CN111865618B - 一种联动防火墙实现ssl vpn登录保护的方法 - Google Patents

一种联动防火墙实现ssl vpn登录保护的方法 Download PDF

Info

Publication number
CN111865618B
CN111865618B CN202010991674.8A CN202010991674A CN111865618B CN 111865618 B CN111865618 B CN 111865618B CN 202010991674 A CN202010991674 A CN 202010991674A CN 111865618 B CN111865618 B CN 111865618B
Authority
CN
China
Prior art keywords
user
address
firewall
vpn
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010991674.8A
Other languages
English (en)
Other versions
CN111865618A (zh
Inventor
雷涛
杨凌潇
李定均
邓舜之
李昱希
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan XW Bank Co Ltd
Original Assignee
Sichuan XW Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan XW Bank Co Ltd filed Critical Sichuan XW Bank Co Ltd
Priority to CN202010991674.8A priority Critical patent/CN111865618B/zh
Publication of CN111865618A publication Critical patent/CN111865618A/zh
Application granted granted Critical
Publication of CN111865618B publication Critical patent/CN111865618B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种联动防火墙实现SSL VPN登录保护的方法,包括:步骤1:远程用户获取其远程访问设备的互联网IP地址,将IP地址输入系统;步骤2:保护系统根据IP地址查询用户ID/IP实时列表,进行判断后更新数据库;步骤3:保护系统下发配置到防火墙;步骤4:远程用户登录VPN客户端,通过防火墙配置访问内网资源。本发明能够解决SSL VPN在进行身份验证时出现众多漏洞造成VPN设备和应用容易受到牵连的问题;同时能够解决防火墙设备允许互联网任意IP都可以访问该VPN认证服务,导致账号口令爆破、弱口令登录等问题;还能联动防火墙策略限制VPN访问源地址并设计剩余有效期、定期清理等机制降低电信运营商再次分配IP地址给其他人员使用的风险。

Description

一种联动防火墙实现SSL VPN登录保护的方法
技术领域
本发明涉及信息安全技术领域,具体涉及一种联动防火墙实现SSL VPN登录保护的方法。
背景技术
SSL(Security Socket Layer,安全套接字层) 协议,是一种为网络通信提供安全及数据完整性的网络安全协议,能够通过加密方式保护在上层应用协议中传输数据的安全性,它可以应用在每一个浏览器/CS应用上。VPN (Virtual Private Network,虚拟专用网络)则主要应用于建立虚拟链接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN技术可以在公用网络(如Internet)上建立一个临时的、安全的链接,构建一条穿过混乱公用网络的安全稳定隧道。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司内部网络建立可信的安全连接,实现企业内部网络范围扩展。
SSL VPN是一种采用SSL协议来实现VPN网络构建的技术。它是以HTTPS(SecureHyper Text Transfer Protocol,安全超文本传输协议,即支持SSL的HTTP协议)为基础,利用SSL协议提供的身份认证、数据加密和消息完整性验证机制,来实现远程访问内网资源。
传统SSL VPN使用模式下,因为VPN需要对远程访问用户进行账号、口令等身份信息校验,所以一般会对外开放HTTPS端口和web应用,来实现身份认证功能。SSL VPN进行身份认证校验时,web协议、中间件、逻辑设计等层次的漏洞众多,导致VPN设备和应用容易受到牵连;此外,远程访问设备所使用的IP地址不固定,且易随着电信运营商分配而发生动态变化,防火墙设备策略上只能允许互联网任意IP访问该VPN认证服务,导致账号口令爆破、弱口令登录等问题时有发生;VPN设备是企业内外网间的统一入口,如果遭到黑客攻击入侵,企业内部将面临巨大安全威胁。
发明内容
本发明提供了一种联动防火墙实现SSL VPN登录保护的方法,能够解决SSL VPN在进行身份验证时出现众多漏洞造成VPN设备和应用易受到牵连的问题,同时能够解决防火墙设备允许互联网任意IP都可以访问该VPN认证服务,导致账号口令爆破、弱口令登录等问题,还能联动防火墙策略限制VPN访问源地址并设计剩余有效期、定期清理等机制降低电信运营商再次分配IP地址给其他人员使用的风险。
本发明一种联动防火墙实现SSL VPN登录保护的方法,包括:
A.远程用户使用远程访问设备在浏览器中获取该远程访问设备的互联网IP地址,获取IP地址后通过移动设备在保护系统中完成身份校验再将所述IP地址通过移动设备的第二安全信道传输到保护系统;
B.在保护系统中根据输入IP地址查询用户ID/IP实时列表,进行判断后更新数据库中用户的ID和IP地址信息;
C.保护系统将用户的IP地址信息下发到防火墙允许策略中;
D.远程用户使用IP地址登录VPN客户端,并在VPN客户端完成身份校验后访问内网资源。
本发明联动防火墙策略限制VPN访问源地址,由防火墙动态对外进行源地址访问限制,消除了账号口令爆破、弱口令登录等问题,提高了远程用户通过SSL VPN访问内网资源的安全性,防火墙在网络边界处进行第一层访问限制,VPN在防火墙后进行第二层加密传输控制,实现双层安全异构,极大地提升安全性。
所述的VPN客户端采用SSL协议来实现远程接入,保证了数据传输过程中的安全性。
进一步的,在步骤A中,获取的IP地址作为VPN远程访问源地址;移动设备通过第二安全信道将IP地址传输到保护系统。
所述的第二安全信道可以为APP、微信、短信等,完全脱离与现有VPN传输认证系统的联系,降低网页漏洞(如暴力破解、SQL注入)所带来的风险,增加安全性。
进一步的,步骤B包括:
B1. 查询用户ID/IP实时列表,根据输入的IP地址判断用户ID是否存在于实时列表中,若存在,则转至步骤B2,若不存在,则转至步骤B3;
B2.判断输入的IP地址与实时IP是否相同,若相同,则转至步骤B4,若不同,则转至步骤B3;
B3.更新用户ID/IP历史总表、更新用户ID/IP实时列表、提示用户IP地址和有效期后转至步骤C;
B4.提示用户IP地址和剩余有效期后转至步骤D。
所述用户ID/IP历史总表、用户ID/IP实时列表均存在于保护系统的数据库中。
本发明远程用户在保护系统中输入IP地址,通过上述步骤B1和B2的判断后,更新用户ID/IP历史总表、更新用户ID/IP实时列表、提示用户IP地址和有效期,并将该IP地址下发到防火墙允许策略中,VPN认证服务接受防火墙允许策略中的IP地址访问,消除防火墙允许互联网任意IP地址都可以访问VPN认证服务带来的安全隐患,有效提高安全性。
进一步的,步骤B还包括定期清理流程,具体流程为:
S1.保护系统每隔M分钟,定时触发清理流程后查询用户ID/IP实时列表,M为正整数;
S2.获取第N个用户剩余有效期,判断是否过期,若已过期,则转至步骤S3,若未过期,则转至步骤S4,N的初始值为1,N为正整数;
S3. 删除用户ID/IP实时列表中已过期的用户,不再允许该用户远程访问;
S4. 判断第N个用户是否为最后一个用户,若是,则转至步骤S6,若否,则转至步骤S5;
S5.
Figure 727985DEST_PATH_IMAGE001
,重复步骤S2至S4,直至N为最后一个用户;
S6. 依据最新的用户ID/IP实时列表,更新防火墙允许策略;
S7.等待M分钟后,重复步骤S1至S7,直至下一个M分钟后再次重复。
所述步骤S5中的
Figure 183106DEST_PATH_IMAGE001
表示将
Figure 565546DEST_PATH_IMAGE002
的值赋给
Figure 933073DEST_PATH_IMAGE003
从用户ID/IP实时列表中的第一个用户开始判断剩余有效期,无效则从用户ID/IP实时列表中删除该用户,一直判断到用户ID/IP实时列表的最后一个用户。设计剩余有效期、定期清理等机制,在满足远程访问使用需求的同时,防止允许远程访问的互联网IP长期留存于防火墙策略中,有效降低电信运营商再次分配IP地址给其他人员使用的风险。
本发明一种联动防火墙实现SSL VPN登录保护的方法,通过将远程用户的IP地址与防火墙策略相关联来限制VPN的访问源地址,实现了只允许被加入防火墙策略的互联网IP地址才能访问该VPN认证服务,提高了安全性。而且联动防火墙实现SSL VPN登录保护的方法能够通过移动设备进行VPN服务使用权的首次身份校验,消除传统VPN身份校验时Web网页带来的如web协议、中间件、逻辑设计等层次漏洞的问题,降低了漏洞被黑客利用的概率。通过本发明能够联动防火墙策略限制VPN访问源地址,降低VPN漏洞被利用、防火墙允许任意互联网IP访问带来的安全隐患等问题。
附图说明
图1为本发明一种联动防火墙实现SSL VPN登录保护的方法的流程图。
图2为本发明定期清理流程的流程图。
具体实施方式
以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
如图1所示本发明的一种联动防火墙实现SSL VPN登录保护的方法,包括:
A.远程用户使用远程访问设备在浏览器中获取该远程访问设备的IP地址,获取IP地址后通过移动设备在保护系统中完成身份校验再将所述IP地址通过移动设备的第二安全信道传输到保护系统;
远程用户在需要连接VPN的远程设备上使用浏览器访问互联网IP地址查询网站,如:www.ip138.com,在该网页上获取本远程用户远程设备的IP地址,并将该IP地址提交到保护系统中。
B.在保护系统中输入IP地址查询用户ID/IP实时列表,进行判断后更新数据库中用户的ID和IP地址信息;
远程用户使用移动设备的第二安全信道在保护系统中进行身份验证,完成身份验证后通过第二安全信道将获取的IP地址传入保护系统作为VPN远程访问的源地址,所述第二安全信道可以为APP、微信、短信等。
此外,远程用户获取IP地址的方法为在需要连接VPN的远程设备上使用浏览器访问IP查询网址,通过查询获取该远程设备的IP地址。
其中步骤B中所述的判断为:
B1. 查询用户ID/IP实时列表,根据输入的IP地址判断用户ID是否存在于实时列表中,若存在,则转至步骤B2,若不存在,则转至步骤B3;
B2.判断输入的IP地址与实时IP是否相同,若相同,则转至步骤B4,若不同,则转至步骤B3;
B3.更新用户ID/IP历史总表、更新用户ID/IP实时列表、提示用户IP地址和有效期后转至步骤C;
B4.提示用户IP地址和剩余有效期后转至步骤D。
C.保护系统将用户的IP地址信息下发到防火墙允许策略中;
D.远程用户使用IP地址登录VPN客户端,并在VPN客户端完成身份校验后通过防火墙允许策略访问内网资源。
如图2所示本发明的定期清理流程,包括:
S1.保护系统每隔M分钟,定时触发清理流程后查询用户ID/IP实时列表,M为正整数;
S2.获取第N个用户剩余有效期,判断是否过期,若已过期,则转至步骤S3,若未过期,则转至步骤S4,N的初始值为1,N为正整数;
S3. 删除用户ID/IP实时列表中已过期的用户,不再允许该用户远程访问;
S4. 判断第N个用户是否为最后一个用户,若是,则转至步骤S6,若否,则转至步骤S5;
S5.
Figure 892808DEST_PATH_IMAGE001
,重复步骤S2至S4,直至N为最后一个用户;
S6. 依据最新的用户ID/IP实时列表,更新防火墙允许策略;
S7.等待M分钟后,重复步骤S1至S7,直至下一个M分钟后再次重复。
保护系统通过获取用户的剩余有效期来初步将该用户从用户ID/IP实时列表中删除,没有过期和删除该用户之后判断该用户是否为用户ID/IP实时列表中最后一个用户;从
Figure 105615DEST_PATH_IMAGE004
开始将用户ID/IP实时列表中的每一个用户进行判断和删除;设计剩余有效期、定期清理等机制,有效降低电信运营商再次分配IP地址给其他人员使用的风险,解决基于IP地址进行防火墙控制的缺陷。
本发明通过联动防火墙策略限制VPN访问源地址实现防火墙有条件地允许可信IP地址访问VPN服务端进行身份认证,通过移动设备和第二安全信道提交可信IP地址可以消除VPN设备中web协议、中间件、逻辑设计等层次的漏洞,同时VPN和防火墙双层异构使整个登录过程安全可靠,此外定期清理流程消除防火墙允许远程访问的互联网IP长期留存于防火墙允许策略中造成的漏洞问题;本发明实现安全、高效的远程访问,解决远程接入用户的家庭宽带线路地址动态变化无法进行控制的问题,解决传统SSL VPN使用基于IP地址进行防火墙控制的缺陷。

Claims (3)

1.一种联动防火墙实现SSL VPN登录保护的方法,其特征在于,包括:
A.远程用户使用远程访问设备在浏览器中获取该远程访问设备的IP地址,获取IP地址后通过移动设备在保护系统中完成身份校验再将所述IP地址通过移动设备的第二安全信道传输到保护系统,其中包括APP、微信和短信都可以作为第二安全信道;
B.在保护系统中根据输入IP地址查询用户ID/IP实时列表,进行判断后更新数据库中用户的ID和IP地址信息:
B1. 查询用户ID/IP实时列表,根据输入的IP地址判断用户ID是否存在于实时列表中,若存在,则转至步骤B2,若不存在,则转至步骤B3;
B2.判断输入的IP地址与实时IP是否相同,若相同,则转至步骤B4,若不同,则转至步骤B3;
B3.更新用户ID/IP历史总表、更新用户ID/IP实时列表、提示用户IP地址和有效期后转至步骤C;
B4.提示用户IP地址和剩余有效期后转至步骤D;
C.保护系统将用户的IP地址信息下发到防火墙允许策略中;
D.远程用户使用IP地址登录VPN客户端,并在VPN客户端完成身份校验后通过防火墙允许策略访问内网资源。
2.如权利要求1所述的一种联动防火墙实现SSL VPN登录保护的方法,其特征在于,在步骤A中,获取的IP地址作为VPN远程访问源地址;远程访问设备通过第二安全信道将IP地址传输到保护系统。
3.如权利要求1所述的一种联动防火墙实现SSL VPN登录保护的方法,其特征在于,步骤B还包括定期清理流程,具体流程为:
S1.保护系统每隔M分钟,定时触发清理流程后查询用户ID/IP实时列表,M为正整数;
S2.获取第N个用户剩余有效期,判断是否过期,若已过期,则转至步骤S3,若未过期,则转至步骤S4,N的初始值为1,N为正整数;
S3. 删除用户ID/IP实时列表中已过期的用户,不再允许该用户远程访问;
S4. 判断第N个用户是否为最后一个用户,若是,则转至步骤S6,若否,则转至步骤S5;
S5.
Figure DEST_PATH_IMAGE001
,重复步骤S2至S4,直至N为最后一个用户;
S6. 依据最新的用户ID/IP实时列表,更新防火墙允许策略;
S7.等待M分钟后,重复步骤S1至S7,直至下一个M分钟后再次重复。
CN202010991674.8A 2020-09-21 2020-09-21 一种联动防火墙实现ssl vpn登录保护的方法 Active CN111865618B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010991674.8A CN111865618B (zh) 2020-09-21 2020-09-21 一种联动防火墙实现ssl vpn登录保护的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010991674.8A CN111865618B (zh) 2020-09-21 2020-09-21 一种联动防火墙实现ssl vpn登录保护的方法

Publications (2)

Publication Number Publication Date
CN111865618A CN111865618A (zh) 2020-10-30
CN111865618B true CN111865618B (zh) 2020-12-11

Family

ID=72968441

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010991674.8A Active CN111865618B (zh) 2020-09-21 2020-09-21 一种联动防火墙实现ssl vpn登录保护的方法

Country Status (1)

Country Link
CN (1) CN111865618B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115002766A (zh) * 2021-03-16 2022-09-02 中国卫通集团股份有限公司 远程登录方法、装置及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101989974A (zh) * 2009-08-04 2011-03-23 西安交大捷普网络科技有限公司 一种ssl vpn的内网web访问的安全控制方法
US8984621B2 (en) * 2010-02-27 2015-03-17 Novell, Inc. Techniques for secure access management in virtual environments
CN106209838B (zh) * 2016-07-08 2020-01-03 杭州迪普科技股份有限公司 Ssl vpn的ip接入方法及装置
CN106789535B (zh) * 2016-12-29 2019-12-06 杭州迪普科技股份有限公司 Ssl vpn的ip接入方法及装置
US11290765B2 (en) * 2018-02-06 2022-03-29 Akamai Technologies, Inc. Securing an overlay network against attack
CN109525478B (zh) * 2018-12-17 2021-08-24 杭州迪普科技股份有限公司 一种ssl vpn连接方法及装置
CN110401641B (zh) * 2019-07-09 2022-06-28 杭州迪普科技股份有限公司 用户认证方法、装置、电子设备
CN111625823A (zh) * 2020-04-13 2020-09-04 北京邮电大学 Andriod平台VPN应用的安全性检测方法及装置
CN111641701B (zh) * 2020-05-25 2023-07-14 深信服科技股份有限公司 一种数据保护的方法及装置、设备、存储介质

Also Published As

Publication number Publication date
CN111865618A (zh) 2020-10-30

Similar Documents

Publication Publication Date Title
US11265307B2 (en) Credential-free user login to remotely executed applications
US10038695B2 (en) Remotely deauthenticating a user from a web-based application using a centralized login server
US10084794B2 (en) Centralized access management of web-based or native applications
RU2439692C2 (ru) Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам
CN108028840B (zh) 实现建立安全的对等连接
US20070143408A1 (en) Enterprise to enterprise instant messaging
CN107528853A (zh) 微服务权限控制的实现方法
WO2022056996A1 (zh) 一种安全访问内网应用的方法和装置
CN107637044B (zh) 安全带内服务检测
US8555365B2 (en) Directory authentication method for policy driven web filtering
JP2007503136A (ja) デジタル通信を容易にするためのシステム、方法、装置およびコンピュータプログラム
CN105340213A (zh) 用于安全数据传输的方法和设备
US20150113614A1 (en) Client based systems and methods for providing users with access to multiple data bases
US11616853B2 (en) Dynamic domain discovery and proxy configuration
CN111865618B (zh) 一种联动防火墙实现ssl vpn登录保护的方法
Chandra et al. Authentication and authorization mechanism for cloud security
CN114745145A (zh) 业务数据访问方法、装置和设备及计算机存储介质
Dincer et al. Big data security: Requirements, challenges and preservation of private data inside mobile operators
KR101009261B1 (ko) 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템
JP2014154112A (ja) 通信データ中継装置およびプログラム
TWI773025B (zh) 設備帳號使用安全、監控與管理終端化之流程及方法
Sahu et al. Strategy to handle end user session in web environment
US20230319107A1 (en) Website access workflow
WO2019106938A1 (ja) 不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラム
Ma et al. Privacy-preserving information sharing and management schema for collaborative social networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant