CN101242261A - 一种基于操作系统桌面的vpn连接分离方法 - Google Patents
一种基于操作系统桌面的vpn连接分离方法 Download PDFInfo
- Publication number
- CN101242261A CN101242261A CNA2008101024987A CN200810102498A CN101242261A CN 101242261 A CN101242261 A CN 101242261A CN A2008101024987 A CNA2008101024987 A CN A2008101024987A CN 200810102498 A CN200810102498 A CN 200810102498A CN 101242261 A CN101242261 A CN 101242261A
- Authority
- CN
- China
- Prior art keywords
- vpn
- desktop
- application program
- access
- tsm security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于操作系统桌面的VPN连接分离方法,其包括以下步骤:1)在企业内网前端设置一个安全代理设备;2)当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备上下载VPN代理程序;3)VPN代理程序在接收到访问请求后,先追溯发起该访问的应用程序,然后枚举该应用程序的运行窗口,再根据窗口找到其对应的桌面;4)VPN代理程序对该桌面是否为虚拟桌面进行判断;5)如果该桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。本发明使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源,而运行在操作系统的真实桌面内的其它应用程序将被禁止访问VPN连接,从而达到保护企业敏感资料的目的。
Description
技术领域
本发明涉及一种计算机网络安全管理方法,特别是关于一种基于操作系统桌面的VPN连接分离方法。
背景技术
VPN(Virtual Private Network,虚拟私有网)为企业员工在出差或在家中访问企业内网资源提供了极大的便捷,但同时也给企业机密资料及内网安全带来了极大的隐患。在外出差的员工可能通过酒店或客户的电脑访问企业敏感资料,并把资料下载到客户端,如果此员工在使用完毕之后没有从电脑上清除这些敏感资料,就有可能造成信息泄漏,给企业的业务和信息安全造成潜在的威胁。
通过Symantec(赛门铁克)的虚拟桌面可以限制客户只能在其虚拟桌面内发起VPN连接,同时对在虚拟桌面内生成的文件加密,并且在虚拟桌面退出之后清除这些文件。但由于四层VPN运行于操作系统层,而Symantec的虚拟桌面运行在应用程序层,当用户在虚拟桌面内建立了VPN连接后,运行于真实桌面内的应用程序也可以通过VPN访问企业内网,这就造成了非常严重的安全漏洞。
发明内容
针对上述问题,本发明的目的是提出一种基于操作系统桌面的VPN连接分离方法,使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源。
为实现上述目的,本发明采取以下技术方案:一种基于操作系统桌面的VPN连接分离方法,其包括以下步骤:1)在企业内网前端设置一个安全代理设备,客户机通过互联网先连接到安全代理设备,安全代理设备再连接到企业内网;2)当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备下载VPN代理程序,然后通过VPN代理程序与安全代理设备建立起VPN连接;3)VPN代理程序在接收到访问请求后,先追溯发起该访问的应用程序,然后枚举该应用程序的运行窗口,再根据窗口找到其对应的桌面;4)VPN代理程序对该桌面是否为虚拟桌面进行判断;5)如果该应用程序所运行的桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该应用程序所运行的桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。
所述安全代理设备可以通过预先配置clientapp winredir sdsseparation{on|off}命令来决定是否启用VPN连接分离方法,若配置为on,则表示启用VPN连接分离方法,安全代理设备就会执行步骤2~5;若配置为off,则不做任何判断,直接允许所有访问端的应用程序访问VPN连接。
本发明由于采取以上技术方案,其具有以下优点:本发明由于在企业内网前端设置了一个安全代理设备,该设备使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源,而对于运行在操作系统的真实桌面内的其它应用程序,如恶意木马程序,当其试图访问VPN连接时将被禁止,这样就可以达到保护企业敏感资料的目的。
附图说明
图1是本发明的一个应用场景示意图
具体实施方式
下面结合附图和实例对本发明进行详细的描述。
如图1所示,本发明方法包括以下步骤:
1、在企业内网前端设置一个安全代理设备,它是一个VPN接入网关设备,客户机通过互联网先连接到安全代理设备,安全代理设备再连接到企业内网。
2、当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备下载VPN代理程序,然后通过VPN代理程序与安全代理设备建立起VPN连接。
3、VPN代理程序在接收到访问请求后,会追溯发起该访问端的应用程序,然后枚举该应用程序的运行窗口,根据窗口找到其对应的桌面。
4、VPN代理程序对该桌面是否为虚拟桌面进行判断:若桌面名称为default(系统默认值),则为真实桌面;若桌面名称为Symantec,则为虚拟桌面。
5、如果该应用程序所运行的桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该应用程序所运行的桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。
安全代理设备可以通过clientapp winredir sdsseparation{on|off}这条命令来配置是否启用本发明方法。若配置为on,则表示启用本发明方法,安全代理设备就会执行步骤2~5;若配置为off,则不做任何判断,直接允许所有访问端的应用程序访问VPN连接。
Claims (2)
1、一种基于操作系统桌面的VPN连接分离方法,其包括以下步骤:
1)在企业内网前端设置一个安全代理设备,客户机通过互联网先连接到安全代理设备,安全代理设备再连接到企业内网;
2)当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备下载VPN代理程序,然后通过VPN代理程序与安全代理设备建立起VPN连接;
3)VPN代理程序在接收到访问请求后,先追溯发起该访问的应用程序,然后枚举该应用程序的运行窗口,再根据窗口找到其对应的桌面;
4)VPN代理程序对该桌面是否为虚拟桌面进行判断;
5)如果该应用程序所运行的桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该应用程序所运行的桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。
2、如权利要求1所述一种基于操作系统桌面的VPN连接分离方法,其特征在于:所述安全代理设备可以通过预先配置clientapp winredir sdsseparation{on|off}命令来决定是否启用VPN连接分离方法,若配置为on,则表示启用VPN连接分离方法,安全代理设备就会执行步骤2~5;若配置为off,则不做任何判断,直接允许所有访问端的应用程序访问VPN连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101024987A CN101242261B (zh) | 2008-03-21 | 2008-03-21 | 一种基于操作系统桌面的vpn连接分离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101024987A CN101242261B (zh) | 2008-03-21 | 2008-03-21 | 一种基于操作系统桌面的vpn连接分离方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101242261A true CN101242261A (zh) | 2008-08-13 |
| CN101242261B CN101242261B (zh) | 2010-08-04 |
Family
ID=39933491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101024987A Active CN101242261B (zh) | 2008-03-21 | 2008-03-21 | 一种基于操作系统桌面的vpn连接分离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101242261B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185846A (zh) * | 2011-04-26 | 2011-09-14 | 深信服网络科技(深圳)有限公司 | 基于vpn的移动通讯终端安全访问数据的方法及系统 |
| WO2012071907A1 (zh) * | 2010-12-01 | 2012-06-07 | 中兴通讯股份有限公司 | 桌面虚拟化终端托管方法及系统 |
| WO2013037232A1 (zh) * | 2011-09-16 | 2013-03-21 | 中兴通讯股份有限公司 | 断开虚拟桌面的处理方法和装置 |
| CN103150500A (zh) * | 2013-02-01 | 2013-06-12 | 深圳市深信服电子科技有限公司 | 基于桌面虚拟化的水印实现方法及装置 |
| CN103747099A (zh) * | 2014-01-23 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种可自动连接的远程控制方法 |
| CN103840994A (zh) * | 2012-11-23 | 2014-06-04 | 华耀(中国)科技有限公司 | 一种用户端通过 vpn 访问内网的系统及方法 |
| CN104468530A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 手机用户基于vpn通道访问远端应用服务的方法 |
| CN104735051A (zh) * | 2013-12-23 | 2015-06-24 | 三星Sds株式会社 | 虚拟专用网连接控制系统及方法 |
| CN105610791A (zh) * | 2015-01-06 | 2016-05-25 | 北京志翔科技股份有限公司 | 一种网络访问方法及装置 |
| CN105959345A (zh) * | 2016-04-18 | 2016-09-21 | Ubiix有限公司 | 企业网络服务加速方法、装置及所应用的代理服务器 |
| US11722531B2 (en) | 2020-09-22 | 2023-08-08 | Netskope, Inc. | Policy-controlled computing based on connection of remote access system |
-
2008
- 2008-03-21 CN CN2008101024987A patent/CN101242261B/zh active Active
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012071907A1 (zh) * | 2010-12-01 | 2012-06-07 | 中兴通讯股份有限公司 | 桌面虚拟化终端托管方法及系统 |
| CN102185846A (zh) * | 2011-04-26 | 2011-09-14 | 深信服网络科技(深圳)有限公司 | 基于vpn的移动通讯终端安全访问数据的方法及系统 |
| WO2013037232A1 (zh) * | 2011-09-16 | 2013-03-21 | 中兴通讯股份有限公司 | 断开虚拟桌面的处理方法和装置 |
| CN103840994B (zh) * | 2012-11-23 | 2017-06-06 | 华耀(中国)科技有限公司 | 一种用户端通过vpn访问内网的系统及方法 |
| CN103840994A (zh) * | 2012-11-23 | 2014-06-04 | 华耀(中国)科技有限公司 | 一种用户端通过 vpn 访问内网的系统及方法 |
| CN103150500A (zh) * | 2013-02-01 | 2013-06-12 | 深圳市深信服电子科技有限公司 | 基于桌面虚拟化的水印实现方法及装置 |
| CN103150500B (zh) * | 2013-02-01 | 2015-11-18 | 深圳市深信服电子科技有限公司 | 基于桌面虚拟化的水印实现方法及装置 |
| CN104735051A (zh) * | 2013-12-23 | 2015-06-24 | 三星Sds株式会社 | 虚拟专用网连接控制系统及方法 |
| CN104735051B (zh) * | 2013-12-23 | 2018-08-31 | 三星Sds株式会社 | 虚拟专用网连接控制系统及方法 |
| CN103747099A (zh) * | 2014-01-23 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种可自动连接的远程控制方法 |
| CN104468530A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 手机用户基于vpn通道访问远端应用服务的方法 |
| CN105610791A (zh) * | 2015-01-06 | 2016-05-25 | 北京志翔科技股份有限公司 | 一种网络访问方法及装置 |
| CN105959345A (zh) * | 2016-04-18 | 2016-09-21 | Ubiix有限公司 | 企业网络服务加速方法、装置及所应用的代理服务器 |
| US11722531B2 (en) | 2020-09-22 | 2023-08-08 | Netskope, Inc. | Policy-controlled computing based on connection of remote access system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101242261B (zh) | 2010-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101242261B (zh) | 一种基于操作系统桌面的vpn连接分离方法 | |
| CN105940654B (zh) | 特权静态被托管的web应用 | |
| EP2894814B1 (en) | Monitoring sessions with a session-specific transient agent | |
| JP4395178B2 (ja) | コンテンツ処理システム、方法及びプログラム | |
| EP2513809B1 (en) | Systems and methods for service isolation | |
| JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
| US9148428B1 (en) | Seamless management of untrusted data using virtual machines | |
| JP2022508899A (ja) | 個別化されたネットワークサービスのためのコンテナビルダ | |
| US20090094150A1 (en) | Method and client system for implementing online secure payment | |
| US20100058432A1 (en) | Protecting a virtual guest machine from attacks by an infected host | |
| CN105308923A (zh) | 对具有多操作模式的应用的数据管理 | |
| US9973525B1 (en) | Systems and methods for determining the risk of information leaks from cloud-based services | |
| US9245108B1 (en) | Dynamic adjustment of the file format to identify untrusted files | |
| CN109997143A (zh) | 敏感数据的安全共享 | |
| CN111522595A (zh) | 短暂应用 | |
| CN105550598B (zh) | 一种移动存储设备的安全管理方法和装置 | |
| CN105577720B (zh) | 移动应用打包的方法及系统 | |
| CN109997138A (zh) | 用于检测计算设备上的恶意进程的系统和方法 | |
| WO2010136317A1 (fr) | Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé | |
| CN106209919A (zh) | 一种网络安全防护方法及网络安全防护系统 | |
| CN107980133A (zh) | 暂时进程特权解除 | |
| JP6768530B2 (ja) | 情報処理装置及びプログラム | |
| CN104077158A (zh) | 安装插件的方法及装置 | |
| CN105120010B (zh) | 一种云环境下虚拟机防窃取方法 | |
| KR20180051719A (ko) | Html5 기반의 가상화 융합형 웹서비스 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAYAO (CHINA) TECHNOLOGY CO., LTD. Free format text: FORMER NAME: ARRAY NETWORKS (BEIJING), INC. |
|
| CP03 | Change of name, title or address |
Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century Patentee after: Array Networks (Beijing), Inc. Address before: 100016 Beijing city Chaoyang District No. 26 Xiaoyun Road, Eagle building, A2308 Patentee before: Array Networks (Beijing), Inc. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century Patentee after: Beijing Huayao Technology Co., Ltd Address before: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century Patentee before: Huayao (China) Technology Co., Ltd. |