CN101242261B - 一种基于操作系统桌面的vpn连接分离方法 - Google Patents

一种基于操作系统桌面的vpn连接分离方法 Download PDF

Info

Publication number
CN101242261B
CN101242261B CN2008101024987A CN200810102498A CN101242261B CN 101242261 B CN101242261 B CN 101242261B CN 2008101024987 A CN2008101024987 A CN 2008101024987A CN 200810102498 A CN200810102498 A CN 200810102498A CN 101242261 B CN101242261 B CN 101242261B
Authority
CN
China
Prior art keywords
vpn
desktop
application program
access
tsm security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008101024987A
Other languages
English (en)
Other versions
CN101242261A (zh
Inventor
胡延锐
陈阅
苗磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huayao Technology Co., Ltd
Original Assignee
ARRAY NETWORKS (BEIJING) Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ARRAY NETWORKS (BEIJING) Inc filed Critical ARRAY NETWORKS (BEIJING) Inc
Priority to CN2008101024987A priority Critical patent/CN101242261B/zh
Publication of CN101242261A publication Critical patent/CN101242261A/zh
Application granted granted Critical
Publication of CN101242261B publication Critical patent/CN101242261B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种基于操作系统桌面的VPN连接分离方法,其包括以下步骤:1)在企业内网前端设置一个安全代理设备;2)当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备上下载VPN代理程序;3)VPN代理程序在接收到访问请求后,先追溯发起该访问的应用程序,然后枚举该应用程序的运行窗口,再根据窗口找到其对应的桌面;4)VPN代理程序对该桌面是否为虚拟桌面进行判断;5)如果该桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。本发明使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源,而运行在操作系统的真实桌面内的其它应用程序将被禁止访问VPN连接,从而达到保护企业敏感资料的目的。

Description

一种基于操作系统桌面的VPN连接分离方法
技术领域
本发明涉及一种计算机网络安全管理方法,特别是关于一种基于操作系统桌面的VPN连接分离方法。
背景技术
VPN(Virtual Private Network,虚拟私有网)为企业员工在出差或在家中访问企业内网资源提供了极大的便捷,但同时也给企业机密资料及内网安全带来了极大的隐患。在外出差的员工可能通过酒店或客户的电脑访问企业敏感资料,并把资料下载到客户端,如果此员工在使用完毕之后没有从电脑上清除这些敏感资料,就有可能造成信息泄漏,给企业的业务和信息安全造成潜在的威胁。
通过Symantec(赛门铁克)的虚拟桌面可以限制客户只能在其虚拟桌面内发起VPN连接,同时对在虚拟桌面内生成的文件加密,并且在虚拟桌面退出之后清除这些文件。但由于四层VPN运行于操作系统层,而Symantec的虚拟桌面运行在应用程序层,当用户在虚拟桌面内建立了VPN连接后,运行于真实桌面内的应用程序也可以通过VPN访问企业内网,这就造成了非常严重的安全漏洞。
发明内容
针对上述问题,本发明的目的是提出一种基于操作系统桌面的VPN连接分离方法,使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源。
为实现上述目的,本发明采取以下技术方案:一种基于操作系统桌面的VPN连接分离方法,其包括以下步骤:1)在企业内网前端设置一个安全代理设备,客户机通过互联网先连接到安全代理设备,安全代理设备再连接到企业内网;2)当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备下载VPN代理程序,然后通过VPN代理程序与安全代理设备建立起VPN连接;3)VPN代理程序在接收到访问请求后,先追溯发起该访问的应用程序,然后枚举该应用程序的运行窗口,再根据窗口找到其对应的桌面;4)VPN代理程序对该桌面是否为虚拟桌面进行判断;5)如果该应用程序所运行的桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该应用程序所运行的桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。
所述安全代理设备可以通过预先配置clientapp winredir sdsseparation{on|off}命令来决定是否启用VPN连接分离方法,若配置为on,则表示启用VPN连接分离方法,安全代理设备就会执行步骤2~5;若配置为off,则不做任何判断,直接允许所有访问端的应用程序访问VPN连接。
本发明由于采取以上技术方案,其具有以下优点:本发明由于在企业内网前端设置了一个安全代理设备,该设备使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源,而对于运行在操作系统的真实桌面内的其它应用程序,如恶意木马程序,当其试图访问VPN连接时将被禁止,这样就可以达到保护企业敏感资料的目的。
附图说明
图1是本发明的一个应用场景示意图
具体实施方式
下面结合附图和实例对本发明进行详细的描述。
如图1所示,本发明方法包括以下步骤:
1、在企业内网前端设置一个安全代理设备,它是一个VPN接入网关设备,客户机通过互联网先连接到安全代理设备,安全代理设备再连接到企业内网。
2、当客户机上的某个应用程序要访问VPN连接时,客户机先从安全代理设备下载VPN代理程序,然后通过VPN代理程序与安全代理设备建立起VPN连接。
3、VPN代理程序在接收到访问请求后,会追溯发起该访问端的应用程序,然后枚举该应用程序的运行窗口,根据窗口找到其对应的桌面。
4、VPN代理程序对该桌面是否为虚拟桌面进行判断:若桌面名称为default(系统默认值),则为真实桌面;若桌面名称为Symantec,则为虚拟桌面。
5、如果该应用程序所运行的桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN连接;如果该应用程序所运行的桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN连接。
安全代理设备可以通过clientapp winredir sdsseparation{on|off}这条命令来配置是否启用本发明方法。若配置为on,则表示启用本发明方法,安全代理设备就会执行步骤2~5;若配置为off,则不做任何判断,直接允许所有访问端的应用程序访问VPN连接。

Claims (2)

1.一种基于操作系统桌面的VPN连接分离方法,其包括以下步骤:
1)在企业内网前端设置一个安全代理设备,客户机通过互联网先连接到安全代理设备,安全代理设备再连接到企业内网;
2)当客户机上的某个应用程序要访问VPN时,客户机先从安全代理设备下载VPN代理程序,然后通过VPN代理程序与安全代理设备建立起VPN;
3)VPN代理程序在接收到访问请求后,先追溯发起该访问的应用程序,然后枚举该应用程序的运行窗口,再根据窗口找到其对应的桌面;
4)VPN代理程序对该桌面是否为虚拟桌面进行判断;
5)如果该应用程序所运行的桌面为虚拟桌面,则VPN代理程序允许该应用程序访问VPN;如果该应用程序所运行的桌面为真实桌面,则VPN代理程序拒绝该应用程序访问VPN。
2.如权利要求1所述一种基于操作系统桌面的VPN连接分离方法,其特征在于:所述安全代理设备可以通过预先配置clientapp winredir sdsseparation{on|off}命令来决定是否启用VPN连接分离方法,若配置为on,则表示启用VPN连接分离方法,安全代理设备就会执行步骤2~5;若配置为off,则不做任何判断,直接允许所有访问端的应用程序访问VPN。
CN2008101024987A 2008-03-21 2008-03-21 一种基于操作系统桌面的vpn连接分离方法 Active CN101242261B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008101024987A CN101242261B (zh) 2008-03-21 2008-03-21 一种基于操作系统桌面的vpn连接分离方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101024987A CN101242261B (zh) 2008-03-21 2008-03-21 一种基于操作系统桌面的vpn连接分离方法

Publications (2)

Publication Number Publication Date
CN101242261A CN101242261A (zh) 2008-08-13
CN101242261B true CN101242261B (zh) 2010-08-04

Family

ID=39933491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101024987A Active CN101242261B (zh) 2008-03-21 2008-03-21 一种基于操作系统桌面的vpn连接分离方法

Country Status (1)

Country Link
CN (1) CN101242261B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102487380B (zh) * 2010-12-01 2016-09-07 中兴通讯股份有限公司 桌面虚拟化终端托管方法及系统
CN102185846A (zh) * 2011-04-26 2011-09-14 深信服网络科技(深圳)有限公司 基于vpn的移动通讯终端安全访问数据的方法及系统
CN102999383B (zh) * 2011-09-16 2018-09-28 中兴通讯股份有限公司 断开虚拟桌面的处理方法和装置
CN103840994B (zh) * 2012-11-23 2017-06-06 华耀(中国)科技有限公司 一种用户端通过vpn访问内网的系统及方法
CN103150500B (zh) * 2013-02-01 2015-11-18 深圳市深信服电子科技有限公司 基于桌面虚拟化的水印实现方法及装置
KR102108000B1 (ko) * 2013-12-23 2020-05-28 삼성에스디에스 주식회사 가상 사설망 접속 제어 시스템 및 방법
CN103747099A (zh) * 2014-01-23 2014-04-23 浪潮电子信息产业股份有限公司 一种可自动连接的远程控制方法
CN104468530A (zh) * 2014-11-19 2015-03-25 成都卫士通信息安全技术有限公司 手机用户基于vpn通道访问远端应用服务的方法
CN105610791A (zh) * 2015-01-06 2016-05-25 北京志翔科技股份有限公司 一种网络访问方法及装置
CN105959345A (zh) * 2016-04-18 2016-09-21 Ubiix有限公司 企业网络服务加速方法、装置及所应用的代理服务器
US11019106B1 (en) 2020-09-22 2021-05-25 Netskope, Inc. Remotely accessed controlled contained environment

Also Published As

Publication number Publication date
CN101242261A (zh) 2008-08-13

Similar Documents

Publication Publication Date Title
CN101242261B (zh) 一种基于操作系统桌面的vpn连接分离方法
CN105940654B (zh) 特权静态被托管的web应用
EP2894814B1 (en) Monitoring sessions with a session-specific transient agent
EP2513809B1 (en) Systems and methods for service isolation
JP5396051B2 (ja) 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム
US8954897B2 (en) Protecting a virtual guest machine from attacks by an infected host
WO2018089318A1 (en) Anonymous containers
JP2022508899A (ja) 個別化されたネットワークサービスのためのコンテナビルダ
CN105308923A (zh) 对具有多操作模式的应用的数据管理
JP2008299414A (ja) コンテンツ処理システム、方法及びプログラム
GB2453652A (en) Implementing secure online payments by switching to a dedicated operating system (OS)
CN111522595A (zh) 短暂应用
US9245108B1 (en) Dynamic adjustment of the file format to identify untrusted files
CN109997143A (zh) 敏感数据的安全共享
CN105577720B (zh) 移动应用打包的方法及系统
CN111988292B (zh) 一种内网终端访问互联网的方法、装置及系统
US10032027B2 (en) Information processing apparatus and program for executing an electronic data in an execution environment
JP2009527832A (ja) 仮想役割
WO2010136317A1 (fr) Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé
US9942267B1 (en) Endpoint segregation to prevent scripting attacks
CN106209919A (zh) 一种网络安全防护方法及网络安全防护系统
US11368472B2 (en) Information processing device and program
CN104077158A (zh) 安装插件的方法及装置
CN105120010B (zh) 一种云环境下虚拟机防窃取方法
KR20180051719A (ko) Html5 기반의 가상화 융합형 웹서비스 시스템 및 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: HUAYAO (CHINA) TECHNOLOGY CO., LTD.

Free format text: FORMER NAME: ARRAY NETWORKS (BEIJING), INC.

CP03 Change of name, title or address

Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century

Patentee after: Array Networks (Beijing), Inc.

Address before: 100016 Beijing city Chaoyang District No. 26 Xiaoyun Road, Eagle building, A2308

Patentee before: Array Networks (Beijing), Inc.

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century

Patentee after: Beijing Huayao Technology Co., Ltd

Address before: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001-1017 twenty-first Century

Patentee before: Huayao (China) Technology Co., Ltd.