CN106714176A - 一种内网服务的访问控制方法及装置 - Google Patents
一种内网服务的访问控制方法及装置 Download PDFInfo
- Publication number
- CN106714176A CN106714176A CN201710004009.3A CN201710004009A CN106714176A CN 106714176 A CN106714176 A CN 106714176A CN 201710004009 A CN201710004009 A CN 201710004009A CN 106714176 A CN106714176 A CN 106714176A
- Authority
- CN
- China
- Prior art keywords
- address
- intranet
- access request
- network segment
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种内网服务的访问控制方法及装置,其中内网服务的访问控制方法包括:中央路由器接收来自终端的访问请求;依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段,如果是,则依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。本发明能够实现中央路由器依据内网服务对应的网段对终端访问内网服务进行控制,从而保证了只有内网服务的合法终端才能够访问该内网服务,不需要再使用其他的认证方式,简化了用户访问内网服务的操作,并确保了访问内网服务的安全性。
Description
【技术领域】
本发明涉及网络服务技术领域,尤其涉及一种内网服务的访问控制方法及装置。
【背景技术】
随着互联网与计算机的普及,基于局域网的信息化办公、自动化办公已经逐步建立起来。在基于局域网(也可以称为内网)的交互过程中,人们在享受到网络信息、办公资源互联以及共享所带来方便与快捷的同时,也面临着网络服务安全的挑战。
现有技术主要依靠身份认证的方式来解决网络服务安全的问题。例如,客户端在发送网络服务请求时提供用户名和密码,或者通过表单验证的方式提供给服务器用户名和密码,但这两种方式极容易被抓包破解,因而无法保障网络服务的安全性能。还有就是通过证书认证的方式来解决网络服务的安全问题,例如SSL/TLS协议,通过网络安全通信的方式提升网络服务的安全,虽然这种方式在一定程度上提高了网络服务的安全性,但该认证方式较为复杂,且服务性能较低,因而不适合于重要且性能需求较高的网络服务。因此亟需提供一种更加安全高效地访问重要网路服务的控制方法。
【发明内容】
有鉴于此,本发明提供了一种内网服务的访问控制方法及装置,由中央路由器依据内网服务对应的网段对终端访问内网服务进行控制,从而不需要再使用复杂的认证方式,简化用户访问内网服务的操作,并确保了访问内网服务的安全性。
本发明为解决技术问题而采用的技术方案是提供一种内网服务的访问控制方法,所述方法包括:中央路由器接收来自终端的访问请求;依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段,如果是,则依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。
根据本发明一优选实施例,在所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还包括:根据所述访问请求的目的IP地址,判断该目的IP地址是否为内网服务器的IP地址;若否,则将该访问请求转发至连接外网的网关;若是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段。
根据本发明一优选实施例,在所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还包括:判断路由转发表中是否存在所述目的IP地址对应的表项,如果是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段;若否,则拒绝转发所述访问请求。
根据本发明一优选实施例,所述方法还包括:从服务注册器获取内网服务信息与网段之间的对应关系,依据该对应关系在本地存储内网服务器IP地址与网段之间的对应关系,并在路由转发表中添加该内网服务器IP地址对应的表项。
根据本发明一优选实施例,所述终端为虚拟终端,所述内网服务器为虚拟服务器。
一种内网服务的访问控制方法,所述方法包括:终端从服务注册器获取所构建内网服务对应的网段信息,在该网段内生成内网IP地址;终端向中央路由器发送访问请求,所述访问请求的源内网IP地址包括所述内网IP地址,目的IP地址为所述内网服务对应的内网服务器IP地址。
根据本发明一优选实施例,所述方法还包括:所述终端在发送所述访问请求后的设定时长内未收到中央路由器返回的指示转发成功的响应,或者接收到中央路由器返回的拒绝访问的响应,则向所述服务注册器发送更新路由转发表的请求,以便所述服务注册器向所述中央路由器发送所述所构建内网服务与网段之间的对应关系。
一种内网服务的访问控制方法,所述方法包括:服务注册器接收终端所发送的更新路由转发表的请求;将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
根据本发明一优选实施例,所述方法还包括:所述服务注册器在所述终端创建内网服务时,向所述终端提供所构建内网服务对应的网段信息。
本发明为解决技术问题提供一种内网服务的访问控制装置,该装置设置于中央路由器,该装置包括:第一接收单元,用于接收来自终端的访问请求;判断单元,用于依据中央路由器本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段;转发处理单元,用于在所述判断单元的判断结果为是时,依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。
根据本发明一优选实施例,所述判断单元在依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还执行:根据所述访问请求的目的IP地址,判断该目的IP地址是否为内网服务器的IP地址;若否,则触发所述转发处理单元将该访问请求转发至连接外网的网关;若是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段。
根据本发明一优选实施例,所述判断单元在依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还执行:判断路由转发表中是否存在所述目的IP地址对应的表项,如果是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段;若否,则触发所述转发处理单元拒绝转发所述访问请求。
根据本发明一优选实施例,所述装置还包括:表项维护单元,用于中央路由器从服务注册器获取内网服务信息与网段之间的对应关系,依据该对应关系在本地存储内网服务器IP地址与网段之间的对应关系,并在路由转发表中添加该内网服务器IP地址对应的表项。
根据本发明一优选实施例,所述终端为虚拟终端,所述内网服务器为虚拟服务器。
一种内网服务的访问控制装置,该装置设置于终端,该装置包括:生成单元,用于终端从服务注册器获取所构建内网服务对应的网段信息,在该网段内生成内网IP地址;第一发送单元,用于终端向中央路由器发送访问请求,所述访问请求的源内网IP地址包括所述内网IP地址,目的IP地址为所述内网服务对应的内网服务器IP地址。
根据本发明一优选实施例,所述装置还包括:请求单元,用于在所述第一发送单元发送所述访问请求后的设定时长内未收到中央路由器返回的指示转发成功的响应,或者接收到中央路由器返回的拒绝访问的响应,则向所述服务注册器发送更新路由转发表的请求,以便所述服务注册器向所述中央路由器发送所述所构建内网服务与网段之间的对应关系。
一种内网服务的访问控制装置,该装置设置于服务注册器,该装置包括:第二接收单元,用于服务注册器接收终端所发送的更新路由转发表的请求;第二发送单元,用于服务注册器将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
根据本发明一优选实施例,所述装置还包括:第三发送单元,用于所述服务注册器在所述终端创建内网服务时,向所述终端提供所构建内网服务对应的网段信息。
由以上技术方案可以看出,通过中央路由器依据本地所存储的内网服务器IP地址与网段之间的对应关系,判断所发送访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段,从而使得中央路由器能够依据内网服务对应的网段实现终端对该内网服务的访问控制,保证了只有某一内网服务的合法终端才能够访问该内网服务,不需要再使用其他的认证方式,从而简化了用户访问内网服务的操作,并确保了访问内网服务的安全性。
【附图说明】
图1为本发明一实施例提供的方法流程图。
图2为本发明另一实施例提供的方法流程图。
图3为本发明一实施例提供的方法拓扑图。
图4为本发明一实施例提供的设置于中央路由器的装置结构图。
图5为本发明一实施例提供的设置于终端的装置结构图。
图6为本发明一实施例提供的设置于服务注册器的装置结构图。
图7为本发明一实施例提供的设备结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
内网服务通常具有重要性以及隐秘性,在访问内网服务时,现有技术大多使用身份认证的方式,例如使用用户名和密码,但这种方式极易被抓包破解,因而无法保障访问内网服务的安全性;而使用证书认证的方式进行内网服务访问时,认证方式较为繁琐,服务性能较差。因此,本发明提出一种更加安全高效的内网服务的访问控制方法,保证只有构建某一内网服务的终端才拥有访问该内网服务的权限,不需要再使用其他的认证方式,从而简化用户的操作,提升内网服务访问的安全性。
图1为本发明一实施例提供的方法流程图,如图1中所示,该方法可以主要包括以下步骤:
在101中,中央路由器接收来自终端的访问请求。
在本步骤中,终端向中央路由器发送访问请求,所述发送访问请求的终端位于构建某一内网服务的子网中,且在该子网中的终端只能看到该子网所构建的内网服务。子网具体可以为构建内网服务的终端集群或者网络,而各个终端集群或者网络所能够访问内网服务的权限则通过服务注册器进行配置。对于服务注册器的具体配置过程将在下文进行详述。
举例来说,若存在子网A以及子网B,内网服务A以及内网服务B。其中,子网A构建内网服务A,子网B构建内网服务B。那么,位于子网A中的终端只能够访问内网服务A,例如仅能够访问内网服务A中的服务选项,同样地,位于子网B中的终端也只能够访问内网服务B,例如仅能够访问内网服务B中的服务选项。本发明对子网中所包含终端的个数不进行限定,同时对内网服务中所包含服务选项的个数也不进行限定。
在本步骤中,位于构建某一内网服务子网中的终端,通过子网中的分路由器将访问请求发送至中央路由器,其中中央路由器指的是负责在各子网和内网服务器之间进行报文路由转发的路由器,更进一步地,中央路由器还可以负责内网设备与连接外网的网关之间的报文转发,即实现内网与外网之间报文的路由转发。
中央路由器接收到终端发送的访问请求时,该访问请求携带有源内网IP地址和目的IP地址。其中,源内网IP地址包括发送该访问请求的终端的内网IP地址,目的IP地址则包括该访问请求所要访问服务器的IP地址。
需要说明的是,本发明实施例中所涉及的终端可以是一个具体的实体,例如计算机终端,也可以是运行于计算机实体上的虚拟终端,例如虚拟机。终端的内网IP地址是在构建子网时自动生成的,例如该终端加入某内网的子网时,依据预设的IP地址生成策略自动生成的。在本发明实施例中,为了实现中央路由器对终端的访问控制,可以针对各内网服务对应的子网分别设定网段,子网中的终端在生成IP地址时,只能在对应网段内生成IP地址。然后,将在对应不同内网服务的网段中所生成的内网IP地址作为终端的源内网IP地址,该源内网IP地址即用以表明该终端所能够访问的内网服务。
举个例子,例如针对内网服务器A预先配置网段a,那么其对应的子网A中的终端只能够在该网段a中生成IP地址,将所生成的IP地址作为位于子网A中的终端的源内网IP地址。针对内网服务器B预先配置网段b,那么其对应的子网B中的终端只能够在网段b中生成IP地址,将所生成的IP地址作为位于子网B中的终端的源内网IP地址。
上述内网服务与网段之间的对应关系,在子网构建时从服务注册器获取,也就是说,预先在服务注册器中配置有各内网服务与网段之间的对应关系。
终端向中央路由器所发送访问请求的目的IP地址是其要访问服务器的IP地址,该目的IP地址可能是外网服务器的IP地址,也可能是内网服务器的IP地址。通过访问请求的目的IP地址,中央路由器一方面可以区分该访问请求要访问的是内网服务器还是外网服务器,另一方面如果访问的是内网服务也可以区分具体访问的是哪个内网服务。
终端访问请求的发送方式可以为用户通过终端对某一网络服务的链接进行点击的方式,也可以为用户通过终端输入某一网络服务的地址的方式。本发明对终端向中央路由器发送访问请求的方式不进行限定。
可选地,在本实施例的一个具体实现过程中,用户通过终端对某一网络服务的链接进行点击,触发终端将该链接所指向网络服务的访问请求发送至中央路由器。在获取终端发送访问请求的同时,携带源IP地址以及目的IP地址。还可以为用户输入某一网络服务的地址的名称,触发终端将该地址所对应网络服务的访问请求发送至中央路由器,并同时携带有源IP地址以及目的IP地址。
在102中,依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源IP地址是否属于所述访问请求的目的IP地址对应的网段,如果是,则执行103,依据路由转发表转发所述访问请求至对应的内网服务器;否则,执行104,拒绝转发所述访问请求。
在本步骤中,中央路由器接收到来自某个子网中终端的访问请求后,需要首先查找路由转发表,即根据访问请求的目的IP地址确定对应的转发端口。若在路由转发表中,根据访问请求的目的IP地址无法确定其对应的转发端口,则丢弃该访问请求,拒绝该访问请求的进一步转发,还可以进一步向发送该访问请求的终端返回拒绝访问的响应报文;若在路由转发表中,根据访问请求的目的IP地址能够确定其对应的转发端口,则执行该访问请求的下一步转发。
在本发明实施例中,除了基本的转发功能之外,需要由中央路由器实现针对内网服务的访问控制。
具体地,在中央路由器中需要预先配置各内网服务器的IP地址与网段之间的对应关系。当接收到来自某个子网中终端的访问请求后,在根据访问请求的目的IP地址确定该访问请求对应的转发端口后,判断本地是否存储有该访问请求的目的IP地址对应的网段信息,如果否,则丢弃该访问请求,拒绝该访问请求的进一步转发,还可以进一步向发送该访问请求的终端返回拒绝访问的响应报文。如果本地存储有该访问请求的目的IP地址对应的网段信息,则进一步判断该访问请求的源IP地址是否属于该目的IP地址对应的网段,如果是,则依据转发表转发该访问请求至对应的内网服务器;否则,丢弃该访问请求,拒绝该访问请求的进一步转发,还可以进一步向发送该访问请求的终端返回拒绝访问的响应报文。
需要说明的是,中央路由器中的路由转发表以及内网服务器的IP地址与网段之间的对应关系可以静态配置,也可以从服务注册器中获取内网服务与网段之间的对应关系后动态生成。
静态配置的方式在此不做详述,下面仅对动态生成的方式进行介绍。动态生成的方式可以采用但不限于以下两种方式:
第一种方式:服务注册器可以在每个子网创建之后,就将内网服务与网段之间的对应关系提供给中央路由器。然后中央路由器依据服务注册器提供的内网服务与网段之间的对应关系,在本地生成内网服务器的IP地址与网段之间的对应关系,以及更新路由转发表(即将该内网服务器IP地址与转发端口之间的对应关系添加入路由转发表)。其中路由转发表的生成为已有技术,在此不做详述。
第二种方式:服务注册器可以在收到终端的请求后,将内网服务与网段之间的对应关系提供给中央路由器。具体过程可以如图2所示:
在201中,终端向中央路由器发送访问请求。
在202中,中央路由器接收到该访问请求后,确定本地尚不存在该访问请求的目的IP地址对应的路由转发表,丢弃该访问请求。
在203中,终端在预设时长内未收到中央路由器的响应,则向服务注册器发送更新路由转发表的请求。
需要说明的是,中央路由器通常在正常转发访问请求后,会向终端发送指示转发成功的响应,若在设定时长内终端未收到来自中央路由器的响应,则说明转发失败。或者,中央路由器在丢弃访问请求后可以向终端返回指示拒绝访问的响应,若终端接收到该指示拒绝访问的响应,则也可以向服务注册器发送更新路由表的请求。
在204中,服务注册器接收到终端发送的更新路由转发表的请求后,将该终端所对应网段与内网服务之间的对应关系发送给中央路由器。
在205中,中央路由器根据由服务注册器发送来的该终端对应网段与内网服务之间的对应关系,在本地生成内网服务器的IP地址与网段之间的对应关系,并且更新路由转发表。
在中央路由器中,内网服务器的IP地址与网段之间的对应关系,以及路由转发表可以分开存储,也可以合并存储。
例如,常规的路由转发表,实际上是:“目的IP地址-转发端口”这一对应关系,在本发明实施例中,也可以将“内网服务器IP地址-网段”之间的对应关系与转发表进行合并存储,从而形成类似于“网段-目的IP地址-转发端口”的表项。当然为了不影响现有路由转发表的机制,也可以分开存储。
中央路由器在接收到由终端发送来的访问请求后,如果依据目的IP地址确定该访问请求属于外网服务请求,则将该访问请求转发至对应的网关,使得终端能够访问该外网服务。
上述内网服务的访问控制方法的拓扑图如图3所示。其中,内网服务器A对应内网服务A,内网服务器B对应内网服务B,子网A为构建内网服务A的子网,子网B为构建内网服务B的子网。其中,子网A和B中的各终端可以为虚拟终端,内网服务器A和内网服务器B可以为虚拟服务器。
下面结合图3,对内网服务的访问控制方法以一个实例进行详细描述:
位于子网A中的终端A,通过子网A中的分路由器向中央路由器发送访问内网服务器A中内网服务的请求。中央路由器首先根据终端A所发送访问请求的目的IP地址,在路由转发表中确定与该目的IP地址(即要访问的内网服务器的IP地址)所对应的转发端口。若在路由转发表中存在该目的IP地址所对应的转发端口,中央路由器再判断是否有与该目的IP地址对应的网段信息,若存储有该访问请求的目的IP地址对应的网段信息,则进一步判断该访问请求的源IP地址是否属于该目的IP地址所对应的网段,如果是,则依据转发表中确定的端口将该访问请求转发至对应的内网服务器,中央路由器向终端发送访问请求转发成功的响应。
若终端A在预设时长内未收到中央路由器的响应或者接收到中央路由器发送来的转发失败的响应,则向服务注册器发送更新路由转发表的请求。服务注册器在接收到终端A所发送更新路由转发表的请求后,将该终端A所对应网段与内网服务之间的对应关系发送给中央路由器。中央路由器依据由服务注册器发送来的内容,在本地生成该内网服务器的IP地址与网段之间的对应关系,并且更新路由转发表。在经过上述操作后,位于子网A中的终端A便能够访问该内网服务器A。
若中央路由器根据终端A所发送访问请求中的目的IP地址,确定该IP地址属于外网服务器的IP地址,中央路由器则将该访问请求转发至网关,使得终端A能够访问对应的外网服务。
下面对本发明实施例提供的装置结构图进行详述,如图4中所示,所述装置设置于中央路由器,包括第一接收单元41、判断单元42、转发处理单元43以及表项维护单元44。
第一接收单元41,用于接收终端发送来的访问请求。
需要说明的是,本发明实施例中所涉及的终端可以是一个具体的实体,例如计算机终端,也可以是运行于计算机实体上的虚拟终端,例如虚拟机。
在本步骤中,位于构建某一内网服务子网中的终端,通过子网中的分路由器将访问请求发送至中央路由器,其中中央路由器指的是负责在各子网和内网服务器之间进行报文路由转发的路由器,更进一步地,中央路由器还可以负责内网设备与连接外网的网关之间的报文转发,即实现内网与外网之间报文的路由转发。
第一接收单元41所接收到由终端发送的访问请求,该访问请求携带有源内网IP地址和目的IP地址。其中,源内网IP地址包括发送该访问请求终端的内网IP地址,目的IP地址则包括该访问请求所要访问服务器的IP地址。
判断单元42,用于依据中央路由器本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段。如果判断单元42的判断结果为是,则由转发处理单元43依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。
表项维护单元44,用于从服务注册器获取内网服务信息与网段之间的对应关系,依据该对应关系在本地存储内网服务器IP地址与网段之间的对应关系,并在路由转发表中添加该内网服务器IP地址对应的表项。
具体地,第一接收单元41在接收到来自某个子网中终端的访问请求后,需要首先由判断单元42查找表项维护单元44所添加的路由转发表,即根据访问请求的目的IP地址确定对应的转发端口。若在路由转发表中,判断单元42根据访问请求的目的IP地址无法确定其对应的转发端口,则触发转发处理单元43丢弃该访问请求,拒绝该访问请求的进一步转发,还可以进一步向发送该访问请求的终端返回拒绝访问的响应报文;若在路由转发表中,判断单元42根据访问请求的目的IP地址能够确定其对应的转发端口,则执行该访问请求的下一步转发。
在本发明实施例中,除了基本的转发功能之外,需要由中央路由器实现针对内网服务的访问控制。
具体地,表项维护单元44在中央路由器中预先配置各内网服务器的IP地址与网段之间的对应关系。当第一接收单元41接收到来自某个子网中终端的访问请求,在判断单元42根据访问请求的目的IP地址确定该访问请求对应的转发端口后,由判断单元42进一步判断本地是否存储有该访问请求的目的IP地址对应的网段信息,如果否,则触发转发处理单元43丢弃该访问请求,拒绝该访问请求的进一步转发,还可以进一步向发送该访问请求的终端返回拒绝访问的响应报文。如果本地存储有该访问请求的目的IP地址对应的网段信息,则进一步判断该访问请求的源IP地址是否属于该目的IP地址对应的网段,如果是,则由转发处理单元43依据转发表转发该访问请求至对应的内网服务器;否则,触发转发处理单元43丢弃该访问请求,拒绝该访问请求的进一步转发,还可以进一步向发送该访问请求的终端返回拒绝访问的响应报文。
第一接收单元41在接收到由终端发送来的访问请求后,若由判断单元42依据目的IP地址确定该访问请求属于外网服务请求,则触发转发处理单元43将该访问请求转发至对应的网关,使得终端能够访问该外网服务。
下面对本发明实施例提供的装置结构图进行详述,如图5中所示,所述装置设置于终端,包括生成单元51、第一发送单元52以及请求单元53。
生成单元51,用于从服务注册器获取所构建内网服务对应的网段信息,在该网段内生成内网IP地址。
生成单元51利用所获取的构建内网服务对应的网段信息,在该网段内生成内网IP地址。也就是说,终端的内网IP地址是在构建子网时由生成单元51自动生成的。例如该终端在加入某内网的子网时,依据预设的IP地址生成策略自动生成。在本发明实施例中,为了实现中央路由器对终端的访问控制,可以针对各内网服务对应的子网分别设定网段,生成单元51在生成IP地址时,只能在对应网段内生成IP地址。然后,将由生成单元51所生成的内网IP地址作为该终端的源内网IP地址,该源内网IP地址即用以表明该终端所能够访问的内网服务。
上述内网服务与网段之间的对应关系,在子网构建时从服务注册器获取,也就是说,预先在服务注册器中配置有各内网服务与网段之间的对应关系。
第一发送单元52,用于向中央路由器发送访问请求,所述访问请求的源内网IP地址包括所述内网IP地址,目的IP地址为所述内网服务对应的内网服务器IP地址。
所述发送访问请求的终端位于构建某一内网服务的子网中,且在该子网中的终端只能访问该子网所构建的内网服务。子网具体可以为构建内网服务的终端集群或者网络,而各个终端集群或者网络所能够访问内网服务的权限则通过服务注册器进行配置。
第一发送单元52向中央路由器所发送访问请求的目的IP地址是其要访问服务器的IP地址,该目的IP地址可能是外网服务器的IP地址,也可能是内网服务器的IP地址。通过访问请求的目的IP地址,中央路由器一方面可以区分该访问请求要访问的是内网服务器还是外网服务器,另一方面如果访问的是内网服务也可以区分具体访问的是哪个内网服务。
第一发送单元52发送访问请求的方式可以为用户通过终端对某一网络服务的链接进行点击的方式,也可以为用户通过终端输入某一网络服务的地址的方式。本发明对终端向中央路由器发送访问请求的方式不进行限定。
可选地,在本实施例的一个具体实现过程中,用户通过终端对某一网络服务的链接进行点击,触发终端将该链接所指向网络服务的访问请求发送至中央路由器。在获取终端发送访问请求的同时,携带源IP地址以及目的IP地址。还可以为用户输入某一网络服务的地址的名称,触发终端将该地址所对应网络服务的访问请求发送至中央路由器,并同时携带有源IP地址以及目的IP地址。
若第一发送单元52在发送所述访问请求后的设定时长内未收到中央路由器返回的指示转发成功的响应,或者接收到中央路由器返回的拒绝访问的响应,则由设置于终端的请求单元53向所述服务注册器发送更新路由转发表的请求,以便所述服务注册器向所述中央路由器发送所述所构建内网服务与网段之间的对应关系,从而使该终端能够访问目的IP地址所对应的内网服务器。
下面对本发明实施例提供的装置结构图进行详述,如图6中所示,所述装置设置于服务注册器,包括第二接收单元61、第二发送单元62以及第三发送单元63。
第二接收单元61,用于接收终端所发送的更新路由转发表的请求。
第二发送单元62,用于将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
具体地,第二接收单元61接收来自终端请求单元53所发送的更新中央路由器中路由转发表的请求后,由第二发送单元62将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器中的表项维护单元44,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
第三发送单元63,用于在所述终端创建内网服务时,向所述终端提供所构建内网服务对应的网段信息。
具体地,在终端创建内网服务时,第三发送单元63将构建内网服务所对应的网段信息发送给设置于终端的生成单元51,生成单元51利用所获取的构建内网服务对应的网段信息,在该网段内生成内网IP地址作为该终端的源内网IP地址。
本发明实施例提供的上述方法和装置可以以设置并运行于设备中的计算机程序体现。该设备可以包括一个或多个处理器,还包括存储器和一个或多个程序,如图7中所示。其中该一个或多个程序存储于存储器中,被上述一个或多个处理器执行以实现本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行的方法流程,可以包括:
接收来自终端的访问请求;
依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段,如果是,则依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。
再例如,被上述一个或多个处理器执行的方法流程,可以包括:
从服务注册器获取所构建内网服务对应的网段信息,在该网段内生成内网IP地址;
终端向中央路由器发送访问请求,所述访问请求的源内网IP地址包括所述内网IP地址,目的IP地址为所述内网服务对应的内网服务器IP地址。
再例如,被上述一个或多个处理器执行的方法流程,可以包括:
接收终端所发送的更新路由转发表的请求;
将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
利用本发明提供的技术方案,通过中央路由器依据本地所存储的内网服务器IP地址与网段之间的对应关系,判断所发送访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段,从而使得中央路由器能够依据内网服务所对应的网段实现对终端对该内网服务的访问控制,保证了只有某一内网服务的合法终端才能够访问该内网服务,不需要再使用其他的认证方式,简化了用户访问内网服务的操作,并确保了访问内网服务的安全性。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (18)
1.一种内网服务的访问控制方法,其特征在于,所述方法包括:
中央路由器接收来自终端的访问请求;
依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段,如果是,则依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。
2.根据权利要求1所述的方法,其特征在于,在所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还包括:
根据所述访问请求的目的IP地址,判断该目的IP地址是否为内网服务器的IP地址;
若否,则将该访问请求转发至连接外网的网关;若是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段。
3.根据权利要求1所述的方法,其特征在于,在所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还包括:
判断路由转发表中是否存在所述目的IP地址对应的表项,如果是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段;若否,则拒绝转发所述访问请求。
4.根据权利要求1所述的方法,其特征在于,该方法还包括:
从服务注册器获取内网服务信息与网段之间的对应关系,依据该对应关系在本地存储内网服务器IP地址与网段之间的对应关系,并在路由转发表中添加该内网服务器IP地址对应的表项。
5.根据权利要求1至4任一权项所述的方法,其特征在于,所述终端为虚拟终端,所述内网服务器为虚拟服务器。
6.一种内网服务的访问控制方法,其特征在于,该方法包括:
终端从服务注册器获取所构建内网服务对应的网段信息,在该网段内生成内网IP地址;
终端向中央路由器发送访问请求,所述访问请求的源内网IP地址包括所述内网IP地址,目的IP地址为所述内网服务对应的内网服务器IP地址。
7.根据权利要求6所述的方法,其特征在于,该方法还包括:
所述终端在发送所述访问请求后的设定时长内未收到中央路由器返回的指示转发成功的响应,或者接收到中央路由器返回的拒绝访问的响应,则向所述服务注册器发送更新路由转发表的请求,以便所述服务注册器向所述中央路由器发送所述所构建内网服务与网段之间的对应关系。
8.一种内网服务的访问控制方法,其特征在于,该方法包括:
服务注册器接收终端所发送的更新路由转发表的请求;
将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
9.根据权利要求8所述的方法,其特征在于,该方法还包括:
所述服务注册器在所述终端创建内网服务时,向所述终端提供所构建内网服务对应的网段信息。
10.一种内网服务的访问控制装置,其特征在于,该装置设置于中央路由器,该装置包括:
第一接收单元,用于接收来自终端的访问请求;
判断单元,用于依据中央路由器本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段;
转发处理单元,用于在所述判断单元的判断结果为是时,依据路由转发表转发所述访问请求至对应的内网服务器;否则,拒绝转发所述访问请求。
11.根据权利要求10所述的装置,其特征在于,所述判断单元在依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还执行:
根据所述访问请求的目的IP地址,判断该目的IP地址是否为内网服务器的IP地址;
若否,则触发所述转发处理单元将该访问请求转发至连接外网的网关;若是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段。
12.根据权利要求10所述的装置,其特征在于,所述判断单元在依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段之前,还执行:
判断路由转发表中是否存在所述目的IP地址对应的表项,如果是,则继续执行所述依据本地存储的内网服务器IP地址与网段之间的对应关系,判断所述访问请求的源内网IP地址是否属于所述访问请求的目的IP地址对应的网段;若否,则触发所述转发处理单元拒绝转发所述访问请求。
13.根据权利要求10所述的装置,其特征在于,所述装置还包括:
表项维护单元,用于中央路由器从服务注册器获取内网服务信息与网段之间的对应关系,依据该对应关系在本地存储内网服务器IP地址与网段之间的对应关系,并在路由转发表中添加该内网服务器IP地址对应的表项。
14.根据权利要求10至13任一权项所述的装置,其特征在于,所述终端为虚拟终端,所述内网服务器为虚拟服务器。
15.一种内网服务的访问控制装置,其特征在于,该装置设置于终端,该装置包括:
生成单元,用于从服务注册器获取所构建内网服务对应的网段信息,在该网段内生成内网IP地址;
第一发送单元,用于向中央路由器发送访问请求,所述访问请求的源内网IP地址包括所述内网IP地址,目的IP地址为所述内网服务对应的内网服务器IP地址。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
请求单元,用于在所述第一发送单元发送所述访问请求后的设定时长内未收到中央路由器返回的指示转发成功的响应,或者接收到中央路由器返回的拒绝访问的响应,则向所述服务注册器发送更新路由转发表的请求,以便所述服务注册器向所述中央路由器发送所述所构建内网服务与网段之间的对应关系。
17.一种内网服务的访问控制装置,其特征在于,该装置设置于服务注册器,该装置包括:
第二接收单元,用于接收终端所发送的更新路由转发表的请求;
第二发送单元,用于将所述终端所构建内网服务与网段之间的对应关系发送给中央路由器,以便中央路由器存储内网服务器IP地址与网段之间的对应关系,并更新路由转发表。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:
第三发送单元,用于所述服务注册器在所述终端创建内网服务时,向所述终端提供所构建内网服务对应的网段信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710004009.3A CN106714176A (zh) | 2017-01-04 | 2017-01-04 | 一种内网服务的访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710004009.3A CN106714176A (zh) | 2017-01-04 | 2017-01-04 | 一种内网服务的访问控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106714176A true CN106714176A (zh) | 2017-05-24 |
Family
ID=58905829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710004009.3A Pending CN106714176A (zh) | 2017-01-04 | 2017-01-04 | 一种内网服务的访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106714176A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111422A (zh) * | 2017-12-29 | 2018-06-01 | 北京明朝万达科技股份有限公司 | 一种基于dpdk的数据高速多路转发方法及装置 |
| CN108446546A (zh) * | 2018-03-20 | 2018-08-24 | 深信服科技股份有限公司 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
| CN109587279A (zh) * | 2018-01-31 | 2019-04-05 | 钛马信息网络技术有限公司 | 一种请求的传输方法、装置、设备、介质及系统 |
| CN110650092A (zh) * | 2019-09-24 | 2020-01-03 | 网易(杭州)网络有限公司 | 一种数据处理的方法和装置 |
| CN110971715A (zh) * | 2018-09-28 | 2020-04-07 | 贵州白山云科技股份有限公司 | 一种总部访问请求方法、装置及系统 |
| CN110971714A (zh) * | 2018-09-28 | 2020-04-07 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及系统 |
| CN109922058B (zh) * | 2019-02-27 | 2021-01-05 | 江西网是科技有限公司 | 一种防止非法访问内网的内网保护方法 |
| CN114172845A (zh) * | 2021-12-28 | 2022-03-11 | 北京神州数码云科信息技术有限公司 | 一种路由交换方法及系统 |
| CN114945045A (zh) * | 2022-05-18 | 2022-08-26 | 深圳渊联技术有限公司 | 网络服务响应方法、装置、网络设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040230671A1 (en) * | 2000-08-02 | 2004-11-18 | Rollins Douglas L. | Modular access point for wireless networking |
| CN101159718A (zh) * | 2007-08-03 | 2008-04-09 | 重庆邮电大学 | 嵌入式工业以太网安全网关 |
| CN101674232A (zh) * | 2008-09-10 | 2010-03-17 | 北京艾科网信科技有限公司 | 一种接入控制服务器、接入控制方法及系统 |
| CN102075426A (zh) * | 2011-01-14 | 2011-05-25 | 中兴通讯股份有限公司 | 一种mff手工模式下的报文传输方法及装置 |
| CN104469774A (zh) * | 2013-09-24 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种搜索无线局域网中在线设备的方法和装置 |
-
2017
- 2017-01-04 CN CN201710004009.3A patent/CN106714176A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040230671A1 (en) * | 2000-08-02 | 2004-11-18 | Rollins Douglas L. | Modular access point for wireless networking |
| CN101159718A (zh) * | 2007-08-03 | 2008-04-09 | 重庆邮电大学 | 嵌入式工业以太网安全网关 |
| CN101674232A (zh) * | 2008-09-10 | 2010-03-17 | 北京艾科网信科技有限公司 | 一种接入控制服务器、接入控制方法及系统 |
| CN102075426A (zh) * | 2011-01-14 | 2011-05-25 | 中兴通讯股份有限公司 | 一种mff手工模式下的报文传输方法及装置 |
| CN104469774A (zh) * | 2013-09-24 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种搜索无线局域网中在线设备的方法和装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111422A (zh) * | 2017-12-29 | 2018-06-01 | 北京明朝万达科技股份有限公司 | 一种基于dpdk的数据高速多路转发方法及装置 |
| CN109587279A (zh) * | 2018-01-31 | 2019-04-05 | 钛马信息网络技术有限公司 | 一种请求的传输方法、装置、设备、介质及系统 |
| CN108446546A (zh) * | 2018-03-20 | 2018-08-24 | 深信服科技股份有限公司 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
| CN110971714B (zh) * | 2018-09-28 | 2023-10-27 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及系统 |
| CN110971715A (zh) * | 2018-09-28 | 2020-04-07 | 贵州白山云科技股份有限公司 | 一种总部访问请求方法、装置及系统 |
| CN110971714A (zh) * | 2018-09-28 | 2020-04-07 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及系统 |
| CN109922058B (zh) * | 2019-02-27 | 2021-01-05 | 江西网是科技有限公司 | 一种防止非法访问内网的内网保护方法 |
| CN110650092A (zh) * | 2019-09-24 | 2020-01-03 | 网易(杭州)网络有限公司 | 一种数据处理的方法和装置 |
| CN110650092B (zh) * | 2019-09-24 | 2022-05-03 | 网易(杭州)网络有限公司 | 一种数据处理的方法和装置 |
| CN114172845B (zh) * | 2021-12-28 | 2023-06-09 | 北京神州数码云科信息技术有限公司 | 一种路由交换方法及系统 |
| CN114172845A (zh) * | 2021-12-28 | 2022-03-11 | 北京神州数码云科信息技术有限公司 | 一种路由交换方法及系统 |
| CN114945045A (zh) * | 2022-05-18 | 2022-08-26 | 深圳渊联技术有限公司 | 网络服务响应方法、装置、网络设备和存储介质 |
| CN114945045B (zh) * | 2022-05-18 | 2023-09-26 | 深圳渊联技术有限公司 | 网络服务响应方法、装置、网络设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106714176A (zh) | 一种内网服务的访问控制方法及装置 | |
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务系统 | |
| CN105491001B (zh) | 一种安全通讯方法和装置 | |
| CN102356620B (zh) | 网络应用访问 | |
| US8621023B2 (en) | Message filtering system | |
| US20170374088A1 (en) | Individually assigned server alias address for contacting a server | |
| CN104580364B (zh) | 一种资源分享的方法和装置 | |
| US12088623B2 (en) | Edge network-based account protection service | |
| CN102075537B (zh) | 一种实现虚拟机间数据传输的方法和系统 | |
| WO2012162815A1 (en) | Proxy based network communications | |
| AU7951598A (en) | Method and arrangement relating to communications systems | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN101471878B (zh) | 对等会话起始协议网络的安全路由方法、网络系统及设备 | |
| US20180295151A1 (en) | Methods for mitigating network attacks through client partitioning and devices thereof | |
| US8650392B2 (en) | Ticket authorization | |
| WO2018112878A1 (zh) | 一种基于令牌机制的检测和防御cc攻击的系统和方法 | |
| JP2014501959A (ja) | ユーザにサービスアクセスを提供する方法およびシステム | |
| CN109088884A (zh) | 基于身份验证的网址访问方法、装置、服务器及存储介质 | |
| CN103051598B (zh) | 安全接入互联网业务的方法、用户设备和分组接入网关 | |
| CN112870692B (zh) | 一种游戏加速方法、加速系统、加速装置以及存储介质 | |
| CN109951298A (zh) | 访问服务器的方法、设备及计算机可读存储介质 | |
| CN108965309A (zh) | 一种数据传输处理方法、装置、系统及设备 | |
| WO2019000597A1 (zh) | 一种ip地址隐藏方法及装置 | |
| CN106506410A (zh) | 一种安全表项建立方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170524 |
|
| RJ01 | Rejection of invention patent application after publication |