CN111385113B - 一种vpn服务器集群的差异化接入方法及系统 - Google Patents

一种vpn服务器集群的差异化接入方法及系统 Download PDF

Info

Publication number
CN111385113B
CN111385113B CN201811624420.1A CN201811624420A CN111385113B CN 111385113 B CN111385113 B CN 111385113B CN 201811624420 A CN201811624420 A CN 201811624420A CN 111385113 B CN111385113 B CN 111385113B
Authority
CN
China
Prior art keywords
dialing
client
server
vpn
dial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811624420.1A
Other languages
English (en)
Other versions
CN111385113A (zh
Inventor
金一波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Uniview Technologies Co Ltd
Original Assignee
Zhejiang Uniview Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Uniview Technologies Co Ltd filed Critical Zhejiang Uniview Technologies Co Ltd
Priority to CN201811624420.1A priority Critical patent/CN111385113B/zh
Publication of CN111385113A publication Critical patent/CN111385113A/zh
Application granted granted Critical
Publication of CN111385113B publication Critical patent/CN111385113B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种VPN服务器集群的差异化接入方法及系统,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台。本发明能够将不同类型的设备分流,能够避免在同一台服务器开启过多无用的安全及附加服务导致不必要的系统资源消耗,同时由于单台服务器提供单一的过滤功能,将能提供响应更快,延时更小,误判率更低的过滤服务。由于单台服务器开放尽可能少的端口,将使集群具有更高的安全可靠性。

Description

一种VPN服务器集群的差异化接入方法及系统
技术领域
本发明属于服务器集群技术领域,尤其涉及一种VPN服务器集群的差异化接入方法及系统。
背景技术
随着监控技术的发展,监控行业从模拟时代转变成数字时代,并伴随通信技术的发展进入IP时代。基于IP组网的视频监控发展迅猛,很快就在全国范围形成了庞大的视频监控专用网络。
布设专用网络的好处是能够保证大流量监控数据拥有足够的带宽,封闭的网络环境能够防止监控信息能够不被互联网上的黑客攻击、窃取。然而搭设私有网络越来越无法满足监控行业互通互联的需求,其缺点主要体现在局域网间互联困难,社会资源局域网接入监控专网困难。
为了解决上述困难,一个比较常用的做法是通过运营商布设专线的方式接入,然而布设专线需要布设专用网络设备,成本较高。在此背景下,监控设备支持私有VPN拨号的方案被推出,其由于接入简单,成本低而广泛地被应用于社会监控资源接入、私有监控网络互通互连的场景。
虚拟专用网络VPN(Virtual Private Network)保障了数据通信的安全,得到了广泛的应用。然而VPN服务器往往成为性能的瓶颈,为了解决VPN服务器接入性能不足的影响,往往需要通过VPN集群的方式解决。但是目前的VPN集群方案主要用于普通的办公场景,仅实现传统的负载分担、备份、数据加密,无法针对视频监控系统做专门的安全适配,无法进一步保障集群针对视频流量的安全性和接入性能的优化。
发明内容
本发明的目的是提供一种VPN服务器集群的差异化接入方法及系统,针对视频监控系统的特殊性,提供差异化的接入控制,提高监控资源的接入性能和网络安全性。
为了实现上述目的,本发明技术方案如下:
一种VPN服务器集群的差异化接入方法,用于将监控设备安全接入视频监控平台,所述监控设备上安装有拨号客户端,所述VPN服务器集群的差异化接入方法,包括:
VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;
拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台。
本发明的一种实现方式,所述VPN拨号客户端对应的类型信息为VPN拨号客户端所在监控设备接入视频监控平台对应的视频协议类型,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
VPN拨号客户端拨号到主服务器,获取虚拟IP后接入视频监控平台;
主服务器获取VPN拨号客户端对应的视频协议类型,根据视频协议类型选择对应的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
本发明的另一种实现方式,所述VPN拨号客户端对应的类型信息为用户权限,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
VPN拨号客户端拨号到主服务器,主服务器根据VPN拨号客户端拨号的用户名对应的用户权限,选择对应的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
本发明的另一种实现方式,所述VPN拨号客户端对应的类型信息为第三方安全设备,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
VPN拨号客户端拨号到主服务器,主服务器根据VPN拨号客户端拨号的用户名,选择连接有第三方安全设备的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
进一步地,所述VPN服务器集群的差异化接入方法,还包括:
VPN服务器集群中的主服务器将拨号客户端从主服务器获取的虚拟IP地址传递给所选择的从服务器;
所选择的从服务器在拨号客户端重新拨号时,将所述虚拟IP地址分配给拨号客户端。
本发明还提出了一种VPN服务器集群的差异化接入系统,用于将监控设备安全接入视频监控平台,所述监控设备上安装有拨号客户端,其特征在于,所述VPN服务器集群包括主服务器和从服务器,其中:
VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;
拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台。
进一步地,所述VPN拨号客户端对应的类型信息为VPN拨号客户端所在监控设备接入视频监控平台对应的视频协议类型,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应VPN拨号客户端的拨号,为其分配虚拟IP后将其接入视频监控平台;
主服务器获取VPN拨号客户端对应的视频协议类型,根据视频协议类型选择对应的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
或,所述VPN拨号客户端对应的类型信息为用户权限,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应VPN拨号客户端的拨号,根据VPN拨号客户端拨号的用户名对应的用户权限,选择对应的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
或,所述VPN拨号客户端对应的类型信息为第三方安全设备,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应VPN拨号客户端的拨号,根据VPN拨号客户端拨号的用户名,选择连接有第三方安全设备的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
进一步地,所述VPN服务器集群中的主服务器还将拨号客户端从主服务器获取的虚拟IP地址传递给所选择的从服务器;
所选择的从服务器在拨号客户端重新拨号时,将所述虚拟IP地址分配给拨号客户端。
本发明提出的一种VPN服务器集群的差异化接入方法及系统,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台。本发明能够将不同视频协议的设备分流,能够避免在同一台服务器开启过多无用的安全及附加服务导致不必要的系统资源消耗,由于协议或业务分流已经集群服务器完成,仅在出口路由器上做基于IP的qos就可以调节不同业务的qos优先级配置。同时由于单台服务器提供单一的过滤功能,将能提供响应更快,延时更小,误判率更低的过滤服务。由于单台服务器开放尽可能少的端口,将使集群具有更高的安全可靠性。同时可基于系统分配的用户名密码实现权限区分,通过在接入第三方安全设备(或流量分析等设备),可实现流量的二次识别或过滤。
附图说明
图1为本发明实施例视频监控系统VPN服务器集群组网结构示意图;
图2为本发明实施例VPN服务器集群的差异化接入方法流程图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
如图1所示,采用VPN服务器集群的视频监控系统组网结构中,VPN服务器集群与视频监控平台在视频专网中,防火墙隔离视频专网与公网,仅将VPN拨号端口映射至公网。监控设备存在于不同的公网,监控设备上安装有VPN拨号客户端,通过拨号接入到视频专网。本发明中监控设备包括网络摄像机IPC、网络录像机NVR/DVR、视频监控客户端设备等等,这里不一一赘述。
根据监控设备采用的视频协议,可以将拨号用户划分为:GB/ONVIF/私有协议等用户;按用户权限,可以将拨号用户划分为权限组1用户/权限组2用户/权限组3用户/超级管理员用户等等。
如图2所示,本发明一种VPN服务器集群的差异化接入方法,包括:
VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台。
具体地,VPN服务器集群中包括主服务器和从服务器,主服务器本身可作为VPN接入服务器,对外开放给用户拨入VPN网络,并且可以作为第一次拨号客户端接入的转发服务器,可通过特征库识别方式识别拨号客户端类型。
主服务器作为VPN服务器集群的管理者,通过私有协议与从服务器进行通信,用来配置管理从服务器。主服务器通过配置方式,将不同从服务器配置为不同的过滤规则,如协议准入规则,端口过滤,黑名单策略,白名单策略,行为分析,IPS防御等,并为不同从服务器制定不同的调度触发机制,并将触发机制与从服务器的对应关系存入数据库。主服务器根据拨入的拨号客户端的类型信息,将从服务器的拨号信息重新返回给拨号客户端,通过让拨号客户端重新拨号的方式接入对应从服务器。其判断拨号客户端类型信息的方式有:监控平台SDK返回的监控协议、用户名密码、报文特征识别结果、默认拨号客户端等等方式。本发明VPN服务器集群还支持主服务器双机备份,备份主服务同步镜像主服务器,当主服务器异常时实现无感知切换
从服务器是实际拨号客户端接入的主体,由于主要承担流量转发功能,为了能够满足接入性能,配置单一过滤规则满足安全需求。对监控设备启用视频协议白名单策略,即根据视频协商协议解析出对应的会话,以达到仅放行监控数据的目的。对于高权限用户,如超级管理员用户,是默认放行的原则,只记录行为或做病毒入侵防御。对于低权限用户,根据其权限,只开放对应几个IP白名单及端口号,其余均做告警或丢包处理。对于默认权限用户,为权限最低用户,对未识别协议或身份的用户,做隔离处理,或者可根据安全策略如开发虚假漏洞方式对其进行攻击行为分析。
此外,对于一些IP地址需要固定的用户,如ONVIF协议接入的监控设备,由主服务器第一次接入的IP地址传递给从服务器,以达到固定IP地址的目的。
以下通过具体的实施例进行详细的阐述。
实施例1、基于视频协议实现拨号客户端接入控制。
本实施例VPN拨号客户端对应的类型信息为VPN拨号客户端所在监控设备接入视频监控平台对应的视频协议类型,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
VPN拨号客户端拨号到主服务器,获取虚拟IP后接入视频监控平台;
主服务器获取VPN拨号客户端对应的视频协议类型,根据视频协议类型选择对应的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
在本实施例中,一台能够正常接入公网的监控设备,通过拨号客户端拨号到VPN服务器集群中的主服务器,正常获取虚拟IP后,与视频监控平台实现正常通信。视频监控平台以某一视频协议接入监控设备,视频协议可以是GB28181(简称GB)、ONVIF或私有协议,以下以GB28181为例进行说明。
主控服务器通过如下三种方式选择此监控设备对应的从服务器:
方式1、若监控设备已经接入视频监控平台,则通过SDK方式从视频监控平台获取其接入的视频协议。
方式2、通过对报文特征进行识别,识别出监控设备所采用的视频协议。关于报文特征的识别,属于比较成熟的技术,这里不再进行赘述。
方式3、将未识别的监控设备归入默认协议类别。
在判定监控设备对应的视频协议类型后,选择对应类别的从服务器,例如监控设备采用的视频协议是GB,所选择的从服务器的视频协议白名单也是GB,只对GB视频协商协议进行解析,解析出对应的会话,以达到仅放行监控数据的目的。
将选择的从服务器拨号信息返回给拨号客户端,拨号信息包括拨号IP及端口号,通知拨号客户端重新拨号接入,拨号客户端重新拨号后,由于拨入的从服务器已经被主服务器配置特殊过滤规则,将被限制仅允许GB协议流量通过,监控设备接入到视频监控平台。
实施例2、基于用户权限实现拨号客户端接入控制。
本实施例VPN拨号客户端对应的类型信息为用户权限,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
VPN拨号客户端拨号到主服务器,主服务器根据VPN拨号客户端拨号的用户名对应的用户权限,选择对应的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
拨号客户端通过用户名密码口令向主服务器申请登录VPN网络,主服务收到口令后,查找数据库匹配用户权限对应的从服务器。并将选择的从服务器的IP地址及端口拨号信息返回给拨号客户端。
拨号客户端向该从服务器重新拨号,从服务器允许登录,拨号客户端成功登录VPN从服务器,接入到视频监控平台。本实施例从服务器中已经配置相应过滤规则,拨号客户端能访问其用户权限对应的域内网络资源,以此达到基于用户权限组分配权限的目的。
实施例3、基于第三方安全设备实现拨号客户端接入控制。
本实施例VPN拨号客户端对应的类型信息为第三方安全设备,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
VPN拨号客户端拨号到主服务器,主服务器根据VPN拨号客户端拨号的用户名,选择连接有第三方安全设备的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
拨号客户端通过用户名密码口令向主服务器申请登录VPN网络,主服务收到口令后,查找数据库,发现用户名属于通过第三方安全设备准入,则选择连接有第三方安全设备的从服务器,并将从服务器的IP地址及端口拨号信息返回给拨号客户端。拨号客户端向该从服务器重新拨号,从服务器允许登录。VPN从服务器不做规则准入,由其上行网络中接入的第三方安全设备对其进行过滤规则或流量分析,由于使用了专业的安全设备,既节省了从服务器的接入性能,又使过滤或分析更加可靠、高效。
本发明的又一个实施例,对于需要固定IP地址的监控设备,例如ONVIF协议接入的监控设备,所述VPN服务器集群的差异化接入方法,还包括:
VPN服务器集群中的主服务器将拨号客户端从主服务器获取的虚拟IP地址传递给所选择的从服务器;
所选择的从服务器在拨号客户端重新拨号时,将所述虚拟IP地址分配给拨号客户端。
本实施例保证了拨号客户端所在的监控设备获取的虚拟IP地址固定,保证了后续视频协议交互的准确。
与上述方法对应的,这里还给出了一种VPN服务器集群的差异化接入系统的实施例,用于将监控设备安全接入视频监控平台,所述监控设备上安装有拨号客户端,所述VPN服务器集群包括主服务器和从服务器,其中:
VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;
拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台。
与上述方法对应的,VPN拨号客户端对应的类型信息有三种方式:
一种实施例,VPN拨号客户端对应的类型信息为VPN拨号客户端所在监控设备接入视频监控平台对应的视频协议类型,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应VPN拨号客户端的拨号,为其分配虚拟IP后将其接入视频监控平台;
主服务器获取VPN拨号客户端对应的视频协议类型,根据视频协议类型选择对应的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
另一种实施例,所述VPN拨号客户端对应的类型信息为用户权限,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应VPN拨号客户端的拨号,根据VPN拨号客户端拨号的用户名对应的用户权限,选择对应的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
另一种实施例,所述VPN拨号客户端对应的类型信息为第三方安全设备,所述VPN服务器集群中的主服务器,根据VPN拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应VPN拨号客户端的拨号,根据VPN拨号客户端拨号的用户名,选择连接有第三方安全设备的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
本实施例所述VPN服务器集群中的主服务器还将拨号客户端从主服务器获取的虚拟IP地址传递给所选择的从服务器;
所选择的从服务器在拨号客户端重新拨号时,将所述虚拟IP地址分配给拨号客户端。
本发明技术方案,通过主服务器与视频监控平台联动的方式为不同的监控设备分配不同类型从服务器,通过主服务器为从服务器配置不同规则进行针对的准入控制。通过在特定服务器下增加额外安全设备,而不影响其他服务器的接入转发性能。通过拨号客户端拨号用户名密码权限判别方式实现对不同客户端做权限区别。实现了集群模式下不同从服务器的规则差异化优化整体集群性能与安全性。通过单台单一过滤原则,防止单台配置多过滤原则造成的漏洞较多问题。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (8)

1.一种VPN服务器集群的差异化接入方法,用于将监控设备安全接入视频监控平台,所述监控设备上安装有拨号客户端,其特征在于,所述VPN服务器集群的差异化接入方法,包括:
拨号客户端拨号到VPN服务器集群中的主服务器,VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;
拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台;
所述VPN服务器集群的差异化接入方法,还包括:
VPN服务器集群中的主服务器将拨号客户端从主服务器获取的虚拟IP地址传递给所选择的从服务器;
所选择的从服务器在拨号客户端重新拨号时,将所述虚拟IP地址分配给拨号客户端。
2.根据权利要求1所述的VPN服务器集群的差异化接入方法,其特征在于,所述拨号客户端对应的类型信息为拨号客户端所在监控设备接入视频监控平台对应的视频协议类型,所述VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
拨号客户端拨号到主服务器,获取虚拟IP后接入视频监控平台;
主服务器获取拨号客户端对应的视频协议类型,根据视频协议类型选择对应的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
3.根据权利要求1所述的VPN服务器集群的差异化接入方法,其特征在于,所述拨号客户端对应的类型信息为用户权限,所述VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
拨号客户端拨号到主服务器,主服务器根据拨号客户端拨号的用户名对应的用户权限,选择对应的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
4.根据权利要求1所述的VPN服务器集群的差异化接入方法,其特征在于,所述拨号客户端对应的类型信息为第三方安全设备,所述VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,包括:
拨号客户端拨号到主服务器,主服务器根据拨号客户端拨号的用户名,选择连接有第三方安全设备的从服务器;
将所选择的从服务器拨号信息返回给拨号客户端。
5.一种VPN服务器集群的差异化接入系统,用于将监控设备安全接入视频监控平台,所述监控设备上安装有拨号客户端,其特征在于,所述VPN服务器集群包括主服务器和从服务器,其中:
拨号客户端拨号到VPN服务器集群中的主服务器,VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端;
拨号客户端根据选择的从服务器的拨号信息重新拨号,接入视频监控平台;
所述VPN服务器集群中的主服务器还将拨号客户端从主服务器获取的虚拟IP地址传递给所选择的从服务器;
所选择的从服务器在拨号客户端重新拨号时,将所述虚拟IP地址分配给拨号客户端。
6.根据权利要求5所述的VPN服务器集群的差异化接入系统,其特征在于,所述拨号客户端对应的类型信息为拨号客户端所在监控设备接入视频监控平台对应的视频协议类型,所述VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应拨号客户端的拨号,为其分配虚拟IP后将其接入视频监控平台;
主服务器获取拨号客户端对应的视频协议类型,根据视频协议类型选择对应的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
7.根据权利要求5所述的VPN服务器集群的差异化接入系统,其特征在于,所述拨号客户端对应的类型信息为用户权限,所述VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应拨号客户端的拨号,根据拨号客户端拨号的用户名对应的用户权限,选择对应的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
8.根据权利要求5所述的VPN服务器集群的差异化接入系统,其特征在于,所述拨号客户端对应的类型信息为第三方安全设备,所述VPN服务器集群中的主服务器,根据拨号客户端对应的类型信息,选择对应类别的从服务器,将所选择的从服务器拨号信息返回给拨号客户端,执行如下操作:
主服务器响应拨号客户端的拨号,根据VPN拨号客户端拨号的用户名,选择连接有第三方安全设备的从服务器,将所选择的从服务器拨号信息返回给拨号客户端。
CN201811624420.1A 2018-12-28 2018-12-28 一种vpn服务器集群的差异化接入方法及系统 Active CN111385113B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811624420.1A CN111385113B (zh) 2018-12-28 2018-12-28 一种vpn服务器集群的差异化接入方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811624420.1A CN111385113B (zh) 2018-12-28 2018-12-28 一种vpn服务器集群的差异化接入方法及系统

Publications (2)

Publication Number Publication Date
CN111385113A CN111385113A (zh) 2020-07-07
CN111385113B true CN111385113B (zh) 2023-08-25

Family

ID=71216434

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811624420.1A Active CN111385113B (zh) 2018-12-28 2018-12-28 一种vpn服务器集群的差异化接入方法及系统

Country Status (1)

Country Link
CN (1) CN111385113B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635335A (zh) * 2015-12-30 2016-06-01 浙江宇视科技有限公司 社会资源接入方法、装置及系统
CN106850834A (zh) * 2017-03-01 2017-06-13 郑州云海信息技术有限公司 一种业务请求方法和装置及负载均衡器

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020144144A1 (en) * 2001-03-27 2002-10-03 Jeffrey Weiss Method and system for common control of virtual private network devices
TW201618541A (zh) * 2014-11-03 2016-05-16 鴻海精密工業股份有限公司 視訊會議撥號伺服器及方法
US9413725B2 (en) * 2014-12-04 2016-08-09 Suzhou Snail Technology Digital Co., Ltd VPN server access method and VPN client

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635335A (zh) * 2015-12-30 2016-06-01 浙江宇视科技有限公司 社会资源接入方法、装置及系统
CN106850834A (zh) * 2017-03-01 2017-06-13 郑州云海信息技术有限公司 一种业务请求方法和装置及负载均衡器

Also Published As

Publication number Publication date
CN111385113A (zh) 2020-07-07

Similar Documents

Publication Publication Date Title
US8230480B2 (en) Method and apparatus for network security based on device security status
EP3171568B1 (en) Multi-tenant cloud-based firewall systems and methods
US9591011B2 (en) Techniques for separating the processing of clients' traffic to different zones in software defined networks
US9231911B2 (en) Per-user firewall
US9621574B2 (en) Out of band end user notification systems and methods for security events related to non-browser mobile applications
US7581249B2 (en) Distributed intrusion response system
EP3449600B1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
US8081640B2 (en) Network system, network management server, and access filter reconfiguration method
US20060026679A1 (en) System and method of characterizing and managing electronic traffic
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
US8102860B2 (en) System and method of changing a network designation in response to data received from a device
CN108234677B (zh) 一种面向多区块链平台的区块链网络节点服务装置
US20060203736A1 (en) Real-time mobile user network operations center
CN102857388A (zh) 云探安全管理审计系统
CN109995769B (zh) 一种多级异构跨区域的全实时安全管控方法和系统
de Jesus et al. Analysis of SDN contributions for cloud computing security
CN115826444A (zh) 基于dns解析的安全访问控制方法、系统、装置及设备
WO2020029793A1 (zh) 一种上网行为管理系统、设备及方法
CN111385113B (zh) 一种vpn服务器集群的差异化接入方法及系统
CN113055427B (zh) 一种基于业务的服务器集群接入方法及装置
US11995038B2 (en) Data criticality-based network policy creation and consumption
US20230156018A1 (en) Data criticality-based network policy creation and consumption
US20230319684A1 (en) Resource filter for integrated networks
US20230229771A1 (en) Prevent network spread of malware by restricting it to one patient only
US20220248220A1 (en) System and method for securing a communication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant