CN112448957A - 网络隔离方法、装置、系统、服务端和可读存储介质 - Google Patents
网络隔离方法、装置、系统、服务端和可读存储介质 Download PDFInfo
- Publication number
- CN112448957A CN112448957A CN202011352214.7A CN202011352214A CN112448957A CN 112448957 A CN112448957 A CN 112448957A CN 202011352214 A CN202011352214 A CN 202011352214A CN 112448957 A CN112448957 A CN 112448957A
- Authority
- CN
- China
- Prior art keywords
- user side
- access
- network
- intranet
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Abstract
本发明的实施例提供了一种网络隔离方法、装置、系统、服务端和可读存储介质,涉及网络安全技术领域。本发明实施例提供的网络隔离方法、装置、系统、服务端和可读存储介质,在接收用户端发送的访问请求后,对访问请求进行验证,判断用户端是否可以接入内网和/或外网,在用户端可以接入内网的情况下,向用户端提供内网的桌面服务,以使用户端通过内网的桌面服务接入内网,在用户端可以接入外网的情况下,向用户端提供外网的桌面服务,以使用户端通过外网的桌面服务接入外网,如此,无需通过设备间的切换,即可实现内外网络的隔离,操作简便且安全性高。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络隔离方法、装置、系统、服务端和可读存储介质。
背景技术
随着网络技术的发展,网络信息安全问题越来越受重视。目前,大多公司都采用网络隔离的技术来实现内网和外网的安全隔离。但现有方案中无论哪种隔离的方式均需要通过两套相互独立的物理主机或内外网切换开关来实现,即需要通过两台设备间的切换操作来实现,切换操作非常不便。
发明内容
基于上述研究,本发明提供了一种网络隔离方法、装置、系统、服务端和可读存储介质,以改善上述问题。
本发明的实施例可以这样实现:
第一方面,本发明提供一种网络隔离方法,应用于服务端,所述方法包括:
接收用户端发送的访问请求;
对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若所述用户端可以接入所述内网,则向所述用户端提供所述内网的桌面服务,以使所述用户端通过所述内网的桌面服务接入所述内网;
若所述用户端可以接入所述外网,则向所述用户端提供所述外网的桌面服务,以使所述用户端通过所述外网的桌面服务接入所述外网。
在可选的实施方式中,所述服务端存储有每个用户端的账号信息与访问权限的对应关系;所述用户端的访问请求包括所述用户端的账号信息;所述对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网的步骤,包括:
根据所述用户端的账号信息,查找所述用户端的访问权限;
根据所述用户端的访问权限,判断所述用户端是否可以接入内网和/或外网。
在可选的实施方式中,在判断所述用户端是否可以接入内网和/或外网之后,所述方法还包括:
根据所述用户端的访问权限,向所述用户端提供内网和/或外网的摆渡文件夹的存储服务。
在可选的实施方式中,在向所述用户端提供内网和/或外网的摆渡文件夹的存储服务之后,所述方法还包括:
将所述外网的摆渡文件夹与所述内网的摆渡文件夹进行对比,判断所述外网的摆渡文件夹是否存在文件变更;
若存在文件变更,将变更的文件同步到所述内网的摆渡文件夹。
在可选的实施方式中,所述方法还包括:
对所述内网的用户端与所述外网的用户端之间的数据传输进行监测,判断所述内网的用户端和所述外网的用户端是否采用约定协议进行传输数据;
若未采用所述约定协议,则对传输的数据进行拦截。
第二方面,本发明提供一种网络隔离方法,应用于网络隔离系统,所述网络隔离系统包括用户端和服务端;所述方法包括:
所述用户端向所述服务端发送访问请求;
所述服务端对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若可以接入所述内网,所述服务端向所述用户端提供所述内网的桌面服务,若可以接入所述外网,所述服务端向所述用户端提供所述外网的桌面服务;
所述用户端根据所述服务端提供的内网的桌面服务,访问内网,和/或,根据所述服务端提供的外网的桌面服务,访问外网。
第三方面,本发明提供一种网络隔离装置,应用于服务端,所述装置包括信息接收模块、信息验证模块以及服务提供模块;
所述信息接收模块用于接收用户端发送的访问请求;
所述信息验证模块用于对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若所述用户端可以接入所述内网,所述服务提供模块用于向所述用户端提供所述内网的桌面服务,以使所述用户端通过所述内网的桌面服务接入所述内网;若所述用户端可以接入所述外网,所述服务提供模块用于向所述用户端提供所述外网的桌面服务,以使所述用户端通过所述外网的桌面服务接入所述外网。
第四方面,本发明提供一种网络隔离系统,包括用户端和服务端;
所述用户端用于向所述服务端发送访问请求;
所述服务端用于对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若所述用户端可以接入所述内网,所述服务端用于向所述用户端提供所述内网的桌面服务,若所述用户端可以接入所述外网,所述服务端用于向所述用户端提供所述外网的桌面服务;
所述用户端用于根据所述服务端提供的内网的桌面服务访问内网,和/或,根据所述服务端提供的外网的桌面服务访问外网。
第五方面,本发明提供一种服务端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述实施方式任意一项所述的网络隔离方法。
第六方面,本发明提供一种可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序被执行时实现前述实施方式任意一项所述的网络隔离方法。
本发明实施例提供的网络隔离方法、装置、系统、服务端和可读存储介质,在接收用户端发送的访问请求后,对访问请求进行验证,判断用户端是否可以接入内网和/或外网,在用户端可以接入内网的情况下,则向用户端提供内网的桌面服务,以使用户端通过内网的桌面服务接入内网,在用户端可以接入外网的情况下,则向用户端提供外网的桌面服务,以使用户端通过外网的桌面服务接入外网,如此,无需通过设备间的切换,即可实现内外网络的隔离,操作简便且安全性高。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例所提供的服务端的结构示意图之一。
图2为本发明实施例所提供的网络隔离方法的一种流程示意图。
图3为本发明实施例所提供的服务端的结构示意图之二。
图4为本发明实施例所提供的服务端的结构示意图之三。
图5为本发明实施例所提供的服务端的结构示意图之四。
图6为本发明实施例所提供的网络隔离方法的另一种流程示意图。
图7为本发明实施例所提供的网络隔离装置的一种方框示意图。
图标:100-服务端;110-网络端口;120-处理器;130-通信总线;140-存储介质;150-网络隔离装置;151-信息接收模块;152-信息验证模块;153-服务提供模块;10-第一服务器;20-第二服务器;30-域控制器;40-文件传输服务器。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享,也就是说,通过网络隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互。
目前,内外网隔离技术主要有三种,物理网络隔离、逻辑网络隔离(含网闸)以及网络隔离卡。其中,物理网络隔离即通过建立内网和外网两套网络系统,物理的将两个网络隔离开,互不连接,以实现隔离效果。
逻辑网络隔离(含网闸)即为网络设备配置两个互不相通的虚拟网络,从而实现内外网隔离效果。
网络隔离卡主要在终端设备安装网络隔离卡这种硬件设备,通过网络隔离卡上设有的隔离开关来选择连接到内网或者外网,从而实现网络隔离效果。
以上的内外网隔离方式,均需要通过两套相互独立的物理主机或内外网切换开关来实现,切换操作非常不便,特别是针对内网环境中需要用到外网环境需求时,例如在互联网企业办公环境中,内网开发需要查阅外网资料时,内外网两台设备间的切换操作繁琐,影响工作效率。
除此之外,现有技术中内外网之间的文件摆渡主要为物理移动媒介摆渡以及网闸的文件摆渡。但这些摆渡方式对文件所有者、文件权限及文件的操作控制无法管理或无法实现自动摆渡。
基于上述研究,本发明实施例一种网络隔离方法、装置、系统、服务端和可读存储介质,通过逻辑隔离的虚拟环境来生成内网或者外网的隔离桌面服务,可以在单台设备上实现内外网的访问且满足内外网逻辑隔离要求,大大提高了内外网隔离要求下的操作便捷性、提高了工作效率以及节约了成本。并且,通过对用户端的权限控制,解决了文件摆渡时的文件权限控制,摆渡方向控制,文件授权访问等问题。
在本实施例中,服务端100可以是单个服务器,也可以是由多个服务器构成的服务器组。服务器组可以是集中式的,也可以是分布式的(例如,服务端100可以是分布式系统)。在一些实施例中,服务端100也可以在云平台上实现,仅作为示例,云平台可以包括私有云、公有云、混合云、社区云(community cloud)、分布式云、跨云(inter-cloud)、多云(multi-cloud)等,或者它们的任意组合。
在本实施例中,如图1所示,服务端100可以包括连接到网络的网络端口110、用于执行程序指令的一个或多个处理器120、通信总线130和不同形式的存储介质140,例如,磁盘、ROM、或RAM,或其任意组合。示例性地,服务端100还可以包括存储在ROM、RAM、或其他类型的非暂时性存储介质或其任意组合中的程序指令,根据这些程序指令可以实现本发明的方法。
在本实施例中,服务端100中的一个或多个组件可以通过网络向其他组件发送信息和/或数据。在一些实施例中,网络可以是任何类型的有线或者无线网络,或者是他们的结合。
在可选实施方式中,服务端100还可以包括数据库,数据库可以存储数据和/或指令。在一些实施例中,数据库可以存储用户端的数据信息。在一些实施例中,数据库可以存储在本发明中描述的示例性方法的数据和/或指令。
在一些实施方式中,数据库可以连接到网络以与服务端100中的一个或多个组件通信,服务端100中的一个或多个组件可以经由网络访问存储在数据库中的数据或指令。
可以理解地,图1所示的结构仅为示意,所述服务端100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
基于图1的实现架构,请结合参阅图2,图2为本实施例所提供的网络隔离方法的一种流程示意图。该方法由图1所示的服务端100执行,下面对图2所示的流程图进行详细阐述。
步骤S10:接收用户端发送的访问请求。
步骤S20:对访问请求进行验证,判断用户端是否可以接入内网和/或外网。
若用户端可以接入内网,执行步骤S30,若用户端可以接入外网,执行步骤S40。
步骤S30:向用户端提供内网的桌面服务,以使用户端通过内网的桌面服务接入内网。
步骤S40:向用户端提供外网的桌面服务,以使用户端通过外网的桌面服务接入外网。
可选的,用户端可以是手机、平板电脑、笔记本电脑、个人计算机(PersonalComputer,PC)、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digital assistant,PDA)等电子设备上。
当用户端有访问需求,则可以向服务端100发起访问请求,服务端100在接收到访问请求,对访问请求进行验证,验证用户端是否可以访问内网和/或外网。当验证得到用户端可以访问内网时,则向用户端提供内网的桌面服务,进而用户端则可以通过提供的内网的桌面服务访问内网,以获取内网的资源。而当验证得到用户端可以访问外网时,则向用户端提供外网的桌面服务,进而用户端则可以通过提供的外网的桌面服务访问外网,以获取外网的资源。
可以理解的,若验证得到用户端既可以访问内网又可以访问外网,则可以同时向用户端提供内网的桌面服务以及外网的桌面服务。而若验证得到用户端既不可以访问内网又不可以访问外网,则无需为用户端提供内网的桌面服务以及外网的桌面服务。
本实施例所提供的网络隔离方法,在接收用户端发送的访问请求后,通过对访问请求进行验证,根据对访问请求的验证结果,向用户端提供对应的桌面服务,以使用户端根据对应的桌面服务访问网络资源,如此,用户端在单台终端设备即可实现内外网的访问以及内外网络的隔离,无需进行设备的切换,操作简便且安全性高。
在一种实施方式中,如图3所示,本实施例所提供的服务端100可以包括设置在外网中的第一服务器10、设置在内网中的第二服务器20以及域控制器30。其中,第一服务器10与外网连接,用于向用户端提供外网服务,第二服务器20与内网连接,用于用户端提供内网服务。
第一服务器10和第二服务器20分别与域控制器30连接,域控制器30用于对用户端的访问请求进行验证,并在验证通过后,通知第一服务器10向用户端提供外网服务和/或通知第二服务器20向用户端提供内网服务器。
若用户需要访问外网,则通过用户端向设置在外网中的第一服务器10发送访问请求,请求访问外网,第一服务器10将访问请求发送到域控制器30进行验证,判断用户端是否可以访问外网,若验证得到用户端可以访问外网,则向第一服务器10反馈信息,通知第一服务器10用户端可以访问外网,进而第一服务器10向用户端提供外网的桌面服务,用户可以根据外网的桌面服务访问外网资源。
若用户需要访问内网,则通过用户端向设置在内网中的第二服务器20发送访问请求,请求访问内网,第二服务器20将访问请求发送到域控制器30进行验证,判断用户端是否可以访问内网,若验证得到用户端可以访问内网,则向第二服务器20反馈信息,通知第二服务器20用户端可以访问内网,进而第二服务器20向用户端提供内网的桌面服务,用户可以根据内网的桌面服务访问内网资源。
为了实现对用户访问内外网的控制,在本实施例中,位于内外网的所有用户端均需要账号入域,并且在入域之后,为每个用户端配置访问权限,例如,是否可以访问外网、内网以及是否有下载资源的权限等,在配置访问权限后,将每个用户端的访问权限与账号信息进行关联,进而服务端100存储有每个用户端的账号信息与访问权限的对应关系。服务端100根据存储的每个用户端的账号信息与访问权限的对应关系即可对用户端的访问请求进行验证。
可选的,在本实施中,对访问请求进行验证,判断用户端是否可以接入内网和/或外网的步骤,包括:
根据用户端的账号信息,查找用户端的访问权限。
根据用户端的访问权限,判断用户端是否可以接入内网和/或外网。
其中,用户端的访问请求包括用户端的账号信息,服务端100在接收到用户端的访问请求后,根据访问请求中包括的用户端的账号信息,查找用户端对应的访问权限,然后根据用户端的访问权限,即可判断用户端是否可以访问内网和/或外网。若用户端的访问权限表示该用户端可以访问内网,即判定该用户端可以访问内网,然后向该用户端提供内网的桌面服务。若用户端的访问权限表示该用户端可以访问外网,即判定该用户端可以访问外网,然后向该用户端提供外网的桌面服务。
在一种实施方式中,可以是服务端100中的域控制器30存储每个用户端的访问权限与账号信息的对应关系。当用户需要访问外网时,可以在用户端设备上输入账号信息,用户端根据输入的账号信息生成访问请求,然后将访问请求发送至设置在外网中的第一服务器10,请求访问外网,第一服务器10将访问请求发送到域控制器30进行验证,域控制器30在接收到访问请求,根据访问请求中的账号信息查找该账号信息对应的访问权限,然后根据查找到的访问权限判断该用户端是否可以访问外网,若可以访问外网,则向第一服务器10反馈信息,通知第一服务器10该用户端可以访问外网,进而第一服务器10向该用户端提供外网的桌面服务。
当用户需要访问内网时,可以在用户端设备上输入账号信息,用户端根据输入的账号信息生成访问请求,然后将访问请求发送至设置在内网中的第二服务器20,请求访问内网,第二服务器20将访问请求发送到域控制器30进行验证,域控制器30在接收到访问请求,根据访问请求中的账号信息查找该账号信息对应的访问权限,然后根据查找到的访问权限判断该用户端是否可以访问内网,若可以访问内网,则向第二服务器20反馈信息,通知第二服务器20该用户端可以访问内网,进而第二服务器20向该用户端提供内网的桌面服务。
鉴于在实际应用中,用户在访问网络资源后,常常有资源下载的需求,而资源下载存在风险,为了实现风险管控,在本实施例中,在判断用户端是否可以接入内网和/或外网之后,方法还包括:
根据用户端的访问权限,向用户端提供内网和/或外网的摆渡文件夹的存储服务。
其中,服务端100根据用户端的访问权限,判断用户端是否可以访问内网和/或外网后,还可以根据访问权限,判断用户端是否有下载内网资源和/或外网资源的权限。
若判断得到用户端具有下载内网资源的权限,则向用户端提供内网的摆渡文件夹的存储服务,若判断得到用户端具有下载外网资源的权限,则向用户端提供外网的摆渡文件夹的存储服务。可以理解地,若判断得到用户端同时具有下载内网资源和外网资源的权限,则可以同时向用户端提供外网和内网的摆渡文件夹的存储服务。
在一种实施方式中,若用户需要访问外网时,域控制器30在根据访问请求中的账号信息查找该账号信息对应的访问权限后,根据查找到的访问权限判断该用户端是否可以访问外网,若可以访问外网,则根据查找到的访问权限判断该用户端是否有下载外网资源的权限,若有,则向第一服务器10反馈信息,通知第一服务器10该用户端可以访问外网且具有下载外网资源的权限,进而第一服务器10向该用户端提供外网的桌面服务以及外网的摆渡文件夹。
若用户需要访问内网时,域控制器30在根据访问请求中的账号信息查找该账号信息对应的访问权限后,根据查找到的访问权限判断该用户端是否可以访问内网,若可以访问内网,则根据查找到的访问权限判断该用户端是否有下载内网资源的权限,若有,则向第二服务器20反馈信息,通知第二服务器20该用户端可以访问内网且具有下载内网资源的权限,进而第二服务器20向该用户端提供内网的桌面服务以及内网的摆渡文件夹。
在本实施例中,在向用户端提供摆渡文件夹后,用户端即可将网络资源下载到摆渡文件夹进行存储。例如,向用户端提供外网的摆渡文件夹后,用户端即可将外网资源下载到外网的摆渡文件夹中。又例如,在用户端提供内网的摆渡文件夹后,用户端即可将内网资源下载到内网的摆渡文件夹中。
在本实施例中,为了保证下载资源的安全性,服务端100对外网和内网的摆渡文件夹均配置有杀毒服务,如此,可对下载到摆渡文件夹中的资源文件进行杀毒,从而确保资源文件的安全性。
若用户端为内网中的用户终端时,为了将外网的资源下载到用户端本地时,还需要将下载到外网的摆渡文件夹的资源文件同步到内网的摆渡文件夹,在将外网的摆渡文件夹的资源文件同步到内网的摆渡文件夹后,用户即可将资源文件从内网的摆渡文件夹下载到用户端本地。因此,在本实施例中,在向用户端提供内网和/或外网的摆渡文件夹的存储服务之后,所述方法还包括:
将外网的摆渡文件夹与内网的摆渡文件夹进行对比,判断外网的摆渡文件夹是否存在文件变更。
若存在文件变更,将变更的文件同步到内网的摆渡文件夹。
其中,服务端100可以对外网的摆渡文件夹进行监视,按照预设时间间隔将外网的摆渡文件夹与内网的摆渡文件夹进行对比,判断外网的摆渡文件夹是否存在文件变更,若存在文件变更,将变更的文件同步到内网的摆渡文件夹。例如,用户端在外网的摆渡文件夹新增了一资源文件,服务端100将外网的摆渡文件夹与内网的摆渡文件夹进行对比后,发现内网的摆渡文件夹不存在该新增的资源文件,则将资源文件同步到内网的摆渡文件夹,而在将资源文件同步到内网的摆渡文件夹后,用户则可以从内网的摆渡文件夹中将该资源文件下载到本地。
可选的,在本实施例中,服务端100还可以对外网的摆渡文件夹进行实时监视,在监视到外网的摆渡文件夹发生变更后,将变更的文件同步到内网的摆渡文件夹。
为了便于用户对文件的下载管理以及提高文件的保密性,在本实施例中,可对外网的摆渡文件夹和内网的摆渡文件夹启用基于存储的枚举的设置,通过基于存储的枚举的设置,可以确保每个用户仅对自己的存储位置可见,即每个用户仅能查看自己所上传或下载的文件。如此,可提高文件的保密性,降低文件泄露的风险,并且也方便用户对文件的管理。
可选的,在本实施例中,服务端100还可以对每个文件下载信息(包括文件名、文件下载时间,文件下载的用户等等)进行记录,通过对文件下载信息的记录,可以在发生安全问题时,对文件以及下载文件的用户端进行溯源。
在一种实施例中,如图4所示,服务端100还可以包括文件传输服务器40,文件传输服务器40与第一服务器10和第二服务器20连接,通过文件传输服务器40对外网和外网的摆渡文件夹中文件进行监控,通过文件传输服务器40实现文件的同步以及文件下载信息的记录。
本实施例所提供的网络隔离方法,通过将外网的摆渡文件夹与内网的摆渡文件夹进行对比,判断外网的摆渡文件夹是否存在文件变更,若存在文件变更,将变更的文件同步到内网的摆渡文件夹,不仅可以实现资源文件的同步,还实现了文件摆渡方向的限定,即只能将外网的摆渡文件夹中的资源文件同步到内网的摆渡文件夹。如此,不仅实现了文件的自动摆渡,还大大提高了文件摆渡的安全性。并且根据用户的访问权限,为用户提供内网和/或外网的摆渡文件夹的存储服务,实现了对文件的访问权限控制以及操作控制。
为了提高内网和外网之间的访问安全性,在本实施例中,网络隔离方法还包括:
对内网的用户端与外网的用户端之间的数据传输进行监测,判断内网的用户端和外网的用户端是否采用约定协议向外网的用户端传输数据。
若未采用约定协议,则对传输的数据进行拦截。
可选的,在本实施例中,如图5所示,可以在内网和外网之间设置一防火墙,通过防火墙对内网的用户端与外网的用户端之间的数据传输进行监测,判断内网和外网的用户端是否采用约定协议进行数据传输,若未采用约定协议,则对传输的数据进行拦截。
可选的,在本实施例中,约定协议可以是远程显示协议(Remote DisplayProtocol,RDP),内网与外网络中的所有终端设备之间的数据传输,除了采用RDP协议进行传输的数据外,采用其他协议进行传输的数据一律被防火墙阻断。
例如,当位于内网中的用户端通过外网的桌面服务访问外网时,也只有采用RDP协议才可进行数据传输,而采用其他协议的数据,则会被拦截。
为了保证网络隔离的可靠性,在本实施例中,对提供的远程桌面服务(外网的桌面服务以及内网的桌面)采用禁用RDP协议剪切板,确保内网中与外网中的终端设备除RDP协议外不可进行数据交互传输。
需要说明的是,在本实施例中,防火墙对文件的同步不进行阻断,即对外网的摆渡文件夹中的文件同步到内网的摆渡文件夹中的过程不进行阻断。可选的,可将文件传输服务器40的地址加入白名单,如此,防火墙可对文件的同步不进行阻断。
本实施例所提供的网络隔离方法,通过逻辑隔离的虚拟环境来生成内网或者外网的隔离桌面服务,可以在单台终端设备上实现内外网的访问且满足内外网逻辑隔离要求,大大提高了内外网隔离要求下的操作便捷性和工作效率,并且节约了成本。同时,通过对摆渡文件夹的监控,将外网的摆渡文件夹与内网的摆渡文件夹进行对比,实现了文件的自动摆渡以及摆渡方向的控制。
基于同一发明构思,请结合参阅图6,本实施例还提供一种网络隔离方法,应用于网络隔离系统,所述网络隔离系统包括用户端和服务端;所述方法包括步骤S1至步骤S4。
步骤S1:用户端向服务端发送访问请求。
步骤S2:服务端对访问请求进行验证,判断用户端是否可以接入内网和/或外网。
步骤S3:若可以接入内网,服务端向用户端提供内网的桌面服务,若可以接入外网,服务端向用户端提供外网的桌面服务。
步骤S4:用户端根据服务端提供的内网的桌面服务,访问内网,和/或,根据服务端提供的外网的桌面服务,访问外网。
本发明实施例提供的网络隔离方法,服务端100通过对访问请求进行验证,判断用户端是否可以接入内网和/或外网,在用户端可以接入内网的情况下,则向用户端提供内网的桌面服务,以使用户端通过内网的桌面服务接入内网,在用户端可以接入外网的情况下,则向用户端提供外网的桌面服务,以使用户端通过外网的桌面服务接入外网,如此,无需通过设备间的切换,即可实现内外网络的隔离,操作简便且安全性高。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述应用于网络隔离系统的方法的具体工作过程,可以参考前述应用于服务端100的方法中的对应过程,在此不再过多赘述。
在上述基础上,请结合参阅图7,本实施例提供一种网络隔离装置150,应用于服务端100,所述装置包括信息接收模块151、信息验证模块152以及服务提供模块153。
信息接收模块151用于接收用户端发送的访问请求。
信息验证模块152用于对访问请求进行验证,判断用户端是否可以接入内网和/或外网。
若用户端可以接入所述内网,服务提供模块153用于向用户端提供内网的桌面服务,以使用户端通过内网的桌面服务接入内网;若用户端可以接入外网,服务提供模块153用于向用户端提供外网的桌面服务,以使用户端通过外网的桌面服务接入外网。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述应用于网络隔离装置150的具体工作过程,可以参考前述应用于服务端100的方法中的对应过程,在此不再过多赘述,网络隔离装置150的各模块可以执行应用于服务端100的方法中的相应过程。
在上述基础上,本实施例还提供一种网络隔离系统,包括用户端和服务端100。
用户端用于向服务端100发送访问请求。
服务端100用于对访问请求进行验证,判断用户端是否可以接入内网和/或外网。
若可以接入内网,服务端100用于向用户端提供内网的桌面服务,若可以接入外网,服务端100用于向用户端提供外网的桌面服务。
用户端用于根据服务端100提供的内网的桌面服务访问内网,和/或,根据服务端100提供的外网的桌面服务访问外网。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述应用于网络隔离系统的具体工作过程,可以参考前述应用于服务端100的方法中的对应过程,在此不再过多赘述。
在上述基础上,本实施例还提供一种可读存储介质140,所述可读存储介质140中存储有计算机程序,所述计算机程序被执行时实现前述实施方式任意一项所述的网络隔离方法。
综上所述,本发明实施例提供了一种网络隔离方法、装置、系统、服务端和可读存储介质,在接收用户端发送的访问请求后,对访问请求进行验证,判断用户端是否可以接入内网和/或外网,在用户端可以接入内网的情况下,则向用户端提供内网的桌面服务,以使用户端通过内网的桌面服务接入内网,在用户端可以接入外网的情况下,则向用户端提供外网的桌面服务,以使用户端通过外网的桌面服务接入外网,如此,无需通过设备间的切换,即可实现内外网络的隔离,操作简便且安全性高。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种网络隔离方法,其特征在于,应用于服务端,所述方法包括:
接收用户端发送的访问请求;
对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若所述用户端可以接入所述内网,则向所述用户端提供所述内网的桌面服务,以使所述用户端通过所述内网的桌面服务接入所述内网;
若所述用户端可以接入所述外网,则向所述用户端提供所述外网的桌面服务,以使所述用户端通过所述外网的桌面服务接入所述外网。
2.根据权利要求1所述的网络隔离方法,其特征在于,所述服务端存储有每个用户端的账号信息与访问权限的对应关系;所述用户端的访问请求包括所述用户端的账号信息;所述对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网的步骤,包括:
根据所述用户端的账号信息,查找所述用户端的访问权限;
根据所述用户端的访问权限,判断所述用户端是否可以接入内网和/或外网。
3.根据权利要求2所述的网络隔离方法,其特征在于,在判断所述用户端是否可以接入内网和/或外网之后,所述方法还包括:
根据所述用户端的访问权限,向所述用户端提供内网和/或外网的摆渡文件夹的存储服务。
4.根据权利要求3所述的网络隔离方法,其特征在于,在向所述用户端提供内网和/或外网的摆渡文件夹的存储服务之后,所述方法还包括:
将所述外网的摆渡文件夹与所述内网的摆渡文件夹进行对比,判断所述外网的摆渡文件夹是否存在文件变更;
若存在文件变更,将变更的文件同步到所述内网的摆渡文件夹。
5.根据权利要求1所述的网络隔离方法,其特征在于,所述方法还包括:
对所述内网的用户端与所述外网的用户端之间的数据传输进行监测,判断所述内网的用户端和所述外网的用户端是否采用约定协议进行传输数据;
若未采用所述约定协议,则对传输的数据进行拦截。
6.一种网络隔离方法,其特征在于,应用于网络隔离系统,所述网络隔离系统包括用户端和服务端;所述方法包括:
所述用户端向所述服务端发送访问请求;
所述服务端对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若可以接入所述内网,所述服务端向所述用户端提供所述内网的桌面服务,若可以接入所述外网,所述服务端向所述用户端提供所述外网的桌面服务;
所述用户端根据所述服务端提供的内网的桌面服务,访问内网,和/或,根据所述服务端提供的外网的桌面服务,访问外网。
7.一种网络隔离装置,其特征在于,应用于服务端,所述装置包括信息接收模块、信息验证模块以及服务提供模块;
所述信息接收模块用于接收用户端发送的访问请求;
所述信息验证模块用于对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若所述用户端可以接入所述内网,所述服务提供模块用于向所述用户端提供所述内网的桌面服务,以使所述用户端通过所述内网的桌面服务接入所述内网;若所述用户端可以接入所述外网,所述服务提供模块用于向所述用户端提供所述外网的桌面服务,以使所述用户端通过所述外网的桌面服务接入所述外网。
8.一种网络隔离系统,其特征在于,包括用户端和服务端;
所述用户端用于向所述服务端发送访问请求;
所述服务端用于对所述访问请求进行验证,判断所述用户端是否可以接入内网和/或外网;
若所述用户端可以接入所述内网,所述服务端用于向所述用户端提供所述内网的桌面服务,若所述用户端可以接入所述外网,所述服务端用于向所述用户端提供所述外网的桌面服务;
所述用户端用于根据所述服务端提供的内网的桌面服务访问内网,和/或,根据所述服务端提供的外网的桌面服务访问外网。
9.一种服务端,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-5任意一项所述的网络隔离方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序被执行时实现权利要求1-5任意一项所述的网络隔离方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011352214.7A CN112448957B (zh) | 2020-11-27 | 2020-11-27 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011352214.7A CN112448957B (zh) | 2020-11-27 | 2020-11-27 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112448957A true CN112448957A (zh) | 2021-03-05 |
| CN112448957B CN112448957B (zh) | 2023-04-25 |
Family
ID=74737581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011352214.7A Active CN112448957B (zh) | 2020-11-27 | 2020-11-27 | 网络隔离方法、装置、系统、服务端和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112448957B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113704781A (zh) * | 2021-07-23 | 2021-11-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN113965395A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种实时安全访问内网的方法、系统及装置 |
| CN113965376A (zh) * | 2021-10-21 | 2022-01-21 | 合肥城市云数据中心股份有限公司 | 一种基于数据隔离平台的云主机远程数据通信方法 |
| CN114257580A (zh) * | 2021-12-22 | 2022-03-29 | 北京博思致新互联网科技有限责任公司 | 边界网闸无感交互方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN101820449A (zh) * | 2010-04-20 | 2010-09-01 | 江苏电力调度通信中心 | 跨安全区应用服务隔离平台 |
| CN102685136A (zh) * | 2012-05-18 | 2012-09-19 | 深信服网络科技(深圳)有限公司 | 一种多网络环境隔离方法及终端 |
| CN103455767A (zh) * | 2013-09-10 | 2013-12-18 | 李传双 | 一种多网络安全隔离的系统与方法 |
| CN103546478A (zh) * | 2013-10-30 | 2014-01-29 | 国家信息中心 | 内外网安全接入方法及系统 |
| CN105162762A (zh) * | 2015-07-29 | 2015-12-16 | 深圳市深信服电子科技有限公司 | 网络隔离方法、装置和系统 |
| CN107294959A (zh) * | 2017-06-06 | 2017-10-24 | 国家电网公司 | 内外网通信的方法、装置及系统 |
| CN107770160A (zh) * | 2017-09-30 | 2018-03-06 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN108243413A (zh) * | 2016-12-23 | 2018-07-03 | 中国铁路总公司 | 一种无线接入铁路信息网络的方法及系统 |
| CN109639652A (zh) * | 2018-11-22 | 2019-04-16 | 贵州华云创谷科技有限公司 | 一种基于安全隔离的网间数据访问的方法及系统 |
| CN110581848A (zh) * | 2019-08-28 | 2019-12-17 | 广东微云科技股份有限公司 | 一种云桌面多网隔离系统和方法 |
-
2020
- 2020-11-27 CN CN202011352214.7A patent/CN112448957B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN101820449A (zh) * | 2010-04-20 | 2010-09-01 | 江苏电力调度通信中心 | 跨安全区应用服务隔离平台 |
| CN102685136A (zh) * | 2012-05-18 | 2012-09-19 | 深信服网络科技(深圳)有限公司 | 一种多网络环境隔离方法及终端 |
| CN103455767A (zh) * | 2013-09-10 | 2013-12-18 | 李传双 | 一种多网络安全隔离的系统与方法 |
| CN103546478A (zh) * | 2013-10-30 | 2014-01-29 | 国家信息中心 | 内外网安全接入方法及系统 |
| CN105162762A (zh) * | 2015-07-29 | 2015-12-16 | 深圳市深信服电子科技有限公司 | 网络隔离方法、装置和系统 |
| CN108243413A (zh) * | 2016-12-23 | 2018-07-03 | 中国铁路总公司 | 一种无线接入铁路信息网络的方法及系统 |
| CN107294959A (zh) * | 2017-06-06 | 2017-10-24 | 国家电网公司 | 内外网通信的方法、装置及系统 |
| CN107770160A (zh) * | 2017-09-30 | 2018-03-06 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN109639652A (zh) * | 2018-11-22 | 2019-04-16 | 贵州华云创谷科技有限公司 | 一种基于安全隔离的网间数据访问的方法及系统 |
| CN110581848A (zh) * | 2019-08-28 | 2019-12-17 | 广东微云科技股份有限公司 | 一种云桌面多网隔离系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈光: "基于虚拟桌面方案技术对医院内外网逻辑隔离改造的探索", 《网络安全技术与应用》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113704781A (zh) * | 2021-07-23 | 2021-11-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN113704781B (zh) * | 2021-07-23 | 2023-05-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN113965376A (zh) * | 2021-10-21 | 2022-01-21 | 合肥城市云数据中心股份有限公司 | 一种基于数据隔离平台的云主机远程数据通信方法 |
| CN113965376B (zh) * | 2021-10-21 | 2023-09-19 | 合肥城市云数据中心股份有限公司 | 一种基于数据隔离平台的云主机远程数据通信方法 |
| CN113965395A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种实时安全访问内网的方法、系统及装置 |
| CN113965395B (zh) * | 2021-10-28 | 2024-02-09 | 绿盟科技集团股份有限公司 | 一种实时安全访问内网的方法、系统及装置 |
| CN114257580A (zh) * | 2021-12-22 | 2022-03-29 | 北京博思致新互联网科技有限责任公司 | 边界网闸无感交互方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112448957B (zh) | 2023-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6782307B2 (ja) | ホストされたアプリケーションへの動的アクセス | |
| CN112448957B (zh) | 网络隔离方法、装置、系统、服务端和可读存储介质 | |
| JP6656157B2 (ja) | ネットワーク接続自動化 | |
| EP2909786B1 (en) | Controlling mobile device access to secure data | |
| US9258308B1 (en) | Point to multi-point connections | |
| CA2849911C (en) | Implementation of secure communications in a support system | |
| EP2792104B1 (en) | Automated access, key, certificate, and credential management | |
| US8543799B2 (en) | Client authentication during network boot | |
| AU2019294342B2 (en) | Unified display for virtual resources | |
| EP3179697A1 (en) | Validating the identity of a mobile application for mobile application management | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| WO2013103897A1 (en) | System and method for decentralized online data transfer and synchronization | |
| US11711214B2 (en) | Enhanced token transfer | |
| US11595426B2 (en) | Risk based virtual workspace delivery | |
| Kravets et al. | Mobile security solution for enterprise network | |
| US10447818B2 (en) | Methods, remote access systems, client computing devices, and server devices for use in remote access systems | |
| US11557016B2 (en) | Tracking image senders on client devices | |
| US20150304237A1 (en) | Methods and systems for managing access to a location indicated by a link in a remote access system | |
| US11636068B2 (en) | Distributed file locking for a network file share | |
| CN104811446A (zh) | 一种新型网络安全保护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |