CN100534044C - 一种在网关或网桥上实现用户安全接入外网的方法 - Google Patents
一种在网关或网桥上实现用户安全接入外网的方法 Download PDFInfo
- Publication number
- CN100534044C CN100534044C CNB2005100374551A CN200510037455A CN100534044C CN 100534044 C CN100534044 C CN 100534044C CN B2005100374551 A CNB2005100374551 A CN B2005100374551A CN 200510037455 A CN200510037455 A CN 200510037455A CN 100534044 C CN100534044 C CN 100534044C
- Authority
- CN
- China
- Prior art keywords
- user
- security
- network
- bridge
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及了一种在网关或网桥上实现用户安全接入外网的方法,采用安全网关或网桥连接内网和外网的结构,包括:用户向安全网关或网桥请求连接外网;检查安全网关或网桥内是否存在该用户记录,否,若资源为WEB资源,则启动安全扫描,若扫描通过则记录该结果和用户,并指定自动失效时间;根据所述记录或扫描通过的结果和满足安全网关或网桥对外网资源类型的安全设定来允许所述请求;否则,拒绝所述请求。这种方法,通过用户请求接入外部非信任网络时,由网关或网桥启动对用户设备上运行软件及配置的检查,审查通过才允许接入,使得用户在指定软件保护和监控下接入外部网络和互联网,从而获得必要的安全保护,也可受到网络管理人员必要的监控。
Description
技术领域
本发明涉及计算机及网络安全技术,尤其涉及利用网关、网桥来实现用户安全接入外部不可信或互联网络的方法。
背景技术
随着互联网和信息技术的发展和应用,互联网已经是人们日常工作生活中不可缺少的部分,但随之带来如下问题:
1、互联网上信息良莠不齐并充满黑客、病毒和陷阱等威胁,使用互联网的用户,简称“用户”,随时都会受到来自互联网的侵犯和骚扰。
2、用户使用互联网从事与工作无关的事情,或利用互联网做出违反国家法律法规的事情。
为保证用户不经受来自互联网的侵犯,管理用户或用户网络的安全人员通常会为用户安全提供一系列的安全软件以防范来自互联网的威胁,如:防病毒软件、防黑客软件和防骚扰信息软件等;为保证用户不使用互联网从事与工作无关的事情,不使用互联网做出违反国家法律法规的事情,安全人员会通知用户或直接为用户安装一系列的监控、过滤、记录软件以防止用户发生此类行为。
但上述软件不是用户连接互联网的必要软件,在没有上述软件、配置(或软件信息未升级)的情况下,用户同样可以连接并使用互联网,此时用户将仍会受到来自互联网的威协及骚扰,且还可利用互联网从事与工作无关的事情或违反国家法律法规的非法行为。
发明内容
本发明需要解决的技术问题是,如何确保用户在上网时其设备上运行了恰当软件并作好了正确设置,完全符合网络管理人员的要求。
本发明上述技术问题这样解决,提供一种在网关或网桥上实现用户安全接入外网的方法,采用安全网关或安全网桥连接内部可信网络和外部不可信网络的结构,包括以下步骤:
1.1)请求:用户向安全网关或安全网桥请求连接外部不可信网络的资源;
1.2)安全检查:安全网关或安全网桥检查自身是否存在该用户记录,否,若所述资源为WEB资源,则启动对该用户软件平台及配置的安全扫描,若扫描通过则记录该结果和该用户,并指定自动失效时间;
1.3)允许或拒绝请求:根据所述记录或所述扫描通过的结果和满足安全网关或安全网桥对外部不可信网络资源类型的安全设定来允许所述请求;否则,拒绝所述请求。
按照本发明提供的方法,所述安全设定可为允许访问WEB资源,而拦截对其他一部分网络资源的请求。
按照本发明提供的方法,所述内部可信网络内存储用户可访问的WEB安全扫描程序,所述步骤1.1)中资源为WEB资源,所述步骤1.2)中安全扫描使用所述WEB安全扫描程序,该安全扫描包括以下步骤:
1.2.1)重定向用户请求,强制用户访问所述WEB安全扫描程序;
1.2.2)用户自动调用所述WEB安全扫描程序扫描自身设备的软件环境及配置并输出扫描结果;
1.2.3)将所述扫描结果转送给所述安全网关或安全网桥。
按照本发明提供的方法,该方法还包括主动请求安全检查,具体步骤如下:
3.1)用户自行访问所述WEB安全扫描程序对应的WEB页面;
3.2)调用所述WEB安全扫描程序扫描自身设备的软件平台及配置并输出扫描结果;
3.3)将所述扫描结果转送给所述安全网关或安全网桥;
3.4)若扫描通过,则所述安全网关或安全网桥记录该结果和该用户,并指定自动失效时间。
按照本发明提供的方法,所述自动失效时间可以是但不限制是5分钟至一星期。
本发明提供的在网关、网桥上实现用户安全接入外网的方法,通过用户请求接入外部非信任网络时,由网关、网桥启动对用户设备上的运行软件及其配置的检查,审查通过才允许接入,使得用户在指定软件保护和监控下接入外部网络和互联网,从而获得必要的安全保护,也可受到网络管理人员必要的监控。
附图说明
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是本发明提供的网络连接示意图。
图2是图1中内部网络用户设备访问安全网关另一侧外部网络(不可信区域或互联网)的上网流程示意图。
具体实施方式
本发明思想是在用户可信网络与不可信网络之间,该不可信网络通常是指互联网:Internet,提供一种网络准入规则,即:用户从可信网络访问不可信网络时,需要通过网关、网桥对用户上网的终端,该终端通常是指计算机,做安全扫描以检查网络安全人员对用户上网的终端所设置的安全配置及相关的安全软件是否存在并正常运行,如果用户上网的终端所设置的安全配置及相关的安全软件已经正常运行,则允许该用户连接、使用不可信网络,否则拒绝该用户请求连接、使用不可信网络。
本发明用户安全使用网络的工作原理是:
第一步,在终端用户的内部可信网络与外部不可信网络之间,加入该安全网关、网桥设备,使用户从内部可信网络连接、使用外部不可信网络的数据经过此设备。
第二步,当用户请求连接、使用外部不可信网络时,网关或网桥上网络安全设置需要先通过WEB方式或安全的WEB方式(HTTP协议或HTTPS协议)对用户的上网终端做安全扫描,以确认用户上网终端的配置及软件环境符合网络安全人员设置的条件。如果用户上网终端的配置及软件环境不符合网络安全人员所设置的安全条件,则拒绝该用户连接、使用外部不可信网络,并且安全网关、网桥将此信息报告给网络安全人员,以便网络安全人员进行维护。
第三步,安全网关、网桥使用WEB方式或安全的WEB方式对终端用户的终端设备进行扫描,具体如下:
1)终端用户未通过安全扫描而请求外部不可信网络的WEB资源时,安全网关、网桥拒绝访问但启动安全扫描;若请求外部不可信网络的其他网络资源时,安全网关、网桥拒绝访问且不启动安全扫描。终端用户通过安全扫描而请求连接外部不可信网络的WEB资源时,允许该请求;请求外部不可信网络的其他网络资源时,还须根据安全网关、网桥对外部不可信网络资源类型的具体安全设定来决定是否允许该请求。
2)终端用户未通过安全扫描,具体安全扫描过程是:终端用户请求连接外部不可信网络WEB资源时,被强制重定向至安全网关、网桥对终端设备进行扫描的WEB页面并自动开始扫描,当扫描通过时,允许该用户在一段时间内正常使用、访问外部不可信网络的资源。
3)终端用户客人主动请求安全扫描,具体过程是:终端用户自行访问安全网关、网桥对终端设备进行扫描的WEB页面,并自动开始扫描,当扫描通过时,允许该用户在一段时间内正常使用、访问外部不可信网络的资源。
进一步,本发明具体网络,结构如图1所示,用户终端分布在内部可信网络1中,通过安全网关或网桥2连接外部不可信网络,使用户从内部可信网络连接、使用外部不可信网络(主要指互联网)的数据经过此设备。
本发明内部网络用户设备访问安全网关或安全网桥另一侧外部网络的上网流程,具体如图2所示,包括以下步骤:
201)开始;
202)用户通过用户设备上网,该用户设备试图通过安全网关或安全网桥访问不可信网络,向安全网关或安全网桥发出请求;
203)查询安全网关或安全网桥中的记录,判定该用户是否在一段时间内已通过安全扫描?存在记录,进入步骤2072;不存在记录,进入下一步;
204)重定向用户设备的访问请求,强制用户设备访问安全网关指定的WEB安全扫描程序;
205)使用安全网关指定的WEB程序对用户设备做安全扫描;
206)上述WEB程序自动判定用户设备运行的软件及其配置是否符合管理员所制定的安全策略?是,进入步骤2072;否,进入下一步;
2071)阻止该用户设备的访问请求,拒绝用户上网请求,转入步骤208;
2072)允许该用户设备在指定一段时间内的访问请求,允许用户上网,并在安全网关或安全网桥中记录该用户设备,且设定自动失效时间,该自动失效时间可以是5~30分钟。
208)结束。
Claims (4)
1、一种在网关或网桥上实现用户安全接入外网的方法,采用安全网关或安全网桥连接内部可信网络和外部不可信网络的结构,包括以下步骤:
1.1)请求:用户向安全网关或安全网桥请求连接外部不可信网络的资源;
1.2)安全检查:安全网关或安全网桥检查自身是否存在该用户记录,否,若所述资源为WEB资源,则启动对该用户软件平台及配置的安全扫描,若扫描通过则记录该结果和该用户,并指定自动失效时间;
1.3)允许或拒绝请求:当所述资源是WEB资源时,如果安全网关或安全网桥中已存在所述记录或通过了所述安全扫描,则允许所述请求,否则拒绝所述请求;当所述资源是非WEB资源时,还须根据安全网关、网桥对外部不可信网络资源类型的具体安全设定来决定是否允许该请求。
2、根据权利要求1所述方法,其特征在于,所述内部可信网络内存储用户可访问的WEB安全扫描程序,所述步骤1.1)中资源为WEB资源,所述步骤1.2)中安全扫描使用所述WEB安全扫描程序,该安全扫描包括以下步骤:
1.2.1)重定向用户请求,强制用户访问所述WEB安全扫描程序;
1.2.2)用户自动调用所述WEB安全扫描程序扫描自身设备的软件平台及配置并输出扫描结果;
1.2.3)将所述扫描结果转送给所述安全网关或安全网桥。
3、根据权利要求2所述方法,其特征在于,该方法还包括主动请求所述安全检查,具体步骤如下:
3.1)用户访问所述安全扫描程序对应的WEB页面;
3.2)调用所述安全扫描程序扫描自身设备的软件平台及配置并输出扫描结果;
3.3)将所述扫描结果转送给所述安全网关或安全网桥;
3.4)若扫描通过则记录该扫描通过结果和对应用户,并指定该用户的自动失效时间。
4、根据权利要求3所述方法,其特征在于,所述自动失效时间是5分钟至一星期范围内的任意长度时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100374551A CN100534044C (zh) | 2005-09-26 | 2005-09-26 | 一种在网关或网桥上实现用户安全接入外网的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100374551A CN100534044C (zh) | 2005-09-26 | 2005-09-26 | 一种在网关或网桥上实现用户安全接入外网的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1744515A CN1744515A (zh) | 2006-03-08 |
| CN100534044C true CN100534044C (zh) | 2009-08-26 |
Family
ID=36139728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100374551A Active CN100534044C (zh) | 2005-09-26 | 2005-09-26 | 一种在网关或网桥上实现用户安全接入外网的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100534044C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100426755C (zh) * | 2006-11-06 | 2008-10-15 | 吉林大学 | 可信网络核心设备 |
| CN100581116C (zh) | 2007-09-14 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种实现可信网络管理的方法 |
| CN101827252B (zh) * | 2010-05-14 | 2011-09-21 | 山东泰信电子有限公司 | 一种实现互联网电视终端安全访问互联网的系统及方法 |
| CN107276979B (zh) * | 2017-04-26 | 2021-03-05 | 浙江远望信息股份有限公司 | 一种自动检测终端设备内外网互联行为的方法 |
-
2005
- 2005-09-26 CN CNB2005100374551A patent/CN100534044C/zh active Active
Non-Patent Citations (4)
| Title |
|---|
| 基于Web的漏洞扫描系统的设计与实现. 耿哲,王秀美,王继龙,于洪奎.计算机与现代化,第11期. 2004 |
| 基于Web的漏洞扫描系统的设计与实现. 耿哲,王秀美,王继龙,于洪奎.计算机与现代化,第11期. 2004 * |
| 降低Web安全扫描误判率. 杨可新,鞠九滨,胡亮.吉林大学学报(信息科学版),第22卷第3期. 2004 |
| 降低Web安全扫描误判率. 杨可新,鞠九滨,胡亮.吉林大学学报(信息科学版),第22卷第3期. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1744515A (zh) | 2006-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11947674B2 (en) | Systems and methods for providing security services during power management mode | |
| US11604861B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| CN1885788B (zh) | 网络安全防护方法及系统 | |
| US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| CN110213215A (zh) | 一种资源访问方法、装置、终端和存储介质 | |
| CN108259432A (zh) | 一种api调用的管理方法、设备及系统 | |
| CN116319024B (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| US7673326B2 (en) | System and method utilizing clean groups for security management | |
| CN103246849A (zh) | 一种Windows下基于增强型ROST的安全运行方法 | |
| CN107295017A (zh) | 基于用户认证的cc防护方法 | |
| CN100534044C (zh) | 一种在网关或网桥上实现用户安全接入外网的方法 | |
| CN100557545C (zh) | 一种区分有害程序行为的方法 | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| CN106228078A (zh) | 一种Linux下基于增强型ROST的安全运行方法 | |
| CN102693373B (zh) | 业务信息防护装置 | |
| US20100058441A1 (en) | Information processing limitation system and information processing limitation device | |
| US8161521B1 (en) | Controlling network access by applying super security policies | |
| CN111131273A (zh) | 一种网络工程用互联网接入控制系统 | |
| JP2004005377A (ja) | 多重システム停止の再発防止方法 | |
| Razmov et al. | Practical automated filter generation to explicitly enforce implicit input assumptions | |
| CN117082147B (zh) | 应用程序网络访问控制方法、系统、设备和介质 | |
| RU2571725C2 (ru) | Система и способ управления параметрами приложений на компьютерных устройствах пользователя | |
| CN116961977A (zh) | 安全检测方法、装置、设备及计算机程序产品 | |
| CN201403102Y (zh) | 网固千兆防火墙系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SINFOR Polytron Technologies Inc Address before: 518052 room 410, science and technology innovation center, 1 Qilin Road, Shenzhen, Guangdong, Nanshan District Patentee before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |
|
| CP03 | Change of name, title or address |