備，所述出口設備與外網相連，所述方法包括：

接收接入設備發送的來自于用戶終端的外網訪問報文；

從所述外網訪問報文的指定字段中獲取該用戶終端對應的安全組標簽；所述安全組標簽是所述接入設備添加至所述外網訪問報文中的；所述指定字段在所述外網訪問報文從接入設備到出口設備的轉發過程中，不會被轉發過程中所經過的中間設備修改或刪除；

根據所述安全組標簽確認對應的外網訪問策略；

基于所述外網訪問策略對所述外網訪問報文進行外網訪問控制。

可選的，所述指定字段位于所述外網訪問報文的IP頭的DS域中。

可選的，所述指定字段為所述DS域中的第5-7位。