CN113824791A - 一种访问控制方法、装置、设备及可读存储介质 - Google Patents
一种访问控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113824791A CN113824791A CN202111115796.1A CN202111115796A CN113824791A CN 113824791 A CN113824791 A CN 113824791A CN 202111115796 A CN202111115796 A CN 202111115796A CN 113824791 A CN113824791 A CN 113824791A
- Authority
- CN
- China
- Prior art keywords
- target
- ztna
- connector
- intranet
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种访问控制方法、装置、设备及可读存储介质。本申请公开的方法应用于访问控制平台纳管的任一个节点,节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:获取外网终端发送的访问请求;确定访问请求访问的目标内网中的目标ZTNA连接器;将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网。本申请用ZTNA代替VPN,具有接入连接数可灵活调整等优点。同时使用访问控制平台中的任一节点作为各内网的连接中转站,能够将所有流量引流至访问控制平台,克服了终端必须基于HTTP/HTTPS协议进行访问的限制,提高了远程接入服务的通用性和灵活性。本申请提供的一种访问控制装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种访问控制方法、装置、设备及可读存储介质。
背景技术
目前,VPN(Virtual Private Network,虚拟专用网络)是当今常见的远程连接方式。几乎所有的防火墙都支持VPN接入功能,但VPN也存在许多缺点,如:接入连接数有限、会引入安全风险、限制连接位置、性能不佳等。为此,可以使用ZTNA(Zero Trust NetworkAccess,零信任网络接入)来代替VPN。但是,ZTNA基于服务端实现时,用户终端只能通过WEB来进行访问,也即:终端必须基于HTTP/HTTPS协议进行访问。因此当前ZTNA不够灵活,限制了远程接入的服务通用性。
因此,如何提高远程接入的灵活性,是本领域技术人员需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种访问控制方法、装置、设备及可读存储介质,以提高远程接入的灵活性。其具体方案如下:
第一方面,本申请提供了一种访问控制方法,应用于访问控制平台纳管的任一个节点,所述节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:
获取外网终端发送的访问请求;
确定所述访问请求访问的目标内网中的目标ZTNA连接器;
将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网。
优选地,所述获取外网终端发送的访问请求,包括:
接收引流器转发的所述访问请求;所述引流器与所述外网终端和所述节点连接,且能够收集所述外网终端向所述目标内网发起的所述访问请求。
优选地,所述确定所述访问请求访问的目标内网中的目标ZTNA连接器之前,还包括:
获取所述节点对应的DNS服务器对所述访问请求的解析结果;
若基于所述解析结果确定所述访问请求携带的域名为与所述节点连接的任一内网的域名,则执行所述确定所述访问请求访问的目标内网中的目标ZTNA连接器;将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网的步骤;否则,将所述访问请求传输至公网。
优选地,所述将所述访问请求发送至所述目标ZTNA连接器,包括:
建立所述节点与所述目标ZTNA连接器之间的SSL连接,通过所述SSL连接将所述访问请求发送至所述目标ZTNA连接器。
优选地,所述通过所述SSL连接将所述访问请求发送至所述目标ZTNA连接器之后,还包括:
通过所述SSL连接接收所述目标ZTNA连接器收集的内网响应数据;
传输所述内网响应数据至所述外网终端。
优选地,所述确定所述访问请求访问的目标内网中的目标ZTNA连接器,包括:
根据所述访问请求携带的域名确定所述目标ZTNA连接器。
优选地,所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网之前,还包括:
若所述目标内网的接入连接数不大于预设阈值,则执行所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网的步骤;否则,等待预设时长后重试。
优选地,所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网之后,还包括:
若其他内网与所述目标内网具有相同标识信息,则建立所述外网终端与所述其他内网中的目标ZTNA连接器之间的通信连接;所述其他内网与所述访问控制平台纳管的任一节点连接。
优选地,所述节点与任一个内网建立连接的过程包括:
获取任一个内网中的ZTNA连接器生成的接入码,并对所述接入码进行验证,若验证通过,则与该内网中的ZTNA连接器建立通信连接,以与该内网建立连接。
优选地,所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网之后,还包括:
根据所述目标内网中的内部应用访问配置处理所述访问请求;所述内部应用访问配置基于所述访问控制平台的租户管理端设置。
第二方面,本申请提供了一种访问控制装置,应用于访问控制平台纳管的任一个节点,所述节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:
获取模块,用于获取外网终端发送的访问请求;
确定模块,用于确定所述访问请求访问的目标内网中的目标ZTNA连接器;
传输模块,用于将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的访问控制方法。
第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的访问控制方法。
通过以上方案可知,本申请提供了一种访问控制方法,应用于访问控制平台纳管的任一个节点,所述节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:获取外网终端发送的访问请求;确定所述访问请求访问的目标内网中的目标ZTNA连接器;将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网。
可见,本申请使用访问控制平台中的任一节点作为各内网的连接中转站,使得外网终端无需非得使用WEB进行访问,并在各内网中设置ZTNA连接器,使得访问控制平台中的任一节点通过各内网中的ZTNA连接器与各内网分别连接。具体的,访问控制平台中的任一节点获取外网终端发送的访问请求,并确定访问请求访问的目标内网中的目标ZTNA连接器,从而利用目标ZTNA连接器将访问请求传输至目标内网。可见,本申请用ZTNA代替VPN使外网终端接入内网,因此可以克服VPN的各种缺点,具有接入连接数可灵活调整、允许外网终端不受信任、接入点也可以灵活调整等优点。同时,能够将外网客户端流量、WEB流量等都可以引流至访问控制平台,克服了终端必须基于HTTP/HTTPS协议进行访问的限制,提高了ZTNA的应用灵活性,也提高了远程接入服务的通用性和灵活性。
相应地,本申请提供的一种访问控制装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种访问控制方法流程图;
图2为本申请公开的一种访问控制装置示意图;
图3为本申请公开的一种电子设备示意图;
图4为本申请公开的另一种电子设备示意图;
图5为本申请公开的一种域名解析示意图;
图6为本申请公开的一种SPA流量传输路径示意图;
图7为本申请公开的另一种SPA流量传输路径示意图;
图8为本申请公开的一种ZTNA连接器的配置页面示意图;
图9为本申请公开的一种接入码示意图;
图10为本申请公开的一种ZTNA连接器接入访问控制平台的示意图;
图11、图12、图13为本申请公开的对内部应用进行访问配置的页面示意图;
图14为本申请公开的一种跨境访问流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,VPN存在许多缺点,如:接入连接数有限、会引入安全风险、限制连接位置、性能不佳等。
(1)接入连接数有限:每个防火墙或VPN集中器只能接受一定数量的并发连接,想要支持更多接入连接数,就需要更换VPN硬件。
(2)会引入安全风险:用户个人设备通过VPN接入内网后,VPN访问内部系统时,内网可能会面临安全风险。例如,如果用户的个人设备有恶意软件,则该恶意软件可能通过VPN连接内网。
(3)VPN限制连接位置:用户使用VPN时,一次只能连接到一个接入点,如果用户需要访问另一个数据中心、基于云的应用程序或云基础结构中的数据中心,则所有通信都必须通过该接入点进行转发,这可能会导致严重的用户体验和可靠性问题。
(4)VPN性能不佳:VPN客户端对于用户来说,运营起来非常麻烦。需要启动一个软件,告诉它连接到他们可能不完全理解的东西,验证,并确保它连接。只有这样,用户才能在公司网络上自动完成连接网络驱动器、访问内部网站或运行内部软件等。
VPN指:虚拟专用网络,其功能就是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
ZTNA与VPN存在很大差异,但是,ZTNA的两种实现方式(端启动ZTNA和服务启动ZTNA)各有利弊。
其中,端启动ZTNA很难在非受管设备上实现。端启动ZTNA的过程包括:安装在被授权的最终用户设备上的代理,将其安全上下文的信息发送到控制器。控制器提示设备上的用户进行身份验证,并返回允许的应用系统列表。在对用户和设备进行身份验证之后,控制器通过一个网关提供设备的连接性,该网关屏蔽了服务免受Internet的直接访问。该屏蔽作用可保护应用程序免受拒绝服务(DoS)攻击和其他威胁,而如果将它们放在传统的DMZ中,它们则将承受这些威胁。一旦控制器建立连接性,一些产品将保留在数据路径中;而其他产品则自行从数据路径中删除。
而服务启动ZTNA受限于HTTP/HTTPS协议。服务启动ZTNA的过程包括:与应用程序安装在同一网络中的连接器,建立并维护到提供者的云的出站连接(有些实现称为“由内向外”)。用户向提供者(provider)进行身份验证,以访问受保护的应用程序。反过来,提供者使用企业身份管理产品验证用户。只有验证成功后,流量才会通过提供者的云,从而将应用程序与通过代理的直接访问隔离开来。企业防火墙不需要为入站流量打开。但是,提供者的网络成为必须评估的网络安全的另一个要素。
服务启动ZTNA的优点是,终端用户的设备上不需要代理,这使得它成为非受管设备的一种有吸引力的方法。缺点是应用程序的协议必须基于HTTP/HTTPS,从而限制了通过如HTTP之上安全Shell(SSH)或远程桌面协议(RDP)访问Web应用程序和协议的方式。
可见,ZTNA基于服务端实现时,用户终端只能通过WEB来进行访问,也即:终端必须基于HTTP/HTTPS协议进行访问。因此当前ZTNA不够灵活,限制了远程接入的服务通用性。为此,本申请提供了一种访问控制方案,能够提高远程接入的灵活性。
参见图1所示,本申请实施例公开了一种访问控制方法,应用于访问控制平台纳管的任一个节点,该节点通过各内网中的ZTNA连接器与各内网分别连接,包括:
S101、获取外网终端发送的访问请求。
在本实施例中,访问控制平台是一个云平台,该平台可以收集外网终端对内网的访问请求。此时不关注传输该访问请求的协议类型,也即:客户端流量、WEB流量等都可以引流至访问控制平台,从而克服终端必须基于HTTP/HTTPS协议访问ZTNA的限制。
访问控制平台可以纳管多个节点,该平台能够以任一个节点为基础对外提供云服务。因此,节点与内网中的ZTNA连接器连接,实质上就实现了访问控制平台与各内网的连接。因此内网连接任一个节点即:内网连接访问控制平台,具体可以就近连接。访问控制平台纳管的任一个节点拥有公网IP地址,互联网可以直接访问到。
具体的,基于就近连接原则使节点与内网中的ZTNA连接器连接,也就是:任一个内网中的ZTNA连接器就近连接节点。也即:内网出口处的网络设备距离哪个节点的位置近就连接哪个节点,以接入平台。
S102、确定访问请求访问的目标内网中的目标ZTNA连接器。
其中,与访问控制平台连接的任一个内网中都设有至少一个ZTNA连接器,该ZTNA连接器为访问控制平台与内网之间的通信桥梁。因此当访问控制平台获得外网终端针对内网的访问请求后,首先确定该访问请求即将要访问的目标内网中的目标ZTNA连接器,以便访问控制平台基于该目标ZTNA连接器建立外网终端与目标内网之间的通信连接。
具体的,ZTNA连接器是一个具有ZTNA服务的软件,其可以安装在内网中的任一个设备中。
ZTNA与VPN相比,存在如下优势:
(1)ZTNA支持动态可扩展:ZTNA解决方案通常基于云,这意味着无需更换硬件来扩展。通过增加或减少订阅数量,组织可以向上或向下扩展以满足其远程访问要求。
(2)ZTNA能最大限度地减少攻击面:使用ZTNA连接在默认情况下,用户不会被视为受信任的用户(因此为零信任部分)。他们只能接触到他们完成工作所需的工作,大大减少了攻击面,并最大限度地降低了安全风险。
(3)ZTNA连接可以指向多点:无论这些服务在哪里,无论是就地、云基础设施中,还是作为软件作为服务(SaaS选项提供,用户都直接通过安全通道连接到所需的服务。这既提高了性能,也提高了安全性。
(4)ZTNA客户端能够始终保持连接:由于ZTNA客户端中断用户工作流的可能性要小得多,因此他们可以一直保持连接,因此他们更难绕过,也更不需要绕过,这大大降低了安全漏洞和后门攻击风险。
(5)ZTNA连接扩展了安全边界:许多ZTNA与基于云的安全Web网关或类似的安全服务集成。这允许用户直接连接到组织外部的网站或SAAS应用程序,同时仍然保护他们免受恶意软件的侵害。
(6)ZTNA能够增强用户体验:由于ZTNA客户端能够一直保持连接,因此在ZTNA连接上工作感觉更像是在办公室工作。
本实施例使用ZTNA代替VPN使外网终端接入内网,故而本实施例也具有如上优势。ZTNA指:零信任网络接入。它将网络防御的边界缩小到单个或更小的资源组,其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限,应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问只有当资源需要的时候才授予。
其中,确定访问请求访问的目标内网中的目标ZTNA连接器,包括:根据访问请求携带的域名确定目标ZTNA连接器。也即:各个内网的域名已知,那么确定访问请求将要访问的域名,即可确定相应内网中的ZTNA连接器。
S103、将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网。
本实施例使用访问控制平台作为外网终端与内网之间的转接平台,同时使用ZTNA实现外网接入,不仅克服了ZTNA基于服务启动的协议类型限制,还保护了内网的安全性,具备连接数可动态调整、减少攻击面、连接点随机灵活、可持续稳定连接等优点,增强了用户体验。
本实施例使用访问控制平台作为各内网的连接中转站,使得外网终端无需非得使用WEB进行访问,并在各内网中设置ZTNA连接器,使得访问控制平台通过各内网中的ZTNA连接器与各内网分别连接。具体的,访问控制平台中的任一节点获取外网终端发送的访问请求,并确定访问请求访问的目标内网中的目标ZTNA连接器;利用目标ZTNA连接器将访问请求传输至目标内网。
可见,本实施例用ZTNA代替VPN使外网终端接入内网,因此可以克服VPN的各种缺点,具有接入连接数可灵活调整、允许外网终端不受信任、接入点也可以灵活调整等优点。同时,能够将外网客户端流量、WEB流量等都可以引流至访问控制平台,克服了终端必须基于HTTP/HTTPS协议接入内网的限制,提高了ZTNA的应用灵活性,也提高了远程接入服务的通用性和灵活性。
下面对本申请实施例提供的一种访问控制装置进行介绍,下文描述的一种访问控制装置与上文描述的一种访问控制方法可以相互参照。
参见图2所示,本申请实施例公开了一种访问控制装置,应用于访问控制平台纳管的任一个节点,节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:
获取模块201,用于获取外网终端发送的访问请求;
确定模块202,用于确定访问请求访问的目标内网中的目标ZTNA连接器;
传输模块203,用于将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网。
在一种具体实施方式中,获取模块具体用于:
接收引流器转发的访问请求;引流器与外网终端和节点连接,且能够收集外网终端向目标内网发起的访问请求。
在一种具体实施方式中,还包括:
域名确定模块,用于获取节点对应的DNS服务器对访问请求的解析结果;若基于解析结果确定访问请求携带的域名为与节点连接的任一内网的域名,则执行确定访问请求访问的目标内网中的目标ZTNA连接器;将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网的步骤;否则,将访问请求传输至公网。
在一种具体实施方式中,传输模块具体用于:
建立节点与目标ZTNA连接器之间的SSL连接,通过SSL连接将访问请求发送至目标ZTNA连接器。
在一种具体实施方式中,还包括:
响应返回模块,用于通过SSL连接接收目标ZTNA连接器收集的内网响应数据;传输内网响应数据至外网终端。
在一种具体实施方式中,确定模块具体用于:
根据访问请求携带的域名确定目标ZTNA连接器。
在一种具体实施方式中,还包括:
接入连接数调整模块,用于若目标内网的接入连接数不大于预设阈值,则执行将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网的步骤;否则,等待预设时长后重试。
在一种具体实施方式中,还包括:
通信连接模块,用于若其他内网与目标内网具有相同标识信息,则建立外网终端与其他内网中的目标ZTNA连接器之间的通信连接;其他内网与访问控制平台纳管的任一节点连接。
在一种具体实施方式中,访问控制平台还包括:ZTNA连接器接入模块,该ZTNA连接器接入模块具体用于:
获取任一个内网中的ZTNA连接器生成的接入码,并对接入码进行验证,若验证通过,则与该内网中的ZTNA连接器建立通信连接,以与该内网建立连接。
在一种具体实施方式中,还包括:
访问控制模块,用于根据目标内网中的内部应用访问配置处理访问请求;内部应用访问配置基于访问控制平台的租户管理端设置。
其中,关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本实施例提供了一种访问控制装置,该装置用ZTNA代替VPN,因此具有接入连接数可灵活调整、允许外网终端不受信任、接入点也可以灵活调整等优点。同时使用访问控制平台作为各内网的连接中转站,能够将所有流量引流至访问控制平台,克服了终端必须基于HTTP/HTTPS协议进行访问的限制,提高了远程接入服务的通用性和灵活性。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的一种电子设备与上文描述的一种访问控制方法及装置可以相互参照。
参见图3所示,本申请实施例公开了一种电子设备,包括:
存储器301,用于保存计算机程序;
处理器302,用于执行所述计算机程序,以实现上述任意实施例公开的方法。
请参考图4,图4为本实施例提供的另一种电子设备示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processingunits,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在电子设备301上执行存储介质330中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在图4中,应用程序342可以是执行访问控制方法的程序,数据344可以是执行访问控制方法所需的或产生的数据。
上文所描述的访问控制方法中的步骤可以由电子设备的结构实现。
下面对本申请实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种访问控制方法、装置及设备可以相互参照。
一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的访问控制方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
基于上述任意实施例,需要说明的是,获取外网终端发送的访问请求,包括:接收引流器转发的访问请求;引流器与外网终端和节点连接,且能够收集外网终端向目标内网发起的访问请求。
其中,引流器可以为硬件路由器,引流器是终端和节点之间的桥梁,其可以收集外网终端针对内网的流量数据。引流器可以支持部署路由、网桥模式。路由模式部署时使用L2TP进行隧道流量引流,网桥模式部署时使用私有的RT协议(封装额外的IP头)进行引流。
本申请提供的访问控制平台纳管有多个节点,这些节点分布于各个地区、省市。外网终端在连接节点时,按照外网终端地理位置与附近节点之间的距离就近连接。一个节点可以看作一个服务器。
具体的,任一个节点拥有公网IP地址,互联网可以直接访问到,其对外提供功能服务。可见,访问控制平台实际上是基于节点获取用户访问内网的流量。
需要说明的是,确定访问请求访问的目标内网中的目标ZTNA连接器之前,还包括:获取节点对应的DNS服务器对访问请求的解析结果;若基于解析结果确定访问请求携带的域名为与节点连接的任一内网的域名,则执行确定访问请求访问的目标内网中的目标ZTNA连接器;将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网的步骤;否则,将访问请求传输至公网。
其中,DNS服务器一般可以与节点配合设置,即:一个节点可以对应设置一个DNS服务器,以便利用该DNS服务器对相应节点接收的访问请求进行域名解析。
具体的,与访问控制平台连接的所有内网的域名都收录在访问控制平台中,因此访问控制平台可以将访问请求即将要访问的域名与这些内网的域名进行对比,从而确定访问请求是否针对访问控制平台所连接的内网进行访问。
请参见图5,租户管理员可以基于访问控制平台提供的应用配置页面,配置内网中各个应用服务器的域名等信息,以使访问控制平台下发相应配置信息到各个节点的相应DNS服务器上。这样节点对应的相应DNS服务器就可以对访问请求进行域名解析,如果发现DNS请求解析的域名为内网域名,则根据应用配置回复DNS请求。如果DNS请求解析的域名非内网域名,则转发到公网。
本申请在访问控制平台配置应用来实现内网域名解析,无需将DNS请求转发内网的DNS服务器,因此可以避免内网服务器暴露到公网。此外,客户无需配置内网DNS服务器地址,简化了配置。
综上可见,访问控制平台中的各个节点用于接收终端发起的访问请求,各个DNS服务器用于对访问请求进行域名解析,引流器用于收集针对访问控制平台所连接的内网发起的访问请求。
其中,外网终端上可以安装ZTNA客户端,以使外网终端利用ZTNA客户端连接节点,从而发起访问请求。
ZTNA客户端支持SD-WAN,主要有如下功能:
(1)流量抓取:按云配置截获终端上指定类型(IP、进程等)的流量;
(2)流量引流:将截获的流量通过引流技术转发到云平台;
(3)终端业务控制:在终端处实现信任域检测,准入客户端流量抓取、准入客户端IM日志的上报等;
(4)云业务控制:接收来自云配置中心的集中管理,包含实时读取云配置、终端心跳保活检测、终端信息上报、云自动升级等;
(5)适配安全服务准入功能:保证安全服务准入功能在引流时的功能正常,包含准入控制检测,以及准入的IM日志上报等。
基于上述任意实施例,需要说明的是,将访问请求发送至目标ZTNA连接器,包括:建立节点与目标ZTNA连接器之间的SSL连接,通过SSL连接将访问请求发送至目标ZTNA连接器。
在一种具体实施方式中,通过SSL连接将访问请求发送至目标ZTNA连接器之后,还包括:通过SSL连接接收目标ZTNA连接器收集的内网响应数据;传输内网响应数据至外网终端。
可见,“外网终端-访问控制平台-ZTNA连接器-内网”这一数据传输路径实际为:外网终端-节点-ZTNA连接器-内网。其中,访问控制平台是节点的上层控制管理平台。
数据传输路径可参见图6和图7。如图6和图7所示,租户管理员基于访问控制平台提供的应用配置页面进行租户策略配置,并将该配置下发至各个节点,以使各个节点上该租户租用的各种服务完成相应配置。当外网任一客户端接入某一节点,则相应SPA流量经过该节点被转发至该客户端所访问的内网,且节点与连接器的连接信息上报给该租户的租户系统。
在图6和图7中,平台即:访问控制平台,SPA(Sangfor Private Access,一种安全服务)流量即:外网终端发起的访问请求产生的流量,内部应用服务器即:内网中的应用服务器。POP点即任一节点。
需要说明的是,节点与ZTNA连接器动态连接或静态连接。
动态连接指:有ZTNA客户端接入节点时,该节点与相应ZTNA连接器才建立连接。
静态连接指:各个节点与各个ZTNA连接器提前建立连接,有ZTNA客户端接入节点时,该节点直接与相应ZTNA连接器通信。
ZTNA客户端就近接入节点后,访问内部应用的流量即可引流到节点上,节点将数据转发给对应租户的连接器,连接器再转发至内部服务器,从而实现外网接入内网。
基于上述任意实施例,需要说明的是,可以提前为每个内网设置允许连接的最大接入连接数,从而避免内网压力过大。因此将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网之前,还包括:若目标内网的接入连接数不大于预设阈值,则执行将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网的步骤;否则,等待预设时长后重试。
基于上述任意实施例,需要说明的是,对于属于同一企业的多个内网可以用相同标识信息进行标记,当某一终端访问该企业的其中一个内网时,允许该终端与该企业的其他内网建立通信连接。因此将访问请求发送至目标ZTNA连接器,以使目标ZTNA连接器将访问请求传输至目标内网之后,还包括:若其他内网与目标内网具有相同标识信息,则建立外网终端与其他内网中的目标ZTNA连接器之间的通信连接;其他内网与访问控制平台纳管的任一节点连接,从而实现用户一次接入,可以快速访问企业所有分支的内部应用。
基于上述任意实施例,需要说明的是,访问控制平台中的任一个节点与任一个内网建立连接的过程包括:访问控制平台中的任一个节点获取任一个内网中的ZTNA连接器生成的接入码,并对接入码进行验证,若验证通过,则与该内网中的ZTNA连接器建立通信连接,以与该内网建立连接。
其中,ZTNA连接器可以由用户配置,用户配置完成后可使ZTNA连接器生成接入码。ZTNA连接器配置页面可参见图8,接入码可参见图9。在图8中,用户指定连接器分组、名称和标签后,点击“确定”按钮即可生成相应接入码。连接器分组、名称和标签由用户灵活设定。
将配置完成的ZTNA连接器接入访问控制平台的过程可参见图10。在图10中,租户管理员手动输入接入码后,访问控制平台获取该接入码,并对接入码进行验证,若验证通过,则与相应内网中的ZTNA连接器建立通信连接。同时,相应客户端需要使用账户信息完成认证,以便后续流量转发。
综合上述,租户管理员打开连接器配置页面,输入连接码,连接器会自动连接访问控制平台进行认证,认证后保持与平台通信。当客户端接入平台认证时,返回接入的节点的同时,也会通知租户的所有连接器当前的节点信息,连接器就可以连接到对应节点。
基于上述任意实施例,需要说明的是,利用目标ZTNA连接器将访问请求传输至目标内网之后,还包括:根据目标内网中的内部应用访问配置处理访问请求;内部应用访问配置基于访问控制平台的租户管理端设置。
其中,访问控制平台中的SDP组件可以实现访问权限的策略配置,以精细化管控用户访问。例如:针对内网中的财务系统、研发系统等分别设置不同的可访问用户和权限。对内部应用进行访问配置的页面可参见图11、图12、图13。
基于上述任意实施例,需要说明的是,用户跨境访问企业的内部网络时,可以在境外节点与境内节点之间建立专线网络,以保障通信带宽和时延。境外节点也纳管于访问控制平台。
请参见图14,访问时境外客户端就近接入境外节点,境外节点将SPA流量通过专线转发至境内的节点,然后转发至连接器,以访问境内的内网应用服务器。访问控制平台可以基于SASE架构实现。
本申请涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的可读存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (13)
1.一种访问控制方法,其特征在于,应用于访问控制平台纳管的任一个节点,所述节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:
获取外网终端发送的访问请求;
确定所述访问请求访问的目标内网中的目标ZTNA连接器;
将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网。
2.根据权利要求1所述的访问控制方法,其特征在于,所述获取外网终端发送的访问请求,包括:
接收引流器转发的所述访问请求;所述引流器与所述外网终端和所述节点连接,且能够收集所述外网终端向所述目标内网发起的所述访问请求。
3.根据权利要求1所述的访问控制方法,其特征在于,所述确定所述访问请求访问的目标内网中的目标ZTNA连接器之前,还包括:
获取所述节点对应的DNS服务器对所述访问请求的解析结果;
若基于所述解析结果确定所述访问请求携带的域名为与所述节点连接的任一内网的域名,则执行所述确定所述访问请求访问的目标内网中的目标ZTNA连接器;将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网的步骤;否则,将所述访问请求传输至公网。
4.根据权利要求2所述的访问控制方法,其特征在于,所述将所述访问请求发送至所述目标ZTNA连接器,包括:
建立所述节点与所述目标ZTNA连接器之间的SSL连接,通过所述SSL连接将所述访问请求发送至所述目标ZTNA连接器。
5.根据权利要求4所述的访问控制方法,其特征在于,所述通过所述SSL连接将所述访问请求发送至所述目标ZTNA连接器之后,还包括:
通过所述SSL连接接收所述目标ZTNA连接器收集的内网响应数据;
传输所述内网响应数据至所述外网终端。
6.根据权利要求1所述的访问控制方法,其特征在于,所述确定所述访问请求访问的目标内网中的目标ZTNA连接器,包括:
根据所述访问请求携带的域名确定所述目标ZTNA连接器。
7.根据权利要求1至6任一项所述的访问控制方法,其特征在于,所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网之前,还包括:
若所述目标内网的接入连接数不大于预设阈值,则执行所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网的步骤;否则,等待预设时长后重试。
8.根据权利要求1至6任一项所述的访问控制方法,其特征在于,所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网之后,还包括:
若其他内网与所述目标内网具有相同标识信息,则建立所述外网终端与所述其他内网中的目标ZTNA连接器之间的通信连接;所述其他内网与所述访问控制平台纳管的任一节点连接。
9.根据权利要求1至6任一项所述的访问控制方法,其特征在于,所述节点与任一个内网建立连接的过程包括:
获取任一个内网中的ZTNA连接器生成的接入码,并对所述接入码进行验证,若验证通过,则与该内网中的ZTNA连接器建立通信连接,以与该内网建立连接。
10.根据权利要求1至6任一项所述的访问控制方法,其特征在于,所述将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网之后,还包括:
根据所述目标内网中的内部应用访问配置处理所述访问请求;所述内部应用访问配置基于所述访问控制平台的租户管理端设置。
11.一种访问控制装置,其特征在于,应用于访问控制平台纳管的任一个节点,所述节点能够通过各内网中的ZTNA连接器与各内网分别连接,包括:
获取模块,用于获取外网终端发送的访问请求;
确定模块,用于确定所述访问请求访问的目标内网中的目标ZTNA连接器;
传输模块,用于将所述访问请求发送至所述目标ZTNA连接器,以使所述目标ZTNA连接器将所述访问请求传输至所述目标内网。
12.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至10任一项所述的访问控制方法。
13.一种可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至10任一项所述的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111115796.1A CN113824791B (zh) | 2021-09-23 | 2021-09-23 | 一种访问控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111115796.1A CN113824791B (zh) | 2021-09-23 | 2021-09-23 | 一种访问控制方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113824791A true CN113824791A (zh) | 2021-12-21 |
| CN113824791B CN113824791B (zh) | 2023-03-21 |
Family
ID=78915296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111115796.1A Active CN113824791B (zh) | 2021-09-23 | 2021-09-23 | 一种访问控制方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113824791B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448700A (zh) * | 2022-01-28 | 2022-05-06 | 杭州亿格云科技有限公司 | 数据访问方法、数据访问系统、计算机设备和存储介质 |
| CN114640672A (zh) * | 2022-02-11 | 2022-06-17 | 网宿科技股份有限公司 | 一种远程访问边缘设备的方法、设备及系统 |
| CN114745356A (zh) * | 2022-03-29 | 2022-07-12 | 深信服科技股份有限公司 | 一种域名解析方法、装置、设备及可读存储介质 |
| CN115118776A (zh) * | 2022-06-23 | 2022-09-27 | 北京字跳网络技术有限公司 | 一种应用访问方法、本地连接器部署方法及装置 |
| CN115379016A (zh) * | 2022-08-22 | 2022-11-22 | 深信服科技股份有限公司 | 资源访问方法、访问服务平台、装置、设备及存储介质 |
| WO2023246486A1 (zh) * | 2022-06-23 | 2023-12-28 | 北京字跳网络技术有限公司 | 一种创建连接器的方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111049946A (zh) * | 2019-12-24 | 2020-04-21 | 深信服科技股份有限公司 | 一种Portal认证方法、系统及电子设备和存储介质 |
| CN111970254A (zh) * | 2020-07-31 | 2020-11-20 | 上海派拉软件股份有限公司 | 访问控制及配置方法、装置、电子设备和存储介质 |
| CN112134866A (zh) * | 2020-09-15 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 业务访问控制方法、装置、系统及计算机可读存储介质 |
| US20210029119A1 (en) * | 2016-03-28 | 2021-01-28 | Zscaler, Inc. | Cloud policy enforcement based on network trust |
| CN112738047A (zh) * | 2020-12-24 | 2021-04-30 | 贝壳技术有限公司 | 一种业务系统的访问控制方法及零信任系统 |
| CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
| US20210250333A1 (en) * | 2016-05-18 | 2021-08-12 | Zscaler, Inc. | Private application access with browser isolation |
| EP3866436A1 (en) * | 2020-02-14 | 2021-08-18 | Zscaler, Inc. | Cloud access security broker systems and methods for active user identification and load balancing |
-
2021
- 2021-09-23 CN CN202111115796.1A patent/CN113824791B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210029119A1 (en) * | 2016-03-28 | 2021-01-28 | Zscaler, Inc. | Cloud policy enforcement based on network trust |
| US20210250333A1 (en) * | 2016-05-18 | 2021-08-12 | Zscaler, Inc. | Private application access with browser isolation |
| CN111049946A (zh) * | 2019-12-24 | 2020-04-21 | 深信服科技股份有限公司 | 一种Portal认证方法、系统及电子设备和存储介质 |
| EP3866436A1 (en) * | 2020-02-14 | 2021-08-18 | Zscaler, Inc. | Cloud access security broker systems and methods for active user identification and load balancing |
| CN111970254A (zh) * | 2020-07-31 | 2020-11-20 | 上海派拉软件股份有限公司 | 访问控制及配置方法、装置、电子设备和存储介质 |
| CN112134866A (zh) * | 2020-09-15 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 业务访问控制方法、装置、系统及计算机可读存储介质 |
| CN112738047A (zh) * | 2020-12-24 | 2021-04-30 | 贝壳技术有限公司 | 一种业务系统的访问控制方法及零信任系统 |
| CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
Non-Patent Citations (4)
| Title |
|---|
| 刘建华: "基于零信任架构的5G核心网安全改进研究", 《邮电设计技术》 * |
| 华西计算机团队: "细说深信服爆款新品如何炼成", 《HTTPS://PDF.DFCFW.COM/PDF/H3_AP202105191492606637_1.PDF》 * |
| 左英男等: "基于零信任架构的远程移动办公安全体系及应用研究", 《保密科学技术》 * |
| 张尔祥12189: "精益信任aTrust实施方案", 《HTTPS://BBS.SANGFOR.COM.CN/FORYN.PH?MOD=VIEWTHREAD&TID=131277》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448700A (zh) * | 2022-01-28 | 2022-05-06 | 杭州亿格云科技有限公司 | 数据访问方法、数据访问系统、计算机设备和存储介质 |
| CN114640672A (zh) * | 2022-02-11 | 2022-06-17 | 网宿科技股份有限公司 | 一种远程访问边缘设备的方法、设备及系统 |
| CN114745356A (zh) * | 2022-03-29 | 2022-07-12 | 深信服科技股份有限公司 | 一种域名解析方法、装置、设备及可读存储介质 |
| CN114745356B (zh) * | 2022-03-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种域名解析方法、装置、设备及可读存储介质 |
| CN115118776A (zh) * | 2022-06-23 | 2022-09-27 | 北京字跳网络技术有限公司 | 一种应用访问方法、本地连接器部署方法及装置 |
| WO2023246486A1 (zh) * | 2022-06-23 | 2023-12-28 | 北京字跳网络技术有限公司 | 一种创建连接器的方法及装置 |
| CN115379016A (zh) * | 2022-08-22 | 2022-11-22 | 深信服科技股份有限公司 | 资源访问方法、访问服务平台、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113824791B (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113824791B (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
| US11606338B2 (en) | Mid-link server having a plurality of access resource servers for policy control | |
| US11652792B2 (en) | Endpoint security domain name server agent | |
| US8533780B2 (en) | Dynamic content-based routing | |
| US20230133809A1 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
| US11888816B2 (en) | Localization at scale for a cloud-based security service | |
| US8560833B2 (en) | Automatic secure client access | |
| KR20180048711A (ko) | 인터넷 가능 디바이스들과의 보안 통신 | |
| US20130239181A1 (en) | Secure tunneling platform system and method | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US11595385B2 (en) | Secure controlled access to protected resources | |
| EP3811590A1 (en) | System and method for creating a secure hybrid overlay network | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
| US10911484B2 (en) | Method for providing a connection between a communications service provider and an internet protocol, IP, server, providing a service, as well as a perimeter network, comprising the IP server, and an IP server providing the service | |
| US11736516B2 (en) | SSL/TLS spoofing using tags | |
| US20240056388A1 (en) | Supporting overlapping network addresses universally | |
| WO2013072046A1 (en) | Secure tunneling platform system and method | |
| Alassouli | Configuration of Microsoft ISA Proxy Server and Linux Squid Proxy Server | |
| Simone | 9, Author retains full rights. | |
| Zhou | Comparing Dedicated and Integrated Firewall Performance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |