CN111988292A - 一种内网终端访问互联网的方法、装置及系统 - Google Patents
一种内网终端访问互联网的方法、装置及系统 Download PDFInfo
- Publication number
- CN111988292A CN111988292A CN202010786330.3A CN202010786330A CN111988292A CN 111988292 A CN111988292 A CN 111988292A CN 202010786330 A CN202010786330 A CN 202010786330A CN 111988292 A CN111988292 A CN 111988292A
- Authority
- CN
- China
- Prior art keywords
- server
- address
- client
- internet
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种内网终端访问互联网的方法,包括:向服务端完成请求认证并建立远程应用的连接;接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述图像数据显示远程应用的虚拟界面;获取用户对显示的所述虚拟界面的操作指令,并将所述操作指令发送至所述服务端;接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,并根据所述更新虚拟界面的图像数据实时更新所述远程应用的虚拟界面,所述操作指令是所述用户远程操作某种浏览器访问互联网;持续获取所述用户的所述操作指令,直至完成互联网的访问。本发明提供的方法,既能安全访问内部网络,又能安全访问互联网,实现了“内网不执行外部代码,数据不外泄”。本发明还提供了一种内网终端访问互联网的装置和系统。
Description
技术领域
本发明涉及互联网领域,特别是涉及一种内网终端访问互联网的方法、装置及系统。
背景技术
为方便内部信息交流,企业或单位建设了自己的网络和服务资源,以供用户通过内部网络进行访问。为保证其内部网络的安全,企业或单位普遍使用网络隔离技术将内部网络和互联网进行隔离。
现有网络隔离技术大致分为:一是完全的物理隔离,该技术是最有效、彻底、安全的解决方案,但使得内部网络处于信息孤岛状态,若想从互联网获取信息则需要另一台能够连接互联网的电脑,如此两套网络和系统不仅造成信息交流的不便、降低工作效率,而且提高了成本,同时也给维护管理带来了极大的不便;二是使用硬件卡、数据转播、空气开关、安全通道等隔离技术,在一定程度上有效地实现了把内外网络隔离开来,实现了内外网数据的安全交换,但存在内外网之间不断地转换的烦琐,在工作时不能方便地在互联网上浏览和交互信息;三是桌面云技术,用户终端通过网络协议连接到桌面云服务器的虚拟桌面,用虚拟机访问网络资源,数据保存在虚拟机里;虚拟机的运行需要较多的CPU、内存等资源,当企业或单位人员众多时,需要的桌面云资源较多,其总拥有成本并不低;企业或单位分配给用户的终端一般都是配置较高的台式电脑、笔记本电脑,再使用桌面云,有资源浪费的可能;当使用桌面云访问内部网络,用户终端访问互联网,则用户终端暴露在互联网上,安全防护和运维管理难度高,安全风险很大;当使用用户终端访问内部网络,桌面云访问互联网,则桌面云的虚拟机安全防护的难度、成本也不低。
综上所述,用户终端安全访问内部网络的同时,如何安全、方便地访问互联网,如何保护内部数据的安全,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种内网终端访问互联网的方法,在内网终端安全访问内部网络的同时,可以安全的访问互联网。访问互联网的Web服务器时,使用基于远程应用的虚拟界面技术,用户终端显示的仅是远程应用的Web浏览器运行的图像,“内部网络不执行互联网的代码”,保证内部网络的安全。针对某些内网终端必须使用Client客户端直接访问互联网应用程序服务器Server或必须直接访问某些重要网站时,基于域名解析放开防火墙策略允许内网终端直接访问可信任的应用程序服务器Server或重要网站提供的互联网服务。基于域名解析放开防火墙策略技术的引入,管理员只需要配置用户资源授权,防火墙可以实时地生成和删除防火墙策略,降低了使用和管理防火墙的复杂度,提高了访问互联网的灵活度,增强了内外网的隔离安全度。本方法不仅能够保证用户终端通过内部网络安全访问内部资源,而且能够保证用户终端通过内部网络安全访问互联网资源,同时也保证了内部数据的安全。
为解决上述技术问题,本发明提供如下技术方案:
一种内网终端访问互联网的方法,是基于远程应用的内网终端访问互联网Web服务器的方法,包括:
客户端向服务端完成请求认证并建立远程应用的连接;
所述客户端接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面,所述虚拟界面包含多种类型浏览器的快捷方式图标;
所述客户端获取用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,并根据所述更新虚拟界面的图像数据实时更新所述远程应用的虚拟界面,所述操作指令是所述用户远程操作某种浏览器访问互联网;
所述客户端持续获取所述用户的所述鼠标点击/键盘输入操作指令,并发送至所述服务端,直至完成互联网的访问;
所述客户端注销认证,并断开远程应用的连接。
一种内网终端访问互联网的方法,是基于放开防火墙策略允许所述内网终端直接访问互联网的方法,包括:
所述服务端捕获内网终端的域名请求报文;
所述服务端获取所述域名请求报文中的域名及源IP地址;
所述服务端判断所述源IP地址是否获得访问所述域名的授权;
当判断为非授权时,所述服务端丢弃所述域名请求报文;
当判断为授权时,所述服务端将所述域名请求报文转发至互联网;
所述服务端捕获所述域名请求报文对应的域名响应报文;
所述服务端获取所述域名响应报文中解析的目的IP地址,并转发所述域名响应报文至内部网络;
所述服务端实时新增防火墙策略,放开所述源IP地址访问所述目的IP地址的网络限制;
所述服务端检测到源IP地址访问所述目的IP地址的相应TCP连接关闭或超时,删除设置的所述防火墙策略,阻断网络访问。
优选地,所述客户端向所述服务端完成请求认证,则所述请求认证是否合法由所述服务端进行判断;当认证不成功,所述客户端提示所述用户重新进行认证;当认证成功,所述客户端与所述服务端建立远程应用的连接;
所述虚拟界面包含多种类型浏览器的快捷方式图标,则所述多种类型浏览器是所述服务端内置的不同厂商的浏览器,设置所述浏览器主页为上网导航;通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作;所述服务端对所述用户访问的网页中的文件打开和下载进行安全管理;
所述客户端获取所述用户对所述虚拟界面的鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端,包括:所述客户端和所述服务端之间仅允许所述用户复制和粘贴文本文件的内容和网页上显示的文本,所述服务端对粘贴的内容进行记录,写入日志文件;所述客户端和所述服务端禁止通过粘贴板功能的任何类型的文件传输;禁止所述客户端将本地的硬盘、USB设置、扫描仪映射到所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,包括:所述服务端对接收的所述客户端发送的所述鼠标点击/键盘输入操作指令进行响应,以执行对Web浏览器的操作,并将键盘输入进行记录,写入日志文件;
当所述用户对音频/视频媒体文件进行请求时,所述服务端判断所述用户是否获得授权;当所述用户未获得授权,则所述服务端拒绝所述用户对所述音频/视频媒体文件的请求;当所述用户获得授权,则所述服务端将获取的音频/视频媒体文件数据转发至所述客户端;所述客户端接收所述媒体文件数据,并将所述媒体文件数据进行解码播放。
优选地,所述服务端判断所述客户端的所述请求认证,需要用户的特征信息;所述用户的特征信息包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;
所述服务端判断所述用户是否获得对音频/视频媒体的授权,需要资源的特征信息,以及所述用户使用所述资源的授权和所述资源是否授权给所述用户的判断;所述资源的特征信息包括资源种类,域名,端口,IP地址;所述授权是指将所述资源分配授权给所述用户;所述判断是指确定所述资源是否分配授权给所述用户。
优选地,所述服务端实时新增防火墙策略,放开所述源IP地址访问所述目的IP地址的网络限制,包括:所述服务端在所述资源的特征信息中查找所述域名对应的目的端口,并根据获得的所述目的IP地址、所述目的端口、所述源IP地址,实时新增所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的防火墙策略,放开所述源IP地址访问所述目的IP地址的所述目的端口的网络限制;
所述服务端检测到所述源IP地址访问所述目的IP地址的相应TCP连接关闭或超时,删除设置的所述防火墙策略,阻断网络访问,包括:所述服务端检测到所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所有TCP连接关闭或超时,删除所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所述防火墙策略,阻断所述源IP地址访问所述目的IP地址的所述目的端口的网络访问;
当所述内网终端安装的Client客户端访问使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,所述服务端可以手工设置防火墙策略,放开所述Client客户端直接访问所述应用程序服务器Server的网络限制,直至手工删除所述防火墙策略为止。
一种内网终端访问互联网的客户端装置,包括:
控制模块,用于控制各个模块协调一致地工作;
认证及连接建立模块,用于向所述服务端完成请求认证并与所述服务端建立远程应用的连接;
界面图像处理模块,用于接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面;
其中,所述界面图像处理模块包括:接收单元,接收所述服务端发送远程应用的虚拟界面的图像数据;显示单元,根据所述虚拟界面的图像数据显示远程应用的虚拟界面;
鼠标/键盘事件处理模块,用于获取所述用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端;用于将文本内容复制到所述服务端浏览器,粘贴来自所述服务端复制的文本文件的内容和网页上显示的文本,禁止与所述服务端复制和粘贴任何类型的文件;
其中,所述鼠标/键盘事件处理模块包括:获取单元,用于获取所述用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令;发送单元,将所述鼠标点击/键盘输入操作指令发送至所述服务端;粘贴板单元,用于将文本内容复制到所述服务端浏览器,粘贴来自所述服务端复制的文本文件的内容和网页上显示的文本,禁止与所述服务端复制和粘贴任何类型的文件;
音频/视频事件处理模块,用于接收所述服务端发送的媒体文件数据,并将所述媒体文件数据进行解码播放;
其中,所述音频/视频事件处理模块包括:接收单元,用于接收所述服务端发送的媒体文件数据;播放单元,用于将所述媒体文件数据进行解码播放。
一种内网终端访问互联网的服务端装置,包括:
控制模块,用于控制各个模块协调一致地工作;
认证及连接建立模块,用于接收所述客户端请求认证并与所述客户端建立远程应用的连接;
Web浏览器模块,用于访问互联网Web服务器,实现上网功能;内置有多种不同厂商的浏览器,通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作;用于对所述用户访问的网页中的文件打开和下载进行安全管理;
其中,所述Web浏览器模块包括:访问互联网单元,用于访问互联网Web服务器,实现上网功能;管理单元,内置有多种不同厂商的浏览器,用于通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作和对所述用户访问的网页中的文件打开和下载进行安全管理;
界面图像处理模块,用于获取所述Web浏览器模块中Web浏览器运行的虚拟界面的图像数据,并将所述虚拟界面的图像数据发送至所述客户端;
其中,所述界面图像处理模块包括:获取单元,获取所述Web浏览器模块中Web浏览器运行的虚拟界面的图像数据;发送单元,将所述虚拟界面的图像数据发送至所述客户端;
鼠标/键盘事件处理模块,用于接收所述客户端发送的鼠标点击/键盘输入操作指令,响应于所述鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;用于将文本文件的内容和网页上显示的文本复制到所述客户端,粘贴来自所述客户端复制的文本内容,禁止与所述客户端复制和粘贴任何类型的文件,用于记录粘贴事件的粘贴内容,写入日志文件;用于记录键盘输入,写入日志文件。
其中,所述鼠标/键盘事件处理模块包括:接收单元,接收所述客户端发送的所述鼠标点击/键盘输入操作指令;响应单元,响应于所述鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;粘贴板单元,用于将文本文件的内容和网页上显示的文本复制到所述客户端,粘贴来自所述客户端复制的文本内容,禁止与所述客户端复制和粘贴任何类型的文件,记录粘贴事件的粘贴内容,写入日志文件;键盘事件日志单元,用于记录键盘输入,写入日志文件;
音频/视频事件处理模块,用于获取所述用户获得授权的互联网媒体文件数据,并将所述媒体文件数据转发至所述客户端;
其中,所述音频/视频事件处理模块包括:获取单元,获取所述用户获得授权的互联网媒体文件数据;转发单元,将所述媒体文件数据转发至所述客户端。
优选地,授权模块,用于记录所述用户和所述资源的特征信息,将所述资源分配授权给所述用户,并判断所述资源是否分配授权给所述用户;
其中,所述授权模块包括:用户单元,用于记录所述用户的特征信息,包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;资源单元,用于记录所述资源的特征信息,包括资源种类,域名,端口,IP地址;授权单元,用于将所述资源分配授权给所述用户;判断单元,用于确定所述资源是否分配授权给所述用户;
域名处理模块,用于捕获来自内部终端的所述域名请求报文,捕获来自互联网的所述域名响应报文,获取所述域名请求报文中的域名及源IP地址,获取所述域名响应报文中解析的目的IP地址,转发满足授权条件的所述域名请求报文至互联网,丢弃未满足授权条件的所述域名请求报文,将所述域名响应报文转发至所述内部网络;
其中,所述域名处理模块包括:捕获单元,用于捕获来自内部终端的域名请求报文,捕获来自互联网的所述域名响应报文;获取单元,用于获取所述域名请求报文中的域名及源IP地址,获取所述域名响应报文中解析的目的IP地址;转发单元,用于转发满足授权条件的所述域名请求报文至互联网,丢弃未满足授权条件的所述域名请求报文,将所述域名响应报文转发至内部网络;
防火墙模块,用于所述服务端在所述资源的特征信息中查找所述域名对应的目的端口,并根据获得的所述目的IP地址、所述目的端口、所述源IP地址,实时新增所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的防火墙策略,放开所述源IP地址访问所述目的IP地址的所述目的端口的网络限制;用于当所述服务端检测到所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所有TCP连接关闭或超时,删除所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所述防火墙策略,阻断所述源IP地址访问所述目的IP地址的所述目的端口的网络访问;用于当内网终端安装的Client客户端访问针对使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,手工设置防火墙策略,放开所述Client客户端直接访问所述应用程序服务器Server的网络限制,直至手工删除所述防火墙策略为止。
一种内网终端访问互联网的系统,包括:一种内网终端访问互联网的客户端装置以及一种内网终端访问互联网的服务端装置。
在本发明提供的一种内网终端访问互联网方法中,首先,用户终端打开访问互联网Web服务器的远程应用的客户端,完成与服务端的请求认证并建立连接。客户端接收并显示服务端发送的浏览器运行的虚拟界面,把鼠标点击/键盘输入操作指令发送至服务端,并更新服务端响应于接收到的鼠标点击/键盘输入操作指令后的虚拟界面。浏览器运行在服务端,客户端接收的仅是浏览器运行的图像界面,互联网的代码不会在内网终端上运行,杜绝了内网终端被攻击的可能,保证了内部网络的安全。其次,客户端能够将运行在服务端的浏览器页面上的文本和打开的文本文件的内容复制到本地,也能够将本地的文本内容复制到浏览器的页面上,但不允许将客户端的任何文件复制到服务端,也不能将服务端的任何文件复制到客户端。同时,服务端会将键盘输入和粘贴的内容进行记录,写入日志文件。如此,既提供了用户访问互联网的便捷性,又保证了内部数据的安全,而且防范了内部网络感染外部病毒。然后,针对可信任的C/S结构服务器和某些重要网站,使用基于域名解析放开防火墙策略的技术,允许内网终端不使用远程应用而是直接访问可信任的C/S结构服务器和某些重要网站,有利于满足内网用户一些特殊而且必须的需求。可信任的C/S结构服务器和某些重要网站的安全防护水平较高,在与内网终端通信和交互的过程中,感染和攻击内部网络的概率非常低,能够保证内部网络的安全。
相应地,本发明还提供了与上述一种内网终端访问互联网方法相对应的装置及系统,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种内网终端访问互联网的方法的流程示意图;
图2为本发明实施例中一种内网终端访问互联网的方法的另一流程示意图;
图3为本发明实施例中一种内网终端访问互联网的方法的远程应用的一个虚拟界面示意图;
图4为本发明实施例中一种内网终端访问互联网的系统的系统架构示意图;
图5为本发明实施例中一种内网终端访问互联网的系统的网络结构示意图;
图6为本发明实施例中一种内网终端访问互联网的系统的系统结构示意图;
图7为本发明实施例中一种内网终端访问互联网的系统的界面图像处理模块的结构示意图;
图8为本发明实施例中一种内网终端访问互联网的系统的鼠标/键盘事件处理模块的结构示意图;
图9为本发明实施例中一种内网终端访问互联网的系统的Web浏览器模块的结构示意图;
图10为本发明实施例中一种内网终端访问互联网的系统的音频/视频处理模块的结构示意图;
图11为本发明实施例中一种内网终端访问互联网的系统的授权模块的结构示意图;
图12为本发明实施例中一种内网终端访问互联网的系统的域名处理模块的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
除非上下文另有特定清楚的描述,本发明中的元件和组件,数量既可以单个的形式存在,也可以多个的形式存在,本发明并不对此进行限定。本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。可以理解,本文中所使用的术语“和/或”涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组合。
如图1所示,在一个实施例中,提供了一种内网终端访问互联网的方法,是基于远程应用的内网终端访问互联网Web服务器的方法,该方法应用于内网终端,内网终端包括但不限于台式电脑、笔记本电脑、智能手机、平板电脑等设备,内网终端通过网线或无线信号连接内部网络,在访问内部资源的同时,能够安全访问互联网。该方法包括:
步骤S101,客户端向服务端完成请求认证并建立远程应用的连接。
当用户访问互联网Web服务器时,内网终端的客户端向服务端发送远程应用的认证请求,客户端发送用户账号、口令等信息进行身份验证。验证通过后,客户端与服务端建立远程应用的连接。验证失败后,客户端提示用户重新进行认证。
服务端对客户端的认证请求进行判断,需要使用用户的特征信息;所述用户的特征信息包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;服务端还会判断用户是否获得对某种资源的访问授权,需要使用资源的特征信息。资源的特征信息包括资源种类,域名,端口,IP地址;
步骤S102,客户端接收服务端发送远程应用的虚拟界面的图像数据,根据虚拟界面的图像数据显示远程应用的虚拟界面,该虚拟界面包含多种类型浏览器的快捷方式图标。
远程应用的连接建立成功后,服务端向客户端发送远程应用的虚拟界面的图像数据,客户端接收服务端发送的图像数据,并根据该图像数据显示虚拟界面。该虚拟界面是指在内网终端上显示的远程应用的虚拟界面。显示的虚拟界面,包括多种类型浏览器的快捷方式图标,是服务端提前内置的不同厂商的浏览器,如图3所示,有Internet Explorer、Google Ghrome、360安全浏览器、QQ浏览器、FireFox、搜狗高速浏览器,可以根据需要增加或删除某种浏览器。可以设置浏览器的主页为上网导航,方便用户上网使用,也可以将主页设置为一个网站或者空白。通过服务端后台可以对浏览器进行安装、卸载、升级及参数设置的操作。单击该虚拟界面的右上角的“关闭”按键,可以关闭该虚拟界面。如再次使用,可以双击右下角的客户端图标,弹出该虚拟界面。
步骤S103,客户端获取用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,并将操作指令发送至服务端。
通过内网终端的鼠标、键盘,和/或虚拟键盘,和/或手势等方式,用户对客户端显示的远程应用的虚拟界面进行鼠标点击/键盘输入操作。客户端获取该操作指令并发送到服务端,交由服务端进行响应该操作,实现与远程应用的交互。
步骤S104,客户端接收服务端响应于操作指令返回的更新虚拟界面的图像数据,并根据更新虚拟界面的图像数据实时更新远程应用的虚拟界面,操作指令是用户远程操作某种浏览器访问互联网。
服务端接收到客户端发送的鼠标点击/键盘输入操作指令,并响应该操作指令,选择某种Web浏览器以执行互联网的访问,同时将键盘输入进行记录,写入日志文件。服务端获取Web浏览器运行的更新的虚拟界面图像,并将Web浏览器运行的虚拟界面的图像数据发送至客户端。客户端接收服务端发送Web浏览器运行的更新的虚拟界面的图像数据,并实时更新Web浏览器运行的虚拟界面。
用户会选择自己喜欢使用的Web浏览器访问互联网,或者是某个网站必须使用该Web浏览器才能正常访问。客户端显示的Web浏览器运行的虚拟界面,与用户使用内网终端运行本地浏览器的界面显示基本一致,管理打开的网页的方法也保持一致,可以保留用户的使用习惯,提升用户的体验。
服务端对用户访问的网页中的文件打开和下载进行安全管理。所谓安全管理,主要指用户可以正常打开超链接指向的网页,可以直接在线打开超链接的指向的文本文件和图片,但不建议直接下载到服务端。文本文件的后缀名包括但不限于doc、docx、xls、xlsx、ppt、pptx、txt、pdf,图片后缀名包括但不限于bmp、png、jpg、jpeg、gif、ico、tif、tga、pcx、wmf、psd。不可以下载或运行带有可执行程序后缀名的文件,可执行程序后缀名包括但不限于.exe、.sys、.com、.bat、.msi、.dll、.sh。
当用户访问到音频/视频类型的文件时,服务端判断该用户是否获得音频/视频的使用授权。当用户未获得授权,则服务端拒绝用户对所述音频/视频媒体文件的请求;当用户获得授权,则服务端将获取的音频/视频媒体文件数据转发至客户端;客户端接收媒体文件数据,并将媒体文件数据进行解码播放。音频/视频的后缀名,包括但不限于.flc、.wmp、.m3u、wax、wmx、.mp2、.mp3、.wav。
客户端和服务端之间仅允许用户复制和粘贴文本文件的内容和网页上显示的文本,服务端对来自于客户端的粘贴内容进行记录,写入日志文件;客户端和服务端禁止通过粘贴板功能的任何类型的文件传输;禁止客户端将本地的硬盘、USB设置、扫描仪映射到服务端。
步骤S105,客户端持续获取用户的鼠标点击/键盘输入操作指令,并发送至服务端,直至完成互联网的访问。
在用户访问互联网的过程中,客户端持续不断的获取用户的鼠标点击/键盘输入操作指令,并将获取的操作指令发送给服务端,由服务端进行响应,并实时更新Web浏览器运行的更新的虚拟界面。
步骤S106,客户端注销认证,并断开远程应用的连接。
用户完成互联网的访问时,关闭客户端的程序,注销客户端与服务端的认证,并断开远程应用的连接。
如图2所示,在一个实施例中,提供了一种内网终端访问互联网的另一方法,是基于放开防火墙策略允许内网终端直接访问互联网的方法,该方法应用于内网终端,内网终端可以不安装本发明的客户端即可访问。针对某些内网终端必须使用Client客户端直接访问互联网应用程序服务器Server或必须直接访问某些重要网站时,该方法主要解决的问题,一是域名对应数个公网IP地址时,难以精准确定具体需要访问的IP地址,二是域名对应的公网IP地址有变动的可能,将会导致防火墙配置需要手工修改。使用该方法,可以使管理员的精力聚焦于用户的访问逻辑,而不是防火墙配置。防火墙可以实时地生成和删除防火墙策略,降低了使用和管理防火墙的复杂度,提高了访问互联网的灵活度,增强了内外网的隔离安全度。该方法包括:
步骤S201,服务端捕获内网终端的域名请求报文。
用户内网终端安装的Client客户端,如证券行业的股票交易软件,需要通过互联网直接访问服务器,无法使用基于远程应用的方法来实现,需要使用基于放开防火墙策略直接允许访问互联网的方式。当打开Client客户端时,Client客户端会发出域名请求报文,向互联网请求该域名对应的公网的目的IP地址,服务端会捕获该域名请求报文。
提前获知用户内部终端配置的源IP地址和需要访问的域名及其对应的目的端口,管理员将该源IP地址写入用户特征信息,将域名及其对应的目的端口写入资源特征信息,并进行相应的授权。
步骤S202,服务端获取域名请求报文中的域名及源IP地址。
服务端捕获到域名请求报文,提取该域名请求报文中的内网终端访问的域名,及内网终端使用的源IP地址。
步骤S203,服务端判断源IP地址是否获得访问该域名的授权。
服务端判断该用户内网终端的源IP地址是否获得访问该域名的授权。
步骤S204,当判断为非授权时,服务端丢弃该域名请求报文。
当用户内网终端的源IP地址未获得访问该域名的授权,服务端会丢弃该域名请求报文。
步骤S205,当判断为授权时,服务端将该域名请求报文转发至互联网。
当用户内网终端的源IP地址获得访问该域名的授权,服务端会将该域名请求报文转发至互联网,以请求该域名对应的目的IP地址。
步骤S206,服务端捕获该域名请求报文对应的域名响应报文。
服务端捕获该域名请求报文对应的域名响应报文,丢弃其他无关的域名响应报文。
步骤S207,服务端获取该域名响应报文中解析的目的IP地址,并转发该域名响应报文至内部网络。
服务端获取该域名响应报文中域名解析出的目的IP地址,并将该域名响应报文转发至内部网络。用户的内部终端接收该域名响应报文并获得该域名响应报文中域名解析出的目的IP地址。
步骤S208,服务端实时新增防火墙策略,放开源IP地址访问所述目的IP地址的网络限制。
服务端在资源的特征信息中查找访问该域名对应的目的端口,并根据获得的目的IP地址、目的端口、源IP地址,实时新增源IP地址访问目的IP地址的目的端口的单向访问的防火墙策略,放开源IP地址访问目的IP地址的目的端口的网络限制。用户的内部终端直接访问该目的IP地址的目的端口提供的互联网服务。
步骤S209,服务端检测到源IP地址访问目的IP地址的相应TCP连接关闭或超时,删除设置的防火墙策略,阻断网络访问。
服务端检测到源IP地址访问目的IP地址的目的端口的单向访问的所有TCP连接关闭或超时,删除源IP地址访问目的IP地址的目的端口的单向访问的防火墙策略,阻断源IP地址访问目的IP地址的目的端口的网络访问。
当然,当内网终端安装的Client客户端访问使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,服务端可以手工设置防火墙策略,放开Client客户端直接访问应用程序服务器Server的网络限制,直至手工删除所述防火墙策略为止。该方法简单,但工作量大,难以维护。
图4为本发明实施例中一种内网终端访问互联网的系统的系统架构示意图,如图4所示,本实施例的用于一种内网终端访问互联网的系统的系统架构,具体包括:
客户端01,用于向服务端完成请求认证并建立远程应用的连接,接收服务端发送远程应用的虚拟界面的图像数据,根据虚拟界面的图像数据显示远程应用的虚拟界面;获取用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,发送至服务端,远程操作某种浏览器访问互联网,并更新服务端响应于操作指令返回的更新虚拟界面,直至完成互联网的访问;注销认证,并断开远程应用的连接。
服务端02,用于接收客户端请求认证并与客户端建立远程应用的连接;响应于接收客户端发送的鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作,并将Web浏览器运行的虚拟界面发送至客户端;用于记录用户和资源的特征信息,将资源分配授权给用户,并判断资源是否分配授权给用户;获取用户获得授权的互联网媒体文件数据,并将媒体文件数据转发至客户端;还用于基于放开防火墙策略允许内网终端直接访问互联网。
图5为本发明实施例中一种内网终端访问互联网的系统的网络结构示意图,如图5所示,本实施例的用于一种内网终端访问互联网的系统的网络结构,具体包括:
系统100部署于内部网络和互联网之间的边界,对内连接内部网络,对外连接互联网。内网终端,包括但不限于台式电脑、笔记本电脑、平板电脑和PDA,可以通过有线的网线和无线的信号连接到内部网络,可以正常访问内部网络里的各种服务器,如Web服务器、数据库服务器。
系统100安装服务端的软件,并运行。若要访问互联网的Web服务器,内网终端需要安装客户端软件,使用用户账号、口令与服务端进行认证;认证成功后即可以通过服务端的远程应用来访问互联网,内网终端显示的仅是服务端的Web浏览器运行的虚拟界面。
针对某些内网终端必须使用Client客户端直接访问互联网应用程序服务器Server或必须直接访问某些重要网站时,系统100可以基于域名解析自动放开防火墙策略,也可以根据已知固定的IP地址和/或UDP手工放开防火墙策略,允许内网终端直接访问可信任的应用程序服务器Server或重要网站提供的互联网服务。
系统100不仅能够保证用户终端通过内部网络安全访问内部资源,而且能够保证用户终端通过内部网络安全访问互联网资源。
图6为本发明实施例中一种内网终端访问互联网的系统的系统结构示意图,如图6所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的系统结构,具体可以包括:
客户端01,包括控制模块011、认证及连接建立模块012、界面图像处理模块013、鼠标/键盘事件处理模块014、音频/视频事件处理模块015。
控制模块011,用于控制各个模块协调一致地工作;
认证及连接建立模块012,用于向服务端完成请求认证并与服务端建立远程应用的连接;
界面图像处理模块013,用于接收服务端发送远程应用的虚拟界面的图像数据,根据该虚拟界面的图像数据显示远程应用的虚拟界面;
鼠标/键盘事件处理模块014,用于获取用户对显示的虚拟界面的鼠标点击/键盘输入操作指令,将操作指令发送至服务端;用于将文本内容复制到服务端浏览器,粘贴来自服务端复制的文本文件的内容和网页上显示的文本,禁止与服务端复制和粘贴任何类型的文件;
音频/视频事件处理模块015,用于接收服务端发送的媒体文件数据,并将该媒体文件数据进行解码播放。
服务端02,包括控制模块021、认证及连接建立模块022、Web浏览器模块027、界面图像处理模块023、鼠标/键盘事件处理模块024、音频/视频事件处理模块025、授权模块026、域名处理模块028、防火墙模块029。
控制模块021,用于控制各个模块协调一致地工作;
认证及连接建立模块022,用于接收客户端请求认证并与客户端建立远程应用的连接;
Web浏览器模块027,用于访问互联网Web服务器,实现上网功能;内置有多种不同厂商的浏览器,通过服务端后台可以对浏览器进行安装、卸载、升级及参数设置的操作;用于对用户访问的网页中的文件打开和下载进行安全管理;
界面图像处理模块023,用于获取Web浏览器模块中Web浏览器运行的虚拟界面图像,并将该虚拟界面的图像数据发送至客户端;
鼠标/键盘事件处理模块024,用于接收客户端发送的鼠标点击/键盘输入操作指令,响应于该鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;用于将文本文件的内容和网页上显示的文本复制到客户端,粘贴来自客户端复制的文本内容,禁用与客户端复制和粘贴任何类型的文件,用于记录粘贴事件的粘贴内容,写入日志文件;用于记录键盘输入,写入日志文件;
音频/视频事件处理模块025,用于获取用户获得授权的互联网媒体文件数据,并将该媒体文件数据转发至客户端;
授权模块026,用于记录用户和资源的特征信息,将资源分配授权给用户,并判断资源是否分配授权给用户;
域名处理模块028,用于捕获来自内部终端的域名请求报文,捕获来自互联网的域名响应报文,获取域名请求报文中的域名及源IP地址,获取域名响应报文中解析的目的IP地址,转发满足授权条件的域名请求报文至互联网,丢弃未满足授权条件的域名请求报文,将对应的域名响应报文转发至内部网络;
防火墙模块029,用于服务端在资源的特征信息中查找域名对应的目的端口,并根据获得的目的IP地址、目的端口、源IP地址,实时新增源IP地址访问目的IP地址的目的端口的单向访问的防火墙策略,放开源IP地址访问目的IP地址的目的端口的网络限制;用于当服务端检测到源IP地址访问目的IP地址的目的端口的单向访问的所有TCP连接关闭或超时,删除源IP地址访问目的IP地址的目的端口的单向访问的防火墙策略,阻断源IP地址访问目的IP地址的目的端口的网络访问;用于当内网终端安装的Client客户端访问使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,手工设置防火墙策略,放开该Client客户端直接访问该应用程序服务器Server的网络限制,直至手工删除该防火墙策略为止;
客户端与服务端通过TCP/IP协议进行通信。
图7为本发明实施例中一种内网终端访问互联网的系统的界面图像处理模块的结构示意图,如图7所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的界面图像处理模块的结构,具体可以包括:
客户端01的界面图像处理模块13有图像接收单元131、图像显示单元132。
图像接收单元131,用于接收服务端发送远程应用的虚拟界面的图像数据;
图像显示单元132,用于根据虚拟界面的图像数据显示远程应用的虚拟界面。
服务端02的界面图像处理模块23有图像获取单元231、图像发送单元232。
图像获取单元231,用于获取Web浏览器模块中Web浏览器运行的虚拟界面图像;
图像发送单元232,用于将虚拟界面的图像数据发送至客户端;
图8为本发明实施例中一种内网终端访问互联网的系统的鼠标/键盘事件处理模块的结构示意图,如图8所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的鼠标/键盘事件处理模块的结构,具体可以包括:
客户端01的鼠标/键盘事件处理模块14有获取单元141、发送单元142、粘贴板单元143。
获取单元141,用于获取用户对显示的虚拟界面的鼠标点击/键盘输入操作指令;
发送单元142,用于将鼠标点击/键盘输入操作指令发送至服务端;
粘贴板单元143,用于将文本内容复制到服务端浏览器,粘贴来自服务端复制的文本文件的内容和网页上显示的文本,禁止与服务端复制和粘贴任何类型的文件。
服务端02的鼠标/键盘事件处理模块24有接收单元242、响应单元241、粘贴板单元243、键盘事件日志单元244。
接收单元242,用于接收客户端发送的鼠标点击/键盘输入操作指令;
响应单元241,用于响应于鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;
粘贴板单元243,用于将文本文件的内容和网页上显示的文本复制到客户端,粘贴来自客户端复制的文本内容,禁止与客户端复制和粘贴任何类型的文件,记录粘贴事件的粘贴内容,写入日志文件;
键盘事件日志单元244,用于记录键盘输入,写入日志文件。
图9为本发明实施例中一种内网终端访问互联网的系统的Web浏览器模块的结构示意图,如图9所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的Web浏览器模块的结构,具体可以包括:
服务端02的Web浏览器模块27有管理单元271、访问互联网单元272。
管理单元271,用于内置有多种不同厂商的浏览器,通过服务端后台可以对浏览器进行安装、卸载、升级及参数设置的操作和对用户访问的网页中的文件打开和下载进行安全管理;
访问互联网单元272,用于Web浏览器访问互联网Web服务器,实现上网功能;
图10为本发明实施例中一种内网终端访问互联网的系统的音频/视频处理模块的结构示意图,如图10所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的音频/视频处理模块的结构,具体可以包括:
客户端01的音频/视频处理模块15有音频/视频接收单元151、音频/视频播放单元152。
音频/视频接收单元151,用于接收服务端发送的媒体文件数据;
音频/视频播放单元152,用于将媒体文件数据进行解码播放。
服务端02的音频/视频处理模块25有音频/视频获取单元251、音频/视频转发单元252。
音频/视频获取单元251,用于获取用户获得授权的互联网媒体文件数据;
音频/视频转发单元252,用于将媒体文件数据转发至客户端。
图11为本发明实施例中一种内网终端访问互联网的系统的授权模块的结构示意图,如图11所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的授权模块的结构,具体可以包括:
服务端02的域名处理模块26有用户单元261、资源单元262、授权单元263、判断单元264。
用户单元261,用于记录用户的特征信息,包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;
资源单元262,用于记录资源的特征信息,包括资源种类,域名,端口,IP地址;
授权单元263,用于将资源分配授权给用户;
判断单元264,用于确定资源是否分配授权给用户。
图12为本发明实施例中一种内网终端访问互联网的系统的域名处理模块的结构示意图,如图12所示,本实施例的用于本发明实施例中一种内网终端访问互联网的系统的域名处理模块的结构,具体可以包括:
服务端02的域名处理模块28有捕获单元281、获取单元282、转发单元283。
捕获单元281,用于捕获来自内部终端的域名请求报文,捕获来自互联网的域名响应报文;
获取单元282,用于获取域名请求报文中的域名及源IP地址,获取域名响应报文中解析的目的IP地址;
转发单元283,用于转发满足授权条件的域名请求报文至互联网,丢弃未满足授权条件的域名请求报文,将域名响应报文转发至内部网络。
本发明介绍了一种内网终端访问互联网的方法,使用了基于远程应用的内网终端访问互联网Web服务器的方法和基于放开防火墙策略允许所述内网终端直接访问互联网的方法。用户访问互联网的Web服务器时,使用基于远程应用的虚拟界面技术,用户终端显示的仅是远程应用的浏览器运行的图像;针对某些内网终端必须使用Client客户端直接访问互联网应用程序服务器Server或必须直接访问某些重要网站时,基于域名解析放开防火墙策略允许内网终端直接访问可信任的应用程序服务器Server或重要网站提供的互联网服务。同时,加强了对Web浏览器的文件打开和下载的安全管理,禁用了对客户端和服务端之间传输任何类型的文件。对安全要求非常高的企业或单位,可以禁用基于放开防火墙策略允许所述内网终端直接访问互联网的方法,使用基于远程应用的内网终端访问互联网Web服务器的方法的同时,禁用音频/视频处理模块的功能,满足用户访问互联网的需求,又完全隔断与互联网的直接通信,保证了安全的高要求。本发明介绍的一种内网终端访问互联网的方法、装置及系统,不仅能够保证用户终端通过内部网络安全访问内部资源,而且能够保证用户终端通过内部网络安全访问互联网资源,同时也保证了内部数据的安全。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (9)
1.一种内网终端访问互联网的方法,所述方法是基于远程应用的内网终端访问互联网Web服务器的方法,包括:
客户端向服务端完成请求认证并建立远程应用的连接;
所述客户端接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面,所述虚拟界面包含多种类型浏览器的快捷方式图标;
所述客户端获取用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,并将所述操作指令发送至所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,并根据所述更新虚拟界面的图像数据实时更新所述远程应用的虚拟界面,所述操作指令是所述用户远程操作某种浏览器访问互联网;
所述客户端持续获取所述用户的所述鼠标点击/键盘输入操作指令,并发送至所述服务端,直至完成互联网的访问;
所述客户端注销认证,并断开远程应用的连接。
2.一种内网终端访问互联网的方法,所述方法是基于放开防火墙策略允许所述内网终端直接访问互联网的方法,包括:
所述服务端捕获内网终端的域名请求报文;
所述服务端获取所述域名请求报文中的域名及源IP地址;
所述服务端判断所述源IP地址是否获得访问所述域名的授权;
当判断为非授权时,所述服务端丢弃所述域名请求报文;
当判断为授权时,所述服务端将所述域名请求报文转发至互联网;
所述服务端捕获所述域名请求报文对应的域名响应报文;
所述服务端获取所述域名响应报文中解析的目的IP地址,并转发所述域名响应报文至内部网络;
所述服务端实时新增防火墙策略,放开所述源IP地址访问所述目的IP地址的网络限制;
所述服务端检测到源IP地址访问所述目的IP地址的相应TCP连接关闭或超时,删除设置的所述防火墙策略,阻断网络访问。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述客户端向所述服务端完成请求认证,则所述请求认证是否合法由所述服务端进行判断;当认证不成功,所述客户端提示所述用户重新进行认证;当认证成功,所述客户端与所述服务端建立远程应用的连接;
所述虚拟界面包含多种类型浏览器的快捷方式图标,则所述多种类型浏览器是所述服务端内置的不同厂商的浏览器,设置所述浏览器主页为上网导航;通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作;所述服务端对所述用户访问的网页中的文件打开和下载进行安全管理;
所述客户端获取所述用户对所述虚拟界面的鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端,包括:所述客户端和所述服务端之间仅允许所述用户复制和粘贴文本文件的内容和网页上显示的文本,所述服务端对粘贴的内容进行记录,写入日志文件;所述客户端和所述服务端禁止通过粘贴板功能的任何类型的文件传输;禁止所述客户端将本地的硬盘、USB设置、扫描仪映射到所述服务端;
所述客户端接收所述服务端响应于所述操作指令返回的更新虚拟界面的图像数据,包括:所述服务端对接收的所述客户端发送的所述鼠标点击/键盘输入操作指令进行响应,以执行对Web浏览器的操作,并将键盘输入进行记录,写入日志文件;
当所述用户对音频/视频媒体文件进行请求时,所述服务端判断所述用户是否获得授权;当所述用户未获得授权,则所述服务端拒绝所述用户对所述音频/视频媒体文件的请求;当所述用户获得授权,则所述服务端将获取的音频/视频媒体文件数据转发至所述客户端;所述客户端接收所述媒体文件数据,并将所述媒体文件数据进行解码播放。
4.根据权利要求1或3所述的方法,其特征在于,所述的方法还包括:
所述服务端判断所述客户端的所述请求认证,需要用户的特征信息;所述用户的特征信息包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;
所述服务端判断所述用户是否获得对音频/视频媒体的授权,需要资源的特征信息,以及所述用户使用所述资源的授权和所述资源是否授权给所述用户的判断;所述资源的特征信息包括资源种类,域名,端口,IP地址;所述授权是指将所述资源分配授权给所述用户;所述判断是指确定所述资源是否分配授权给所述用户。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述服务端实时新增防火墙策略,放开所述源IP地址访问所述目的IP地址的网络限制,包括:所述服务端在所述资源的特征信息中查找所述域名对应的目的端口,并根据获得的所述目的IP地址、所述目的端口、所述源IP地址,实时新增所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的防火墙策略,放开所述源IP地址访问所述目的IP地址的所述目的端口的网络限制;
所述服务端检测到所述源IP地址访问所述目的IP地址的相应TCP连接关闭或超时,删除设置的所述防火墙策略,阻断网络访问,包括:所述服务端检测到所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所有TCP连接关闭或超时,删除所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所述防火墙策略,阻断所述源IP地址访问所述目的IP地址的所述目的端口的网络访问;
当所述内网终端安装的Client客户端访问使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,所述服务端可以手工设置防火墙策略,放开所述Client客户端直接访问所述应用程序服务器Server的网络限制,直至手工删除所述防火墙策略为止。
6.一种内网终端访问互联网的客户端装置,其特征在于,包括:
控制模块,用于控制各个模块协调一致地工作;
认证及连接建立模块,用于向所述服务端完成请求认证并与所述服务端建立远程应用的连接;
界面图像处理模块,用于接收所述服务端发送远程应用的虚拟界面的图像数据,根据所述虚拟界面的图像数据显示远程应用的虚拟界面;
其中,所述界面图像处理模块包括:接收单元,接收所述服务端发送远程应用的虚拟界面的图像数据;显示单元,根据所述虚拟界面的图像数据显示远程应用的虚拟界面;
鼠标/键盘事件处理模块,用于获取所述用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令,将所述操作指令发送至所述服务端;用于将文本内容复制到所述服务端浏览器,粘贴来自所述服务端复制的文本文件的内容和网页上显示的文本,禁止与所述服务端复制和粘贴任何类型的文件;
其中,所述鼠标/键盘事件处理模块包括:获取单元,用于获取所述用户对显示的所述虚拟界面的鼠标点击/键盘输入操作指令;发送单元,将所述鼠标点击/键盘输入操作指令发送至所述服务端;粘贴板单元,用于将文本内容复制到所述服务端浏览器,粘贴来自所述服务端复制的文本文件的内容和网页上显示的文本,禁止与所述服务端复制和粘贴任何类型的文件;
音频/视频事件处理模块,用于接收所述服务端发送的媒体文件数据,并将所述媒体文件数据进行解码播放;
其中,所述音频/视频事件处理模块包括:接收单元,用于接收所述服务端发送的媒体文件数据;播放单元,用于将所述媒体文件数据进行解码播放。
7.一种内网终端访问互联网的服务端装置,其特征在于,包括:
控制模块,用于控制各个模块协调一致地工作;
认证及连接建立模块,用于接收所述客户端请求认证并与所述客户端建立远程应用的连接;
Web浏览器模块,用于访问互联网Web服务器,实现上网功能;内置有多种不同厂商的浏览器,通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作;用于对所述用户访问的网页中的文件打开和下载进行安全管理;
其中,所述Web浏览器模块包括:访问互联网单元,用于访问互联网Web服务器,实现上网功能;管理单元,内置有多种不同厂商的浏览器,用于通过所述服务端后台可以对所述浏览器进行安装、卸载、升级及参数设置的操作和对所述用户访问的网页中的文件打开和下载进行安全管理;
界面图像处理模块,用于获取所述Web浏览器模块中Web浏览器运行的虚拟界面的图像数据,并将所述虚拟界面的图像数据发送至所述客户端;
其中,所述界面图像处理模块包括:获取单元,获取所述Web浏览器模块中Web浏览器运行的虚拟界面的图像数据;发送单元,将所述虚拟界面的图像数据发送至所述客户端;
鼠标/键盘事件处理模块,用于接收所述客户端发送的鼠标点击/键盘输入操作指令,响应于所述鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;用于将文本文件的内容和网页上显示的文本复制到所述客户端,粘贴来自所述客户端复制的文本内容,禁止与所述客户端复制和粘贴任何类型的文件,用于记录粘贴事件的粘贴内容,写入日志文件;用于记录键盘输入,写入日志文件;
其中,所述鼠标/键盘事件处理模块包括:接收单元,接收所述客户端发送的所述鼠标点击/键盘输入操作指令;响应单元,响应于所述鼠标点击/键盘输入操作指令,以执行对Web浏览器的操作;粘贴板单元,用于将文本文件的内容和网页上显示的文本复制到所述客户端,粘贴来自所述客户端复制的文本内容,禁止与所述客户端复制和粘贴任何类型的文件,记录粘贴事件的粘贴内容,写入日志文件;键盘事件日志单元,用于记录键盘输入,写入日志文件;
音频/视频事件处理模块,用于获取所述用户获得授权的互联网媒体文件数据,并将所述媒体文件数据转发至所述客户端;
其中,所述音频/视频事件处理模块包括:获取单元,获取所述用户获得授权的互联网媒体文件数据;转发单元,将所述媒体文件数据转发至所述客户端。
8.一种内网终端访问互联网的服务端装置,其特征在于,还包括:
授权模块,用于记录所述用户和所述资源的特征信息,将所述资源分配授权给所述用户,并判断所述资源是否分配授权给所述用户;
其中,所述授权模块包括:用户单元,用于记录所述用户的特征信息,包括用户账号,IP地址,口令,和/或组织架构,和/或手机号码;资源单元,用于记录所述资源的特征信息,包括资源种类,域名,端口,IP地址;授权单元,用于将所述资源分配授权给所述用户;判断单元,用于确定所述资源是否分配授权给所述用户;
域名处理模块,用于捕获来自内部终端的所述域名请求报文,捕获来自互联网的所述域名响应报文,获取所述域名请求报文中的域名及源IP地址,获取所述域名响应报文中解析的目的IP地址,转发满足授权条件的所述域名请求报文至互联网,丢弃未满足授权条件的所述域名请求报文,将所述域名响应报文转发至所述内部网络;
其中,所述域名处理模块包括:捕获单元,用于捕获来自内部终端的域名请求报文,捕获来自互联网的所述域名响应报文;获取单元,用于获取所述域名请求报文中的域名及源IP地址,获取所述域名响应报文中解析的目的IP地址;转发单元,用于转发满足授权条件的所述域名请求报文至互联网,丢弃未满足授权条件的所述域名请求报文,将所述域名响应报文转发至内部网络;
防火墙模块,用于所述服务端在所述资源的特征信息中查找所述域名对应的目的端口,并根据获得的所述目的IP地址、所述目的端口、所述源IP地址,实时新增所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的防火墙策略,放开所述源IP地址访问所述目的IP地址的所述目的端口的网络限制;用于当所述服务端检测到所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所有TCP连接关闭或超时,删除所述源IP地址访问所述目的IP地址的所述目的端口的单向访问的所述防火墙策略,阻断所述源IP地址访问所述目的IP地址的所述目的端口的网络访问;用于当内网终端安装的Client客户端访问针对使用已知固定IP地址的和/或使用UDP协议的互联网应用程序服务器Server时,手工设置防火墙策略,放开所述Client客户端直接访问所述应用程序服务器Server的网络限制,直至手工删除所述防火墙策略为止。
9.一种内网终端访问互联网的系统,其特征在于,包括:权利要求6所述的客户端装置以及权利要求7和8所述的服务端装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010786330.3A CN111988292B (zh) | 2020-08-08 | 2020-08-08 | 一种内网终端访问互联网的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010786330.3A CN111988292B (zh) | 2020-08-08 | 2020-08-08 | 一种内网终端访问互联网的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111988292A true CN111988292A (zh) | 2020-11-24 |
| CN111988292B CN111988292B (zh) | 2023-05-05 |
Family
ID=73445238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010786330.3A Active CN111988292B (zh) | 2020-08-08 | 2020-08-08 | 一种内网终端访问互联网的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111988292B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113271300A (zh) * | 2021-05-12 | 2021-08-17 | 北京天空卫士网络安全技术有限公司 | 一种认证的系统和方法 |
| CN115242783A (zh) * | 2022-09-22 | 2022-10-25 | 中科方德软件有限公司 | 传输方法、装置、电子设备和介质 |
| CN115242523A (zh) * | 2022-07-26 | 2022-10-25 | 亿咖通(湖北)技术有限公司 | 一种基于tee系统的终端使用方法、装置、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0812086A2 (en) * | 1996-06-07 | 1997-12-10 | Nippon Telegraph And Telephone Corporation | Vlan control system and method |
| US20040255289A1 (en) * | 2003-06-11 | 2004-12-16 | Citycites.Com Corp. | Remote access software solution for rapidly deploying a desktop |
| CN101282328A (zh) * | 2007-04-02 | 2008-10-08 | 北京下午茶科技有限公司 | 互联网内网Web服务的访问方法 |
| CN103997487A (zh) * | 2014-05-04 | 2014-08-20 | 绿网天下(福建)网络科技有限公司 | 一种基于浏览器的安全上网隔离方法 |
| CN109639652A (zh) * | 2018-11-22 | 2019-04-16 | 贵州华云创谷科技有限公司 | 一种基于安全隔离的网间数据访问的方法及系统 |
| CN109889422A (zh) * | 2019-03-07 | 2019-06-14 | 江苏省人民医院 | 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法 |
| CN111447176A (zh) * | 2020-02-26 | 2020-07-24 | 中国平安人寿保险股份有限公司 | 内网安全访问外网的方法、装置、计算机设备及存储介质 |
-
2020
- 2020-08-08 CN CN202010786330.3A patent/CN111988292B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0812086A2 (en) * | 1996-06-07 | 1997-12-10 | Nippon Telegraph And Telephone Corporation | Vlan control system and method |
| US6075776A (en) * | 1996-06-07 | 2000-06-13 | Nippon Telegraph And Telephone Corporation | VLAN control system and method |
| US20040255289A1 (en) * | 2003-06-11 | 2004-12-16 | Citycites.Com Corp. | Remote access software solution for rapidly deploying a desktop |
| CN101282328A (zh) * | 2007-04-02 | 2008-10-08 | 北京下午茶科技有限公司 | 互联网内网Web服务的访问方法 |
| CN103997487A (zh) * | 2014-05-04 | 2014-08-20 | 绿网天下(福建)网络科技有限公司 | 一种基于浏览器的安全上网隔离方法 |
| CN109639652A (zh) * | 2018-11-22 | 2019-04-16 | 贵州华云创谷科技有限公司 | 一种基于安全隔离的网间数据访问的方法及系统 |
| CN109889422A (zh) * | 2019-03-07 | 2019-06-14 | 江苏省人民医院 | 结合虚拟化桌面与ssl vpn实现远程放疗计划的方法 |
| CN111447176A (zh) * | 2020-02-26 | 2020-07-24 | 中国平安人寿保险股份有限公司 | 内网安全访问外网的方法、装置、计算机设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 唐国光: "浅析中大型企业网的互联网架构", 《电脑知识与技术》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113271300A (zh) * | 2021-05-12 | 2021-08-17 | 北京天空卫士网络安全技术有限公司 | 一种认证的系统和方法 |
| CN115242523A (zh) * | 2022-07-26 | 2022-10-25 | 亿咖通(湖北)技术有限公司 | 一种基于tee系统的终端使用方法、装置、设备及介质 |
| CN115242523B (zh) * | 2022-07-26 | 2024-05-17 | 亿咖通(湖北)技术有限公司 | 一种基于tee系统的终端使用方法、装置、设备及介质 |
| CN115242783A (zh) * | 2022-09-22 | 2022-10-25 | 中科方德软件有限公司 | 传输方法、装置、电子设备和介质 |
| CN115242783B (zh) * | 2022-09-22 | 2022-11-29 | 中科方德软件有限公司 | 传输方法、装置、电子设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111988292B (zh) | 2023-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11647005B2 (en) | Systems and methods for application pre-launch | |
| CN109196505B (zh) | 基于硬件的虚拟化安全隔离 | |
| US10089458B2 (en) | Separate, disposable execution environment for accessing unverified content | |
| US11797636B2 (en) | Intermediary server for providing secure access to web-based services | |
| CN111988292B (zh) | 一种内网终端访问互联网的方法、装置及系统 | |
| WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
| US20210360078A1 (en) | Systems and methods for push notification service for saas applications | |
| JP4575696B2 (ja) | ネットワークゾーン | |
| JP6768530B2 (ja) | 情報処理装置及びプログラム | |
| US10032027B2 (en) | Information processing apparatus and program for executing an electronic data in an execution environment | |
| US20220121333A1 (en) | Systems and methods for live tiles for saas | |
| US10447818B2 (en) | Methods, remote access systems, client computing devices, and server devices for use in remote access systems | |
| CN103023943B (zh) | 任务处理方法及其装置、终端设备 | |
| EP1462909B1 (en) | A computer for managing data sharing among application programs | |
| US8904487B2 (en) | Preventing information theft | |
| CN110298165B (zh) | 安全访问共享内存的方法、装置以及认证代理 | |
| KR101056423B1 (ko) | 로그인된 계정권한 제어를 이용한 프로그램 실행관리 방법 및 기록매체 | |
| WO2014079489A1 (en) | Methods and systems for managing access to a location indicated by a link in a remote access system | |
| KR101041115B1 (ko) | 권한제어에 의한 웹사이트 이용방법 및 시스템과 이를 위한기록매체 | |
| US20060075493A1 (en) | Sending a message to an alert computer | |
| KR102269885B1 (ko) | 사용자별 맞춤형 서버 작업 환경의 생성 기능을 구비한 접근통제 시스템 | |
| US20080104239A1 (en) | Method and system of managing accounts by a network server | |
| CN115150170B (zh) | 安全策略配置方法、装置、电子设备和存储介质 | |
| KR20100018022A (ko) | 프락시 서버의 ssl 통신 기록 방법 | |
| CN116776319A (zh) | 数据处理方法、装置、计算机设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |