CN112468455B - 用户的识别方法及装置、系统 - Google Patents
用户的识别方法及装置、系统 Download PDFInfo
- Publication number
- CN112468455B CN112468455B CN202011257218.7A CN202011257218A CN112468455B CN 112468455 B CN112468455 B CN 112468455B CN 202011257218 A CN202011257218 A CN 202011257218A CN 112468455 B CN112468455 B CN 112468455B
- Authority
- CN
- China
- Prior art keywords
- user
- firewall
- source port
- flow
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种用户的识别方法及装置、系统。其中,该方法包括:接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;依据用户信息确定经过防火墙的流量所对应的用户。本申请解决了Terminal Server多用户办公环境下用户上网流量的源IP是相同的,防火墙不能识别特定的用户,不能只根据流量源IP对每个用户的流量进行控制的技术问题。
Description
技术领域
本申请涉及通信领域,具体而言,涉及一种用户的识别方法及装置、系统。
背景技术
防火墙是网络安全的基础设备,无论是在网络的出口还是网络内部,都有大量的防火墙设备来保证网络的安全。
单点登录(Single Sign On,SSO):是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录机制。它是目前比较流行的企业业务整合的解决方案之一。
AAA:Authentication(认证)、Authorization(授权)、Accouting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。AAA一般采用C/S结构,客户端运行于网络接入服务器(Network Access Server,NAS,如防火墙、路由器等)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对服务器来说是客户端。AAA服务器的三种安全服务功能具体如下:
1)认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户。确保只有受信的用户可以访问网络资源,同时对用户行为进行管理和审计。
2)授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
3)计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
传统的网络设备,管理的基本单位是IP地址,而现代防火墙设备管理的基本单位是用户,支持基于用户的流量管理和监控功能。防火墙必须能够根据流量的某些特征(如IP地址)识别出该流量所属的用户。用户识别是防火墙的基础功能,可应用于多种场景,如用户的监控,策略的控制等。为了实现基于用户的管理,防火墙需要对上网用户的身份进行AAA认证。AAA认证就是一个将网络流量的某些特征(如IP地址)与一个具体用户建立映射关系的过程。防火墙支持的常见认证方式有以下几种:
1)本地认证:防火墙上预先配置存储了授权用户的用户名和密码。访问用户通过web认证页面等方式将标识其身份的用户名和密码发送给防火墙。防火墙使用本地存储的用户名和密码做比对和验证。整个认证过程在防火墙上进行,故称为本地认证。
2)外部认证服务器认证:访问用户通过web认证页面等将标识其身份的用户名和密码发送给防火墙。防火墙将接收到的用户名和密码发送到第三方认证服务器,验证过程在外部认证服务器上进行。常见的外部认证服务器有radius服务器、LDAP服务器和AD服务器等。
3)单点登录认证:访问用户将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将标识该认证用户的身份信息(如IP地址与用户的映射关系)发送给防火墙。防火墙只负责记录认证用户的身份信息而不参与认证过程,该方式即为防火墙的单点登录认证,典型的单点登录方式有AD单点登录等。
AD单点登录:企业已经部署了AD(Active Directory)身份验证机制,AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到防火墙。对于AD服务器上新创建的用户信息,还可以按照一定的时间间隔定时导入。以便后续管理员可以在防火墙上通过策略来控制不同用户/组对网络的访问行为。认证时,由AD服务器对访问用户进行认证,并将标识认证用户的身份信息发送到防火墙,使防火墙能够获取到用户与流量特征(如IP地址)的映射关系。访问用户通过AD服务器的认证后,就可以直接访问网络资源,无需再由防火墙进行认证。
常规的企业办公环境如图1所示,每个员工一台PC,员工直接在PC上办公和访问网络。员工通过AD服务器单点认证登录成功后,防火墙获取到每个员工的身份信息,也即用户与IP地址的映射关系。所有访问外网的流量经过防火墙,防火墙对流量进行控制。每个用户经过防火墙的流量的源IP是不同的,所以防火墙可以根据IP对每个用户的流量进行控制。
Terminal Services是Windows Server提供的终端服务功能,现已更名为远程桌面服务。一些企业基于方便管理和节约成本的考虑,使用Windows Server的TerminalServices服务,提供远程接入功能。多个用户可以通过瘦客户机接入同一台WindowsServer(即Terminal Server)办公和联网。
Terminal Server多用户办公环境如图2所示,每个员工一台Thin Client。ThinClient是一台简易系统,可以运行远程桌面服务,不能直接用来办公。员工办公时,需要通过远程桌面登陆S2:windows 2016,在S2:windows 2016上办公和上网。每个员工有不同的登陆用户名。
每个员工都通过S2:windows2016上网,所以用户上网流量的源IP(10.1.1.1)是相同的。因此根据单一IP地址到用户名的映射,不能识别特定的用户,防火墙不能只根据流量源IP对每个用户的流量进行控制。
WFP,即Windows Filtering Platform的简称,是Windows为网络数据包过滤提供的一套框架,其中包含相应的API及系统服务。WFP给网络过滤的应该提供了一种平台,可以在操作系统网络协议栈的不同层次对数据包进行处理,在数据包到达目的地址前,对数据包进行过滤或修改。
针对Terminal Server多用户办公环境下用户上网流量的源IP是相同的,防火墙不能识别特定的用户,不能只根据流量源IP对每个用户的流量进行控制问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种用户的识别方法及装置、系统,以至少解决TerminalServer多用户办公环境下用户上网流量的源IP是相同的,防火墙不能识别特定的用户,不能只根据流量源IP对每个用户的流量进行控制的技术问题。
根据本申请实施例的一个方面,提供了一种用户的识别方法,包括:接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;依据用户信息确定经过防火墙的流量所对应的用户。
可选地,依据用户信息确定经过防火墙的流量所对应的用户,包括:在防火墙本地建立用户的映射关系,映射关系至少包括:用户的IP地址、用户的用户名及分配给用户的源端口段;依据用户的映射关系确定经过防火墙的流量所对应的用户。
可选地,依据用户的映射关系确定经过防火墙的流量所对应的用户,包括:获取经过防火墙的流量的IP地址和源端口,源端口是服务器从源端口段中选择的未使用的源端口分配给流量对应的用户的;依据可分配的源端口段的端口范围和源端口段包含的端口数量计算流量的源端口所属的源端口段的起始端口;基于流量的IP地址和起始端口查找防火墙本地是否存在包括流量的IP地址和起始端口的映射关系;如果防火墙本地存在包括流量的IP地址和起始端口的映射关系,确定用户为合法用户,合法用户为可以通过其对应的流量正常访问互联网的用户;如果防火墙本地不存在包括流量的IP地址和起始端口的映射关系,确定用户为非法用户,非法用户为无法通过其对应的流量正常访问互联网的用户。
可选地,依据用户信息确定经过防火墙的流量所对应的用户之后,上述方法还包括:如果用户为合法用户,控制防火墙放行用户对应的流量,控制用户正常访问互联网;如果用户为非法用户,拒绝用户正常访问互联网。
可选地,如果源端口段中不存在未使用的源端口,服务器为用户分配新的源端口段;如果用户包括至少两个源端口段,且其中一个源端口段内的所有源端口均未被用户使用,回收所有源端口均为被用户使用的源端口段;如果用户与服务器断开连接,服务器回收为用户分配的全部源端口段;如果用户访问互联网的连接释放,服务器回收该连接使用的源端口。
根据本申请实施例的另一方面,还提供了一种用户的识别方法,包括:获取用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;将用户信息发送至防火墙,防火墙依据用户信息确定经过防火墙的流量所对应的用户。
可选地,上述方法还包括:监测用户的登录事件和注销事件,注销事件用于表征用户与服务器断开连接;如果检测到新的登录事件,增加用户节点,并为增加的用户节点设置用户信息;如果检测到注销事件,删除注销事件对应的用户节点。
可选地,将用户信息发送至防火墙之后,上述方法还包括:如果检测到用户访问互联网的连接,为该连接分配源端口,源端口是服务器从源端口段中选择的未使用的源端口分配给流量对应的用户的;如果检测到用户访问互联网的连接释放,回收该连接使用的源端口。
可选地,将用户配置信息发送至防火墙之后,上述方法还包括:如果源端口段中不存在未使用的源端口,为用户分配新的源端口段;如果用户包括至少两个源端口段,且其中一个源端口段内的所有源端口均未被用户使用,回收所有源端口均为被用户使用的源端口段;如果检测到注销事件,回收为用户分配的全部源端口段。
根据本申请实施例的另一方面,还提供了一种用户的识别系统,包括:服务器以及防火墙,其中服务器,用于在检测到登录事件后,为用户设置用户信息,并将用户信息同步至防火墙,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;防火墙,与服务器连接,用于依据用户信息确定经过防火墙的流量所对应的用户。
根据本申请实施例的另一方面,还提供了一种用户的识别装置,包括:接收模块,用于接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;确定模块,用于依据用户信息确定经过防火墙的流量所对应的用户。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的用户的识别方法。
根据本申请实施例的再一方面,还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的用户的识别方法。
在本申请实施例中,采用接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;依据用户信息确定经过防火墙的流量所对应的用户的方式,从而实现了在上述的Terminal Server多用户办公环境下,防火墙能够准确识别出不同用户的流量并实现管控的技术效果,进而解决了TerminalServer多用户办公环境下用户上网流量的源IP是相同的,防火墙不能识别特定的用户,不能只根据流量源IP对每个用户的流量进行控制技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种常规的企业办公环境的拓扑图;
图2是根据本申请实施例的一种Terminal Server多用户办公环境的拓扑图;
图3是根据本申请实施例的一种用户的识别方法的流程图;
图4是根据本申请实施例的一种基于端口范围的防火墙用户识别方法的示意图;
图5是TS-Agent软件监控连接处理的端口事件的示意图;
图6是根据本申请实施例的一种端口控制与使用状态的示意图;
图7是根据本申请实施例的一种连接绑定随机端口的示意图;
图8是根据本申请实施例的一种端口段划分示意图;
图9是根据本申请实施例的一种端口段分配示意图;
图10是根据本申请实施例的一种用户信息在TS-Agent软件和防火墙之间同步交互的流程图;
图11是根据本申请实施例的另一种用户的识别方法的流程图;
图12是根据本申请实施例的一种用户的识别系统的结构框图;
图13是根据本申请实施例的一种用户的识别装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在防火墙对用户进行识别领域,主要有以下两种方法:
第一种方法,基于IP地址的用户识别方式,通过流量的源IP来识别用户,防火墙根据IP对用户流量进行管控。
用户在防火墙本地或外部服务器上认证成功后,防火墙获取用户源IP和用户之间的映射关系,并以IP为索引存储在本地。对于经过防火墙的流量,防火墙会获取其源IP,并以该IP作为索引在本地查找是否存储有相应的IP与用户的映射项。若查找成功,则判定该流量来自某已认证的用户,放行该流量,否则阻断该流量。
针对上述第一种方法,某些场景下,例如用户通过DHCP方式获取IP,用户的IP地址不固定,存在同一个IP地址先后被不同用户使用的情况,存在安全隐患。另外,基于单一IP的用户识别方案也不能满足上述多用户共用同一IP的Terminal Server办公环境。
第二种方法,基于MAC地址的用户识别方式,通过流量的源MAC地址来识别用户,防火墙根据MAC地址对用户流量进行管控。
用户在防火墙本地或外部服务器上认证成功后,防火墙获取用户源MAC地址和用户之间的映射关系,并以MAC地址为索引下发存储在本地。对于经过防火墙的流量,防火墙会获取其源MAC,并以该MAC作为索引在本地查找是否存储有相应的MAC与用户的映射项。若查找成功,则判定该流量来自某已认证的用户,放行该流量,否则阻断该流量。
针对上述第二种方法,由于要求防火墙在认证过程中能获取用户的源MAC地址,因此受限于网路部署方式,无法做到跨三层的MAC识别。如果用户客户端与防火墙之间部署有三层设备,例如路由器,则不同用户认证时防火墙获取的都是路由器的MAC地址。在这种情况下,只要其中有一个用户认证成功,其他用户都不需要再认证,基于MAC的用户识别也就无法工作。
在上图2所示的Terminal Server多用户办公环境下:多个用户使用Thin Client,通过终端服务登录Windows Server2016,多个用户在Windows Server上上网,共用WindowsServer的源IP:10.1.1.1,上网流量经过防火墙,防火墙通过单一源IP:10.1.1.1无法识别流量对应的用户。
本发明提供了一种基于流量源端口范围的防火墙用户识别方案,使得在上述的Terminal Server多用户办公环境下,防火墙能够准确识别出不同用户的流量并实现管控。
根据本申请实施例,提供了一种用户的识别方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图3是根据本申请实施例的一种用户的识别方法的流程图,如图3所示,该方法包括如下步骤:
步骤S302,接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;
步骤S304,依据用户信息确定经过防火墙的流量所对应的用户。
为了在基于Windows的Terminal Services上识别特定用户,本发明提出了一种基于流量源端口范围的防火墙用户识别方案,如图4所示,称为Terminal Server Agent,以下简称为TS-agent功能。TS-Agent功能包含两部分:
1)安装在Windows Server上的TS-Agent软件(TS-Agent Server)
2)防火墙端的TS-Agent功能(TS-Agent Client)
其中防火墙端作为客户端,安装在Windows Server上的TS-Agent软件作为服务器端。防火墙主动向TS-Agent软件发起连接,连接成功后使用约定的同步协议交互数据信息,该方案的基本功能流程如下:
1)在Windows Server上安装TS-Agent软件;
2)多个用户使用Thin Client,通过终端服务登录Windows Server;
3)TS-Agent软件为每个用户分配一个或多个源端口段,并将端口段信息同步到防火墙上,防火墙根据同步到的端口段信息,创建源IP+端口段起始端口+用户名的映射关系;
4)各个用户在Windows Server上访问外网,源IP共用Windows Server出接口IP(10.1.1.1),源端口则按照一定的分配策略从该用户的端口段范围内分配;
5)上网流量经过防火墙,防火墙根据流量的源IP+源端口和同步到的端口段信息,识别流量到对应的用户,防火墙可以设置基于特定用户的安全策略,对特定用户的流量进行控制。
通过上述步骤,可以实现在上述的Terminal Server多用户办公环境下,防火墙能够准确识别出不同用户的流量并实现管控的技术效果。
根据本申请的一个可选的实施例,步骤S304可以通过以下方法实现:在防火墙本地建立用户的映射关系,映射关系至少包括:用户的IP地址、用户的用户名及分配给用户的源端口段;依据用户的映射关系确定经过防火墙的流量所对应的用户。
根据本申请的一个可选的实施例,依据用户的映射关系确定经过防火墙的流量所对应的用户,包括:获取经过防火墙的流量的IP地址和源端口,源端口是服务器从源端口段中选择的未使用的源端口分配给流量对应的用户的;依据可分配的源端口段的端口范围和源端口段包含的端口数量计算流量的源端口所属的源端口段的起始端口;基于流量的IP地址和起始端口查找防火墙本地是否存在包括流量的IP地址和起始端口的映射关系;如果防火墙本地存在包括流量的IP地址和起始端口的映射关系,确定用户为合法用户,合法用户为可以通过其对应的流量正常访问互联网的用户;如果防火墙本地不存在包括流量的IP地址和起始端口的映射关系,确定用户为非法用户,非法用户为无法通过其对应的流量正常访问互联网的用户。
在本申请的另一个可选的实施例中,步骤S304执行完成之后,如果用户为合法用户,控制防火墙放行用户对应的流量,控制用户正常访问互联网;如果用户为非法用户,拒绝用户正常访问互联网。
下面以图4为例,结合应用场景以一个具体的实施例对上述方法进行说明:
1)Windows 2016上安装有TS-Agent软件,上网流量源IP为10.1.1.1。防火墙端开启了TS-Agent功能并与TS-Agent软件建立了连接。TS-Agent软件将连接相关配置和端口分配相关配置同步到防火墙上。
2)用户A和B使用Thin Client通过远程桌面登录到windows 2016上。
(a)TS-Agent软件检测到登录事件,为用户A分配第一个源端口段:[2001,2100],为用户B分配第一个源端口段:[2101,2200],开始监控用户连接;
(b)TS-Agent软件通过用户信息同步协议,分别将用户A和用户B的用户名和首个源端口段同步到防火墙上;
(c)防火墙接收到同步的用户信息,在本地分别创建用户A和B的源IP+端口段起始端口+用户名的映射关系。用户A的映射关系为(10.1.1.1,2001,A),用户B的映射关系为(10.1.1.1,2101,B)。
(3)用户A和B在windows 2016服务器中上网,共用windows 2016的出口源IP:10.1.1.1。
(a)TS-Agent软件拦截连接的建立过程,并分别从用户A的端口段[2001,2100]、用户B的端口段[2101,2200]中分配一个未使用的端口,分配给用户A和用户B的连接作为源端口,例如分配给用户A的源端口为2002,分配给用户B的源端口为2105;
(b)用户A和用户B的上网流量经过防火墙,防火墙获取用户A流量的源IP为10.1.1.1,源端口为2002;获取用户B流量的源IP为10.1.1.1,源端口为2105;
(c)防火墙根据从TS-Agent软件同步到的端口配置(用户可分配端口范围、每次分配端口段大小),分别计算得到用户A流量源端口:2002所属端口段的起始端口为2001,用户B流量源端口:2105所属端口段的起始端口为2101。防火墙使用流量源IP:10.1.1.1和计算得到的端口段起始端口作为索引查找本地是否存储有相应的源IP+端口段起始端口+用户名的映射关系。查找到用户A对应的映射关系为(10.1.1.1,2001,A),用户B的映射关系为(10.1.1.1,2101,B),因此放行用户A和B的上网流量,用户A和用户B可以正常上网。
在本申请的一个可选的实施例中,如果源端口段中不存在未使用的源端口,服务器为用户分配新的源端口段;如果用户包括至少两个源端口段,且其中一个源端口段内的所有源端口均未被用户使用,回收所有源端口均为被用户使用的源端口段;如果用户与服务器断开连接,服务器回收为用户分配的全部源端口段;如果用户访问互联网的连接释放,服务器回收该连接使用的源端口。
当给用户A和B分配的首个端口段中的可用端口使用完后,TS-Agent软件分别为用户A新分配端口段[2501,2600],为用户B新分配端口段[2201,2300]。TS-Agent软件将端口段和用户信息同步到防火墙,防火墙创建相应的源IP+端口段起始端口+用户名的映射关系。
当用户A和用户B的某条上网连接释放后,TS-Agent软件回收该连接使用的端口。当用户A和用户B注销后,TS-Agent软件回收为相应用户分配的所有端口段。
下面对安装在Windows Server上的TS-Agent软件(TS-Agent Server)的功能进行介绍:
TS-Agent软件安装在Windows Terminal Server的物理机系统中,协助防火墙实现基于源IP+源端口来识别用户。TS-Agent软件包含的主要功能如下:
1.配置管理功能
TS-Agent软件提供图形界面与用户交互,接受用户的配置信息,主要的配置包括:
1)连接相关配置:如监听IP/端口、连接超时时间等;
2)端口分配相关配置:如用户可分配源端口段范围、每用户分配源端口段最大数量等;
3)调试相关配置:debug信息查询、日志信息查询等配置。
2.用户状态检测
TS-Agent软件需要能够监控远程用户的登录和注销事件,感知到用户登录状态的变化,并记录之前已经登录的用户。当监测到用户的登录事件后,增加用户结点,并对用户进行端口控制。相同账户通过多个会话登录时,多个会话视为同一用户。当监测到用户的注销事件后,若注销的是该用户的最后一个会话,则删除用户结点。
3.端口控制
TS-Agent软件基于WFP技术,监控远程登录用户socket连接的建立与关闭,实施端口段和源端口的分配回收策略,对用户的端口段和源端口进行分配和回收。TS-Agent软件的端口控制功能主要包括:
1)端口段的分配与回收
2)用户源端口分配与回收
其中端口段分配与回收策略在下文中详细介绍,这里主要介绍端口分配与回收策略。
TS-Agent软件基于WFP技术,在内核态注册两种回调函数,分别监控远程登录用户socket连接的bind和close事件。监控到bind事件后在对应的回调函数中按照端口分配策略重新分配bind端口(或不处理直接交给操作系统自动分配);监控到close事件后在相应的回调函数中按照端口回收策略回收端口。
其中监控的bind事件可以分为绑定随机端口与绑定固定端口两类。其中为绑定随机端口的连接分配和记录占用端口。对绑定固定端口的连接(绑定的端口在可用端口段范围内),记录其占用的端口。下图5所示,TS-Agent软件监控连接处理以下3类端口事件:
1)连接绑定随机端口
2)连接绑定固定端口
3)连接释放端口
如图6所示,端口控制是基于“IP+协议(TCP/UDP)”的,任意一种“IP+协议”绑定使用了某个端口,则认为该端口被占用中,不能进行回收。
具体的端口分配与释放回收策略如下:
1)连接绑定随机端口,流程如图7所示:
(a)TS-Agent软件接收并下发端口分配相关配置,每次下发新的端口相关配置,会清除端口分配记录,重新分配;
(b)用户第一次登陆时,TS-Agent软件为用户分配第一个端口段,并开始监控用户连接;
(c)在连接socket bind阶段,得到用户进程ID,查到所属用户,并从该用户可用端口段内申请端口,分配给连接;
(d)当可用端口段内无可用端口时,按照端口段分配策略申请分配新的端口段。若申请成功,则从该新端口段范围中分配一个端口。若用户最大可用端口已经使用完,则申请分配新端口段失败。此时若配置了“当用户最大可用端口使用完后,从系统源端口申请区间分配端口”,则允许操作系统从系统空间分配端口,放行该连接;否则,阻断该连接;
(e)根据分配的端口更新端口占用信息。
2)连接绑定固定端口:
(a)端口在用户端口段范围内时,更新端口占用信息,放行连接;
(b)端口不在用户端口段范围内时,直接放行连接。
3)连接释放端口时:
(a)在socket close阶段,得到用户进程ID,查到所属用户,回收端口;
(b)端口不在用户端口段内,则不做处理;
(c)端口在用户端口段内,则更新端口占用信息。
4.端口段分配
TS-Agent软件为受监控的远程登录用户分配源端口段,与端口段分配相关的几个重要配置说明如下:
1)用户可分配端口范围:可用于分配给用户连接的总端口池范围;
2)每次分配端口段大小:每次为用户分配的端口段包含的端口数量;
3)每用户分配端口段最大数:为每位用户分配端口段的最大数量;
4)系统源端口申请区间、系统保留源端口:从系统注册表中读取,不可在软件中修改。
端口段划分的示意如图8所示:
1)以“每次分配端口段大小”为分段大小,分隔“用户可分配端口范围”。最后一个端口段不足“每次分配端口段大小”时,仍视为一个端口段。
2)分隔的端口段中包含“系统源端口申请区间”、“系统保留源端口”、“自定义预留端口”中的端口时,将端口段标记为不可用端口段。
3)可用端口段总数超过1000时,提示用户不能超过1000个可用端口段,请修改配置。
端口段分配是基于用户所有流量源IP分配的,即分配给用户一个端口段后,该用户的所有流量源IP都对应使用这个端口段。分配的端口段同时包含tcp端口段和udp端口段。从总的可用端口中分配端口时,采用顺序分配的方式,避免端口段被回收后,立即分配给新的用户。端口分配示意图如图9所示:
1)以下情况分配端口段:
(a)新用户登录(端口段分配以用户为单位,多个session用同一个账户登录时,视为同一个用户)。
(b)流量源IP中某个源IP申请随机端口时,用户已分配端口段中无可用端口,且未达到可分配最大端口段数。
2)以下情况回收端口段:
(a)用户端口段内所有端口未被该用户使用,且用户剩余端口段大于等于1。
(b)用户对应会话全部注销,回收用户所有端口段。
5.信息显示
TS-Agent软件支持展示以下信息:
1)当前接入防火墙信息:防火墙IP与端口、连接状态等;
2)登录用户信息列表:用户名、登录时间、已分配端口段等;
3)登录用户信息详情:已分配端口段、已使用TCP/UDP端口、剩余TCP/UDP端口数等。
6.防火墙接入及用户信息同步功能
TS-Agent软件支持与防火墙建立TCP连接,并通过用户信息同步协议(见下文)向防火墙端同步配置、端口段等信息,支持SSL连接。
用户信息同步协议:
用户信息同步协议用于TS-Agent软件与防火墙之间的信息交互,交互报文基于TLV(tag-length-value)格式设计,交互流程与交互信息具体如下:
1)连接建立:防火墙与TS-Agent软件建立SSL连接,其中包括证书校验、版本校验、心跳保活等。
2)配置同步:TS-Agent软件向防火墙同步配置信息,防火墙可以使用相关配置进行业务控制。同步的配置信息包括:
(a)连接相关配置:如心跳保活间隔、超时时间等;
(b)端口相关配置:用户可分配端口范围、每次分配端口段大小、每用户分配端口段最大数等;
3)用户信息同步:TS-Agent软件根据远程用户登录/注销情况,将用户信息(包括用户名和分配的端口段)同步到防火墙中。防火墙根据同步到的用户信息创建/删除源IP+端口段起始端口+用户名的映射关系,进而实现对流量的识别和控制。
其中配置和用户信息可以随配置的修改、用户的上下线、端口段的分配/回收而实时同步到防火墙。TS-Agent软件与防火墙之间使用同步协议的交互流程如图10所示。
下面对防火墙端的TS-Agent功能(TS-Agent Client)进行介绍:
防火墙端的TS-Agent功能主要包括以下3部分:
1)连接维护功能:与安装在Windows Server上的TS-Agent软件建立连接,并接收同步的配置和用户信息。
2)基于端口的认证用户创建与维护:根据TS-Agent同步的用户信息(包括用户名和分配的端口段),创建/删除源IP+端口段起始端口+用户名的映射关系。
3)基于端口的用户识别功能:对于经过防火墙的流量,防火墙获取流量的源IP和源端口,并根据同步到的端口配置(用户可分配端口范围、每次分配端口段大小),计算得到流量源端口所属端口段的起始端口。防火墙端与TS-Agent软件计算可用端口段的方式完全一致,例如图8所示,防火墙同步到的用户可分配端口范围为[10000,21500],每次分配端口段大小为1000,防火墙从某流量中获取到的源端口为12500,则计算得到源端口所属端口段的起始端口为12000(所属端口段为[12000,13000])。在计算得到源端口所在端口段的起始端口后,防火墙使用流量的源IP和该起始端口作为索引查找本地是否存储有相应的源IP+端口段起始端口+用户名的映射关系。若能查找到,则能识别出该流量所属的用户,进而可以设置基于用户的安全策略,实现对该用户流量的管控。
本发明针对Terminal Server多用户办公环境下,根据单一源IP地址无法识别流量用户的问题,提供一种基于流量源端口范围的防火墙用户识别方案,使防火墙能够准确识别出不同用户的流量并实现管控。
图11是根据本申请实施例的另一种用户的识别方法的流程图,如图11所示,该方法包括:
步骤S1102,获取用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;
步骤S1104,将用户信息发送至防火墙,防火墙依据用户信息确定经过防火墙的流量所对应的用户。
需要说明的是,图11所示实施例的优选实施方式可以参见图3所示实施例的相关描述,此处不再赘述。
根据本申请的一个可选的实施例,上述方法还包括:监测用户的登录事件和注销事件,注销事件用于表征用户与服务器断开连接;如果检测到新的登录事件,增加用户节点,并为增加的用户节点设置用户信息;如果检测到注销事件,删除注销事件对应的用户节点。
根据本申请的另一个可选的实施例,步骤S1104执行完成之后,如果检测到用户访问互联网的连接,为该连接分配源端口,源端口是服务器从源端口段中选择的未使用的源端口分配给流量对应的用户的;如果检测到用户访问互联网的连接释放,回收该连接使用的源端口。
根据本申请的一个可选的实施例,步骤S1104执行完成之后,如果源端口段中不存在未使用的源端口,为用户分配新的源端口段;如果用户包括至少两个源端口段,且其中一个源端口段内的所有源端口均未被用户使用,回收所有源端口均为被用户使用的源端口段;如果检测到注销事件,回收为用户分配的全部源端口段。
图12是根据本申请实施例的一种用户的识别系统的结构框图,如图12所示,该系统包括:服务器1200以及防火墙1202,其中服务器1200,用于在检测到登录事件后,为用户设置用户信息,并将用户信息同步至防火墙1202,其中,用户信息至少包括源端口段,源端口段是服务器1200检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;
防火墙1202,与服务器1200连接,用于依据用户信息确定经过防火墙1202的流量所对应的用户。
需要说明的是,图12所示实施例的优选实施方式可以参见图3和图11所示实施例的相关描述,此处不再赘述。
图13是根据本申请实施例的一种用户的识别装置的结构框图,如图13所示,该识别装置包括:
接收模块1300,用于接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;
确定模块1302,用于依据用户信息确定经过防火墙的流量所对应的用户。
需要说明的是,图13所示实施例的优选实施方式可以参见图3所示实施例的相关描述,此处不再赘述。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的用户的识别方法。
上述非易失性存储介质用于存储执行以下功能的程序:接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;依据用户信息确定经过防火墙的流量所对应的用户。或
获取用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;将用户信息发送至防火墙,防火墙依据用户信息确定经过防火墙的流量所对应的用户。
本申请实施例还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的用户的识别方法。
上述处理器用于运行执行以下功能的程序:接收服务器发送的用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;依据用户信息确定经过防火墙的流量所对应的用户。或
获取用户信息,其中,用户信息至少包括源端口段,源端口段是服务器检测到登录事件后为用户分配的,用户通过源端口段包括的多个源端口访问互联网,登录事件用于表征用户成功连接服务器;将用户信息发送至防火墙,防火墙依据用户信息确定经过防火墙的流量所对应的用户。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,ReQK-SSWd-Only Memory)、随机存取存储器(RQK-SSWM,RQK-SSWndom QK-SSWccess Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种用户的识别方法,其特征在于,包括:
接收服务器发送的用户信息,其中,所述用户信息至少包括源端口段,所述源端口段是所述服务器检测到登录事件后为用户分配的,所述用户通过所述源端口段包括的多个源端口访问互联网,所述登录事件用于表征所述用户成功连接所述服务器;
依据所述用户信息确定经过防火墙的流量所对应的用户;
依据所述用户信息确定经过防火墙的流量所对应的用户,包括:在所述防火墙本地建立所述用户的映射关系,所述映射关系至少包括:所述用户的IP地址、所述用户的用户名及分配给所述用户的源端口段;依据所述用户的映射关系确定经过防火墙的流量所对应的用户;
依据所述用户的映射关系确定经过防火墙的流量所对应的用户,包括:获取经过所述防火墙的流量的IP地址和源端口,所述源端口是所述服务器从所述源端口段中选择的未使用的源端口分配给所述流量对应的用户的;依据可分配的所述源端口段的端口范围和所述源端口段包含的端口数量计算所述流量的源端口所属的源端口段的起始端口;基于所述流量的IP地址和所述起始端口查找所述防火墙本地是否存在包括所述流量的IP地址和所述起始端口的所述映射关系;如果所述防火墙本地存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为合法用户,所述合法用户为可以通过其对应的流量正常访问互联网的用户;如果所述防火墙本地不存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为非法用户,所述非法用户为无法通过其对应的流量正常访问互联网的用户。
2.根据权利要求1所述的方法,其特征在于,依据所述用户信息确定经过防火墙的流量所对应的用户之后,所述方法还包括:
如果所述用户为所述合法用户,控制所述防火墙放行所述用户对应的流量,控制所述用户正常访问互联网;
如果所述用户为所述非法用户,拒绝所述用户正常访问互联网。
3.根据权利要求1所述的方法,其特征在于,
如果所述源端口段中不存在未使用的源端口,所述服务器为所述用户分配新的源端口段;
如果所述用户包括至少两个源端口段,且其中一个所述源端口段内的所有源端口均未被所述用户使用,回收所有源端口均未 被所述用户使用的源端口段;
如果所述用户与所述服务器断开连接,所述服务器回收为所述用户分配的全部源端口段;
如果所述用户访问互联网的连接释放,所述服务器回收该连接使用的源端口。
4.一种用户的识别方法,其特征在于,包括:
获取用户信息,其中,所述用户信息至少包括源端口段,所述源端口段是服务器检测到登录事件后为用户分配的,所述用户通过所述源端口段包括的多个源端口访问互联网,所述登录事件用于表征所述用户成功连接所述服务器;
将所述用户信息发送至防火墙,所述防火墙依据所述用户信息确定经过所述防火墙的流量所对应的用户;
依据所述用户信息确定经过防火墙的流量所对应的用户,包括:在所述防火墙本地建立所述用户的映射关系,所述映射关系至少包括:所述用户的IP地址、所述用户的用户名及分配给所述用户的源端口段;依据所述用户的映射关系确定经过防火墙的流量所对应的用户;
依据所述用户的映射关系确定经过防火墙的流量所对应的用户,包括:获取经过所述防火墙的流量的IP地址和源端口,所述源端口是所述服务器从所述源端口段中选择的未使用的源端口分配给所述流量对应的用户的;依据可分配的所述源端口段的端口范围和所述源端口段包含的端口数量计算所述流量的源端口所属的源端口段的起始端口;基于所述流量的IP地址和所述起始端口查找所述防火墙本地是否存在包括所述流量的IP地址和所述起始端口的所述映射关系;如果所述防火墙本地存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为合法用户,所述合法用户为可以通过其对应的流量正常访问互联网的用户;如果所述防火墙本地不存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为非法用户,所述非法用户为无法通过其对应的流量正常访问互联网的用户。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
监测所述用户的登录事件和注销事件,所述注销事件用于表征所述用户与所述服务器断开连接;
如果检测到新的所述登录事件,增加用户节点,并为增加的所述用户节点设置所述用户信息;
如果检测到所述注销事件,删除所述注销事件对应的用户节点。
6.根据权利要求5所述的方法,其特征在于,将所述用户信息发送至防火墙之后,所述方法还包括:
如果检测到所述用户访问互联网的连接,为该连接分配源端口,所述源端口是所述服务器从所述源端口段中选择的未使用的源端口分配给所述流量对应的用户的;
如果检测到所述用户访问互联网的连接释放,回收该连接使用的源端口。
7.根据权利要求6所述的方法,其特征在于,将所述用户配置信息发送至防火墙之后,所述方法还包括:
如果所述源端口段中不存在未使用的源端口,为所述用户分配新的源端口段;
如果所述用户包括至少两个源端口段,且其中一个所述源端口段内的所有源端口均未被所述用户使用,回收所有源端口均未被所述用户使用的源端口段;
如果检测到所述注销事件,回收为所述用户分配的全部源端口段。
8.一种用户的识别系统,其特征在于,包括:服务器以及防火墙,其中
所述服务器,用于在检测到登录事件后,为用户设置用户信息,并将所述用户信息同步至所述防火墙,其中,所述用户信息至少包括源端口段,所述源端口段是所述服务器检测到登录事件后为用户分配的,所述用户通过所述源端口段包括的多个源端口访问互联网,所述登录事件用于表征所述用户成功连接所述服务器;
所述防火墙,与所述服务器连接,用于依据所述用户信息确定经过所述防火墙的流量所对应的用户,其中,
依据所述用户信息确定经过防火墙的流量所对应的用户,包括:在所述防火墙本地建立所述用户的映射关系,所述映射关系至少包括:所述用户的IP地址、所述用户的用户名及分配给所述用户的源端口段;依据所述用户的映射关系确定经过防火墙的流量所对应的用户;
依据所述用户的映射关系确定经过防火墙的流量所对应的用户,包括:获取经过所述防火墙的流量的IP地址和源端口,所述源端口是所述服务器从所述源端口段中选择的未使用的源端口分配给所述流量对应的用户的;依据可分配的所述源端口段的端口范围和所述源端口段包含的端口数量计算所述流量的源端口所属的源端口段的起始端口;基于所述流量的IP地址和所述起始端口查找所述防火墙本地是否存在包括所述流量的IP地址和所述起始端口的所述映射关系;如果所述防火墙本地存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为合法用户,所述合法用户为可以通过其对应的流量正常访问互联网的用户;如果所述防火墙本地不存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为非法用户,所述非法用户为无法通过其对应的流量正常访问互联网的用户。
9.一种用户的识别装置,其特征在于,包括:
接收模块,用于接收服务器发送的用户信息,其中,所述用户信息至少包括源端口段,所述源端口段是所述服务器检测到登录事件后为用户分配的,所述用户通过所述源端口段包括的多个源端口访问互联网,所述登录事件用于表征所述用户成功连接所述服务器;
确定模块,用于依据所述用户信息确定经过防火墙的流量所对应的用户,其中,
依据所述用户信息确定经过防火墙的流量所对应的用户,包括:在所述防火墙本地建立所述用户的映射关系,所述映射关系至少包括:所述用户的IP地址、所述用户的用户名及分配给所述用户的源端口段;依据所述用户的映射关系确定经过防火墙的流量所对应的用户;
依据所述用户的映射关系确定经过防火墙的流量所对应的用户,包括:获取经过所述防火墙的流量的IP地址和源端口,所述源端口是所述服务器从所述源端口段中选择的未使用的源端口分配给所述流量对应的用户的;依据可分配的所述源端口段的端口范围和所述源端口段包含的端口数量计算所述流量的源端口所属的源端口段的起始端口;基于所述流量的IP地址和所述起始端口查找所述防火墙本地是否存在包括所述流量的IP地址和所述起始端口的所述映射关系;如果所述防火墙本地存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为合法用户,所述合法用户为可以通过其对应的流量正常访问互联网的用户;如果所述防火墙本地不存在包括所述流量的IP地址和所述起始端口的所述映射关系,确定所述用户为非法用户,所述非法用户为无法通过其对应的流量正常访问互联网的用户。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质存储有程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述的用户的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011257218.7A CN112468455B (zh) | 2020-11-10 | 2020-11-10 | 用户的识别方法及装置、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011257218.7A CN112468455B (zh) | 2020-11-10 | 2020-11-10 | 用户的识别方法及装置、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468455A CN112468455A (zh) | 2021-03-09 |
| CN112468455B true CN112468455B (zh) | 2023-04-07 |
Family
ID=74825472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011257218.7A Active CN112468455B (zh) | 2020-11-10 | 2020-11-10 | 用户的识别方法及装置、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468455B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135545A (zh) * | 2014-07-24 | 2014-11-05 | 清华大学 | 一种IPv4网络中通过划分端口段共享公网地址的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108243192B (zh) * | 2018-01-11 | 2020-12-15 | 世纪龙信息网络有限责任公司 | 应用访问网络的识别方法和系统 |
| CN108494771B (zh) * | 2018-03-23 | 2021-04-23 | 平安科技(深圳)有限公司 | 电子装置、防火墙开通验证方法及存储介质 |
| US10778724B1 (en) * | 2018-06-29 | 2020-09-15 | Juniper Networks, Inc. | Scalable port range management for security policies |
-
2020
- 2020-11-10 CN CN202011257218.7A patent/CN112468455B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135545A (zh) * | 2014-07-24 | 2014-11-05 | 清华大学 | 一种IPv4网络中通过划分端口段共享公网地址的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468455A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8146160B2 (en) | Method and system for authentication event security policy generation | |
| US7698388B2 (en) | Secure access to remote resources over a network | |
| EP1273156B1 (en) | Methods and systems for managing virtual addresses for virtual networks | |
| US5550981A (en) | Dynamic binding of network identities to locally-meaningful identities in computer networks | |
| JP4168052B2 (ja) | 管理サーバ | |
| US10425419B2 (en) | Systems and methods for providing software defined network based dynamic access control in a cloud | |
| US7099904B2 (en) | Computer system for allocating storage area to computer based on security level | |
| US8122152B2 (en) | Systems and methods for network user resolution | |
| US9317671B2 (en) | System and method for shared folder creation in a network enviornment | |
| US20160352731A1 (en) | Network access control at controller | |
| JP2010521761A (ja) | リモートコンピュータリソースの動的割当に対する管理層方法及び装置 | |
| JP2008160803A (ja) | アクセス制御システム | |
| ZA200501027B (en) | Method, system and apparatus for monitoring and controlling data transfer in communication networks | |
| US20040167972A1 (en) | Apparatus and method for providing dynamic and automated assignment of data logical unit numbers | |
| CN108600207B (zh) | 基于802.1x与savi的网络认证与访问方法 | |
| CN102333099B (zh) | 一种安全控制方法和设备 | |
| CN114244651A (zh) | 一种基于云桌面的远程办公实现系统及方法 | |
| JP4081041B2 (ja) | ネットワークシステム | |
| CN112468455B (zh) | 用户的识别方法及装置、系统 | |
| JP3746782B2 (ja) | ネットワークシステム | |
| EP3836487A1 (en) | Internet access behavior management system, device and method | |
| CN108900480A (zh) | 客户端认证管理方法及装置 | |
| CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 | |
| CN114640512B (zh) | 安全服务系统、访问控制方法和计算机可读存储介质 | |
| WO2006096875A1 (en) | Smart tunneling to resources in a remote network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |