CN114422214A

CN114422214A - 一种访问信息处理方法、装置、设备及计算机存储介质

Info

Publication number: CN114422214A
Application number: CN202111665558.8A
Authority: CN
Inventors: 杨峰
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2022-04-29
Anticipated expiration: 2041-12-31
Also published as: CN114422214B

Abstract

本申请实施例公开了一种访问信息处理方法，所述方法包括：获取所述终端设备中的用于访问网络的初始路由表；修改所述初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡；通过所述虚拟网卡接收用于访问外网的数据包，以执行预设操作。本申请的实施例同时还公开了一种访问信息处理装置、设备和计算机可读存储介质。

Description

一种访问信息处理方法、装置、设备及计算机存储介质

技术领域

本申请涉及通信领域中的信息处理技术，尤其涉及一种访问信息处理方法、装置、设备及计算机存储介质。

背景技术

随着互联网技术的发展，信息技术的安全性越来越被重视。目前，基于信息安全的考虑，很多企业设置了专门用于公司内部信息交互的内网，也即局域网；并且，目前的常规管控外联技术是通过设置系统防火墙或者附带网络过滤驱动等来设置外联管控访问规则的。但是，目前的这种外联管控设置方案相当于自己增加了一套防火墙系统，会极大的降低终端设备环境整体网络效率，并且还要额外监控防火墙系统的配置。

发明内容

有鉴于此，本申请实施例期望提供一种访问信息处理方法、装置、设备及计算机存储介质，解决了目前的外联管控方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，在VPN访问场景提高了终端设备环境整体网络效率。

为达到上述目的，本申请的技术方案是这样实现的：

一种访问信息处理方法，应用于虚拟专用网络VPN程序，所述方法包括：

获取所述终端设备中的用于访问网络的初始路由表；

修改所述初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡；

通过所述虚拟网卡接收用于访问外网的数据包，以执行预设操作。

可选的，所述修改所述初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡，包括：

确定所述初始路由表中的目标初始路由表项；其中，所述目标初始路由表项为访问外网服务时命中的初始路由表项；

基于目标初始路由表项，新增外联管控路由表项；其中，所述外联管控路由表项的出接口为虚拟网卡，所述新增的外联管控路由表项的优先级高于所述目标初始路由表项。

可选的，所述基于目标初始路由表项，新增外联管控路由表项；其中，所述新增的外联管控路由表项的优先级高于所述目标初始路由表项，包括：基于目标初始路由表项，新增外联管控路由表项；其中，所述外联管控路由表项与所述目标初始路由表项的相同点包括：目标网络和掩码；所述外联管控路由表项的出接口为虚拟网卡，所述外联管控路由表项的跃点数小于所述目标初始路由表项的跃点数。

可选的，所述基于目标初始路由表项，新增外联管控路由表项，包括：

在所述目标初始路由表项的配置参数满足配置条件的情况下，基于所述目标初始路由表项，新增所述外联管控路由表项。

可选的，所述方法还包括：

在所述目标初始路由表项的配置参数不满足配置条件的情况下，修改所述目标初始路由表项的配置参数，得到修改后的目标初始路由表项；

基于所述修改后的目标初始路由表项的配置参数，新增所述外联管控路由表项。

确定所述初始路由表中的目标初始路由表项；其中，所述目标初始路由表项为在访问外网服务时命中的初始路由表项；

修改所述目标初始路由表项的出接口为虚拟网卡，得到外联管控路由表项。可选的，所述方法还包括：

在所述初始路由表中增加VPN服务器访问的路由表项以及内网服务器访问的路由表项；其中，所述VPN服务器访问的路由表项用于设置访问VPN服务器时的路由项；所述内网服务器访问的路由表项用于设置访问VPN服务器后端所保护的内网服务时所需的路由项。

可选的，所述通过所述虚拟网卡接收用于访问外网的数据包，以执行预设操作，包括：

通过所述虚拟网卡接收所述用于访问外网的数据包，并对所述用于访问外网的数据包执行丢弃操作。

可选的，所述方法还包括：

监控所述终端设备中的路由表变更事件；

在监控到所述路由表中的路由表项发生路由表项修改事件的情况下，执行如下操作至少之一：

重新进行路由表项设置以实现外联管控；

VPN程序强制退出停止服务。

一种访问信息处理装置，应用于终端设备中的虚拟专用网络VPN程序，所述装置包括：获取单元和处理单元，其中：

所述获取单元，用于获取所述终端设备中的用于访问网络的初始路由表；

所述处理单元，用于修改所述初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡；

所述处理单元，还用于通过所述虚拟网卡接收用于访问外网的数据包，以执行预设操作。

一种虚拟专用网络VPN程序，所述VPN程序用于实现上述的访问信息处理方法的步骤。

一种终端设备，所述终端设备包括：处理器、存储器和通信总线；

所述通信总线用于实现处理器和存储器之间的通信连接；

所述处理器用于执行存储器中存储的VPN程序，以实现上述所述的访问信息处理方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述所述的信息处理方法的步骤。

本申请的实施例所提供的访问信息处理方法、装置、设备及计算机存储介质，用户在访问内网时，本身就要通过VPN程序设置访问内网的路由表项，将访问内网的数据包导流到虚拟网卡，虚拟网卡本身也得到了开启VPN系统时的配置参数，可以较为便利地对数据包进行操作(比如丢弃)，所以本方法在VPN程序设置操作系统路由表的时机，增加访问外网的陷阱路由项，使得外发数据落入VPN程序的虚拟网卡，从而实现对外网访问的管控，这样非常契合VPN原有系统架构，具体的方案流程是通过VPN程序执行如下步骤：获取终端设备中的用于访问网络的初始路由表，修改初始路由表的路由表项使访问外网的数据包路由至虚拟网卡，并通过虚拟网卡接收用于访问外网的数据包以执行预设操作，如此通过修改初始路由表的路由表项将用于访问外网的数据包路由至虚拟网卡，以在虚拟网卡接收用于访问外网的数据包之后执行预设操作，从而在不需要增加额外的防火墙系统的情况下，直接通过修改初始路由表来实现外联管控的目的，解决了相关技术中的外联管控设置方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，在VPN内网访问场景提高了终端设备环境整体网络效率。

附图说明

图1为本申请实施提供的一种访问信息处理方法的流程示意图；

图2为本申请实施例提供的另一种访问信息处理方法的流程示意图；

图3为本申请实施例提供的又一种访问信息处理方法的流程示意图；

图4为本申请实施例提供的一种访问信息处理装置的结构示意图；

图5为本申请实施例提供的一种终端设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请的实施例提供一种访问信息处理方法，该方法可以应用于终端设备中的虚拟专用网络(Virtual Private Network，VPN)程序，也即是如下所述的各个步骤为终端设备通过运行VPN程序执行的。参照图1所示，该方法包括以下步骤：

步骤101、获取终端设备中的用于访问网络的初始路由表。

其中，网络可以是任何可以访问的网络；也就是说，该网络可以是所有终端设备都可以正常访问的网络；当然，所有终端设备都可以正常访问的网络可以指的是在开启VPN系统之前终端设备可以访问的网络，也可以指的是开启VPN系统后终端设备可以访问的网络。

在本申请的实施例中，初始路由表可以指的是在开启VPN系统之前终端设备上设置的用来访问网络的路由表，当然也可以指开启VPN系统之后终端设备上访问网络的路由表。。

步骤102、修改初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡。

在本申请的实施例中，初始路由表中包括路由表项，该路由表项包括很多参数，如，网络名称、掩码等。外网是相对于内网而言的，内网可以为某个组织内部的网络，访问内网的数据包为对这个组织内部局域网中的设备进行访问，访问外网的数据包为对这个组织局域网以外的设备进行访问。示例地，某企业X有局域网N1，当用户访问N1中的某台服务器时，属于对内网的访问，当用户访问N1之外的服务时(如，当企业X不是百度时，用户访问的是百度的服务器)，属于对外网的访问。换句话说，将开启VPN之后终端设备能够访问的网络称为内网，对于内网之外的其他网络的访问属于外网访问VPN程序在获取到初始路由表后，可以修改初始路由表的路由表项，从而在开启VPN之后，使访问外网的数据包能够路由至虚拟网卡，以拦截访问外网且与内网无关的数据包，并对该数据包执行预设操作(比如丢弃)，从而保护内网所处组织的安全，提高组织内部员工的专注度和工作效率。

步骤103、通过虚拟网卡接收用于访问外网的数据包，以执行预设操作。

在本申请实施例中，预设操作可以基于业务需求预先设置，设置的预设操作需要不泄露内网所处组织的数据且能够保证内网所处组织的安全，如此VPN程序在接收到用于访问外网的数据包之后，就可以通过预设操作，保证该数据包不会传输至外网，从而保证内网所处组织的安全，防止内网所处组织的数据被泄露。比如，可以对任何访问外网的数据包进行丢弃；或者可以回复一些指示“访问失败”的响应报文等等，本领域技术人员可根据自身需要自行设置预设操作的具体步骤。

本申请的实施例所提供的访问信息处理方法，应用于VPN程序，用户在访问内网时，本身就要通过VPN程序设置访问内网的路由表项，将访问内网的数据包导流到虚拟网卡，虚拟网卡本身也得到了开启VPN系统时的配置参数，可以较为便利地对数据包进行操作(比如丢弃)，所以本方法在VPN程序设置操作系统路由表的时机，增加访问外网的陷阱路由项，使得外发数据落入VPN程序的虚拟网卡，从而实现对外网访问的管控，这样非常契合VPN原有系统架构，具体的方案流程是通过VPN程序执行如下步骤：获取终端设备中的用于访问网络的初始路由表，修改初始路由表的路由表项使访问外网的数据包路由至虚拟网卡，并通过虚拟网卡接收用于访问外网的数据包以执行预设操作，如此通过修改初始路由表的路由表项将用于访问外网的数据包路由至虚拟网卡，以在虚拟网卡接收用于访问外网的数据包之后执行预设操作，从而在不需要增加额外的防火墙系统的情况下，直接通过修改初始路由表来实现外联管控的目的，解决了相关技术中的外联管控设置方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，提高了终端设备环境整体网络效率。

基于前述实施例，本申请的实施例提供一种访问信息处理方法，应用于VPN程序，参照图2所示，该方法包括以下步骤：

步骤201、获取终端设备中的用于访问网络的初始路由表。

在本申请实施例中，VPN程序可以通过步骤202-步骤203来修改初始路由表的路由表项，也可以通过步骤204-步骤205来修改初始路由表的路由表项，以使访问外网的数据包路由至虚拟网卡。

步骤202、确定初始路由表中的目标初始路由表项。

其中，目标初始路由表项为访问外网服务时命中的初始路由表项。

在本申请实施例中，在VPN程序执行本申请所限定的步骤时，有可能已经存在很多个之前生成的用于访问内网的路由表项，之前生成的用于访问内网的路由表项和用于访问外网的路由表项都可以认为是初始路由表项，因此初始路由表中可以包括多个初始路由表项，需要从这多个初始路由表项中确定出用于访问外网的路由表项，并将确定出的用于访问外网的路由表项作为目标初始路由表项。当然，初始路由表里面的各个路由表项可能均是访问外网的，此时初始路由表中的路由表项均是目标初始路由表项。在本申请实施例中，目标初始路由表项的出接口均为真实物理网卡，由此才能够实现网络访问。

在本申请实施例中，初始路由表可以如下表1所示；即初始路由表中可以包括两个路由表项，但是一般用来访问外网的访问请求走的是默认路由表项0.0.0.0；对于访问的网络对应的掩码位数高的访问请求，可以走掩码为255.255.255.0、目标网络为192.168.0.0、出接口为eth0以及跃点数为10的路由表项；因为，该掩码为255.255.255.0的路由表项的掩码比另一个路由表项的掩码高，从而使得该路由表项的优先级高于另一个路由表项的优先级。并且，初始路由表会将用于访问外网的访问请求路由至真实网卡，以便实现成功访问外网。

目标网络	掩码	下一跳跃	出接口	跃点数
					0.0.0.0	0.0.0.0	192.168.0.1	eth0	10
192.168.0.0	255.255.255.0	……	eth0	10

表1

步骤203、基于目标初始路由表项，新增外联管控路由表项。

其中，外联管控路由表项的出接口为虚拟网卡，外联管控路由表项优先级高于目标初始路由表项，以使得访问外网的数据包会选择优先级更高的外联管控路由表项进行路由，导流至虚拟网卡，实现外联管控。当然本申请可以并不对所有的外网访问都进行管控，所以可以仅仅设置希望管控的外网访问的路由表项。比如，当我们需要对目标网络为192.168.1.0，掩码是255.255.255.0的网络进行管控时，基于表1中的目标初始路由表项，可知：访问192.168.1.0网络的数据包会命中表1的第一条路由表项，此时，可以新增一条外联管控路由表项，如表2所示：

目标网络	掩码	下一跳跃	出接口	跃点数
					192.168.1.0	255.255.255.0	……	veth0	18

表2

此时，由于该新增的外联管控路由表项的掩码比表1中第一条路由表项掩码高，因此，该新增的外联管控路由表项具有更高的优先级，因此访问访问192.168.1.0网络的数据包会被导流到veth0，即虚拟网卡。

当然，对于无需管控的访问外网数据包，可不设置外联管控路由表项，此时基于目标初始路由表项实现网络访问即可。

其中，步骤203可以通过以下方式来实现：基于目标初始路由表项，新增外联管控路由表项。

其中，外联管控路由表项与目标初始路由表项的相同点包括：目标网络和掩码；外联管控路由表项的出接口为虚拟网卡，外联路由表项的跃点数小于目标初始路由表项的跃点数。

在本申请实施例中，外联管控路由表项的优先级高于目标初始路由表项的优先级。VPN程序可以基于目标初始路由表项的目标网格、掩码和跃点数确定外联管控路由表项，并且确定出的外联管控路由表项的目标网格和掩码均与目标初始路由表项的目标网格和掩码相同，但确定出的外联管控路由表项的出接口以及跃点数与目标初始路由表项的目标网格和掩码不同。

作为一种可实现的方式，VPN程序可以基于目标初始路由表项的配置参数的目标网络确定外联管控路由表项的配置参数的目标网络，基于配置参数的掩码，基于目标初始路由表项的配置参数的跃点数确定外联管控路由表项的配置参数的跃点数，从而确定外联管控路由表项。需要说明的是，新增外联管控路由表项是在已有的路由表项的基础上新增加的，并且在确定外联管控路由表项时需要考虑外联管控路由表项的优先级与目标初始路由表项的优先级之间的关系。

在本申请实施例中VPN程序在执行完步骤203之后，可以执行步骤206。

此外，在本申请实施例中，基于目标初始路由表项，新增外联管控路由表项的其中一种实现方式是：新增外联管控路由表项与目标初始路由表项的目标网络、掩码完全相同，但出接口为虚拟网卡，跃点数要少于相应的目标初始路由表项。

比如，如表1所示的目标初始路由表项有2条，则可以新增2条外联管控路由表项，如

表3所示：

目标网络	掩码	下一跳跃	出接口	跃点数
					0.0.0.0	0.0.0.0	192.168.0.1	veth0	9
192.168.0.0	255.255.255.0	……	veth0	9

表3

新增的第一条外联管控路由表项和表1的第一条初始路由表项相比，具有相同的目标网络、掩码，但出接口为虚拟网卡，且跃点数要更小，从而保证该新增的外联管控路由表项的优先级大于表1的第一条优先级。

新增的第二条外联管控路由表项和表1的第二条初始路由表项相比，具有相同的目标网络、掩码，但出接口为虚拟网卡，且跃点数要更小，从而保证该新增的外联管控路由表项的优先级大于表1的第二条优先级。

在这种情况下，会使得所有访问外网的数据包都会导流到虚拟网卡。

当然，虽然目标初始路由表项为2条，但我们也可以仅仅增加1条外联管控路由表项如

表4所示，或者下表5所示：

目标网络	掩码	下一跳跃	出接口	跃点数
					0.0.0.0	0.0.0.0	192.168.0.1	veth0	9

表4

目标网络	掩码	下一跳跃	出接口	跃点数
					192.168.0.0	255.255.255.0	……	veth0	9

表5

在这种设置下，仅仅会使得部分访问外网的数据包会导流到虚拟网卡进行管控。

本领域技术人员应该了解，具体如何设置外联管控路由表项，取决于需要管控的外网网段具体是哪一个，然后基于目标初始路由表项设置相应的外联管控路由表项。

步骤204、确定初始路由表中的目标初始路由表项。

其中，目标初始路由表项为在访问外网服务时命中的初始路由表项。

步骤205、修改目标初始路由表项的出接口为虚拟网卡，得到外联管控路由表项。

在本申请实施例中，VPN程序可以将目标初始路由表项的出接口修改为虚拟网卡，示例地，可以将表1中的掩码为255.255.255.0的路由表项的出接口由真实网卡(eth0)修改为虚拟网卡(veth0)，将表1中的掩码为0.0.0.0的默认路由表项的出接口由真实网卡修改为虚拟网卡，也就可以得到外联管控路由表项。需要说明的是，基于修改目标初始路由表项的出接口为虚拟网卡得到外联管控路由表项是在已有的路由表项的基础上通过修改目标初始路由表项的出接口得到的。

在本申请实施例中，VPN程序在执行完步骤205之后，可以执行步骤206。

步骤206、通过虚拟网卡接收用于访问外网的数据包，并对用于访问外网的数据包执行丢弃操作。

在本申请实施例中，VPN程序在已经开启SSLVPN系统的情况下，在VPN程序要外发数据包时，基于路由表来判断该要外发的数据包需要导流到哪里，如果该数据包是用于访问外网的，此时就可以通过目标路由表中的外联管控路由表项将该数据包路由至虚拟网卡，然后通过虚拟网卡接收该数据包，并对该数据包执行丢弃操作，以保证该数据包不会传输至外网，从而保证内网所处组织的安全，防止内网所处组织的数据被泄露。

需要说明的是，本实施例中与其它实施例中相同步骤和相同内容的说明，可以参照其它实施例中的描述，此处不再赘述。

本申请的实施例所提供的访问信息处理方法，通过修改初始路由表的路由表项将用于访问外网的数据包路由至虚拟网卡，以在虚拟网卡接收用于访问外网的数据包之后执行预设操作，该方法基于实现内网访问的VPN程序实现，从而在不需要增加额外的防火墙系统的情况下，直接通过修改初始路由表来实现外联管控的目的，解决了相关技术中的外联管控设置方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，提高了终端设备环境整体网络效率。

基于前述实施例，本申请的实施例提供一种访问信息处理方法，应用于VPN程序，参照图3所示，该方法包括以下步骤：

步骤301、获取VPN程序中的用于访问网络的初始路由表。

在本申请实施例中，VPN程序可以通过步骤302-步骤305来修改初始路由表的路由表项，也可以通过步骤306-步骤307来修改初始路由表的路由表项，以使访问外网的数据包路由至虚拟网卡。

步骤302、确定初始路由表中的目标初始路由表项。

在本申请实施例中，VPN程序在目标初始路由表项的配置参数满足配置条件的情况下，执行步骤303；在目标初始路由表项的配置参数不满足配置条件的情况下，执行在步骤304-步骤305:

步骤303、在目标初始路由表项的配置参数满足配置条件的情况下，基于目标初始路由表项，新增外联管控路由表项。

在本申请实施例中，配置参数可以指的是路由表中包括的一些基本参数；在一种可行的实现方式中，如表1所示，配置参数可以包括：目标网络、掩码、下一跳跃、出接口和跃点数等。配置条件可以指的是配置参数的值是否满足预设数值；在一种可行的实现方式中，配置条件具体可以指的是配置参数中的跃点数是否大于1，这种情况下，若目标初始路由表项的配置参数的跃点数大于1，则可以认为目标初始路由表项的配置参数满足配置条件。这种情况下，VPN程序可以基于目标初始路由表项的配置参数的掩码和跃点数确定外联管控路由表项，基于目标初始路由表项的配置参数的掩码和跃点数确定外联管控路由表项的过程可以参照步骤203的描述，此处不再赘述。

在本申请实施例中，VPN程序在执行完步骤303之后，可以执行步骤308。

步骤304、在目标初始路由表项的配置参数不满足配置条件的情况下，修改目标初始路由表项的配置参数，得到修改后的目标初始路由表项。

在本申请实施例中，在配置条件指的是配置参数中的跃点数是否大于1的情况下，若目标初始路由表项的配置参数的跃点数小于或等于1时，则可以认为目标初始路由表项的配置参数不满足配置条件。这种情况下，可以修改目标初始路由表项的配置参数，示例地，若目标初始路由表项的配置参数的跃点数等于1，则可以将目标初始路由表项的配置参数的跃点数修改为大于1的值，优选地，可以将目标初始路由表项的配置参数的跃点数修改为9，如此修改后的目标初始路由表项也就满足了配置条件，接着可以执行步骤305。

步骤305、基于修改后的目标初始路由表项的配置参数，确定外联管控路由表项。

在本申请实施例中，VPN程序可以基于修改后的目标初始路由表项的配置参数的掩码和跃点数确定外联管控路由表项，基于目标初始路由表项的配置参数的掩码和跃点数确定外联管控路由表项的过程可以参照步骤203的描述，此处不再赘述。

在本申请实施例中，VPN程序在执行完步骤305之后，可以执行步骤308。

步骤306、确定初始路由表中的目标初始路由表项。

步骤307、修改目标初始路由表项的出接口为虚拟网卡，得到外联管控路由表项。

在本申请实施例中，VPN程序获取外联管控路由表项之后，在开启SSLVPN的情况下，可以执行步骤308。

步骤308、通过虚拟网卡接收用于访问外网的数据包，并对用于访问外网的数据包执行丢弃操作。

基于前述实施例，在本申请的其他实施例中，该访问信息处理方法还可以包括以下步骤：

步骤309、在初始路由表中增加VPN服务器访问的路由表项以及内网服务器访问的路由表项。

其中，VPN服务器访问的路由表项用于设置访问VPN服务器时的路由项。内网服务器访问的路由表项用于设置访问VPN服务器后端所保护的内网服务时所需的路由项。

在本申请实施例中，VPN服务器访问的路由表项是用来将访问VPN服务器的数据包路由至真实网卡，内网服务器访问的路由表项是用来将访问内网服务的数据包路由至虚拟网卡。其中，VPN服务器访问的路由表项的优先级是最高的。

在本申请实施例中，VPN服务器访问的路由表项和内网服务器访问的路由表项均可以包括目标网络、掩码、下一跳跃、出接口和跃点数等。

在本申请实施例中，在初始路由表中增加VPN服务器访问的路由表项以及内网服务器访问的路由表项之后得到的路由表可以如下表6所示，其中，表6中第一条路由表项是VPN服务器访问的路由表项，第二条路由表项和第四条路由表项是初始路由表中的路由表项，第三条路由表项和第五条路由表项是外联管控路由表项，第六条路由表项是内网服务器访问的路由表项。并且，如表6中所示，第一条路由表项(即VPN服务器访问的路VPN第二服务器地址，eth0为真实网卡，192.168.0.0为真实网卡网段，192.168.0.1为真实网卡网关，veth0为虚拟网卡，10.100.0.0为虚拟网卡网段，10.100.0.1为虚拟网卡虚拟网关地址。

表6

需要说明的是，VPN程序在初始路由表中增加VPN服务器访问的路由表项以及内网服务器访问的路由表项时，不需要考虑添加顺序和添加位置。

步骤310、监控终端设备中的路由表变更事件。

在本申请实施例中，考虑到终端设备中的路由表在设置后有可能被用户破坏，则可以通过向操作系统注册路由变化事件通知，以获得阻断路由被破坏的监测机制；其中，可以通过Win32应用程序接口(Application Programming Interface，API)的NotifyRouteChang注册路由表改变事件通知，以便在出现人为改变目标路由破坏该外联管控设定时进行监控和响应。路由表变更事件可以包括在路由表中增加了新的路由表项、删除路由表中的路由表项，或者路由表项中的配置信息被修改等，本申请实施例对此不作限定。

步骤311、在监控到路由表中的路由表项发生路由表项修改事件的情况下，执行如下操作至少之一：重新进行路由表项设置以实现外联管控；VPN程序强制退出停止服务。

在本申请实施例中，VPN程序在监控到路由表中的路由表项发生路由表项修改事件的情况下，可以重新进行路由表项设置，也可以将执行VPN程序强制退出停止服务，以保护内网的数据不会传输至外网，从而保证业务系统的安全，防止业务系统的数据泄露。

需要说明的是，针对通过VPN远程办公的员工有意无意地会泄漏公司信息的情况，采用本申请实施例中提供的访问信息处理方法可以通过增加外联管控设定，有效地避免内网信息被社交软件分享，另外能够保证企业员工专心办公，不被外网信息打扰。并且，通过增加外联管控路由表项将原发外网数据指向虚拟网卡(阻断路由)，实现了将原发外网数据全部倒流至虚拟网卡，使得内网的数据最终被丢弃，不被传输到外网，保护内网数据安全。

本申请的实施例所提供的访问信息处理方法，通过修改初始路由表的路由表项将用于访问外网的数据包路由至虚拟网卡，以在虚拟网卡接收用于访问外网的数据包之后执行预设操作，基于实现内网访问的VPN程序实现，从而在不需要增加额外的防火墙系统的情况下，直接通过修改初始路由表来实现外联管控的目的，解决了相关技术中的外联管控设置方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，提高了终端设备环境整体网络效率。

基于前述实施例，本申请的实施例提供一种访问信息处理装置，该访问信息处理装置可以应用于图1-3对应的实施例提供的访问信息处理方法中，参照图4所示，该访问信息处理装置4应用于终端设备中的VPN程序，可以包括：获取单元41和处理单元42，其中：

获取单元41，用于获取终端设备中的用于访问网络的初始路由表；

处理单元42，用于修改初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡；

处理单元42，还用于通过虚拟网卡接收用于访问外网的数据包，以执行预设操作。

在本申请其他实施例中，处理单元42还用于执行以下步骤：

确定初始路由表中的目标初始路由表项；其中，目标初始路由表项为访问外网服务时命中的初始路由表项；

基于目标初始路由表项，新增外联管控路由表项；其中，外联管控路由表项的出接口为虚拟网卡，外联管控路由表项的优先级高于目标初始路由表项。

在本申请其他实施例中，处理单元42还用于执行以下步骤：

在目标初始路由表项的配置参数满足配置条件的情况下，基于目标初始路由表项，新增外联管控路由表项。

在本申请其他实施例中，处理单元42还用于执行以下步骤：

基于目标初始路由表项的目标网格和掩码，确定外联路由表项；其中，外联路由表项的跃点数小于目标初始路由表项的跃点数。

在本申请其他实施例中，处理单元42还用于执行以下步骤：

在目标初始路由表项的配置参数不满足配置条件的情况下，修改目标初始路由表项的配置参数，得到修改后的目标初始路由表项；

基于修改后的目标初始路由表项的配置参数，确定外联管控路由表项。

在本申请其他实施例中，处理单元42还用于执行以下步骤：

确定初始路由表中的目标初始路由表项；其中，目标初始路由表项为在访问外网服务时命中的初始路由表项；

修改目标初始路由表项的出接口为虚拟网卡，得到外联管控路由表项。

在本申请其他实施例中，处理单元42还用于执行以下步骤：

在初始路由表中增加VPN服务器访问的路由表项以及内网服务器访问的路由表项；其中，VPN服务器访问的路由表项用于设置访问VPN服务器时的路由项；内网服务器访问的路由表项用于设置访问VPN服务器后端所保护的内网服务时所需的路由项。

在本申请其他实施例中，处理单元43还用于执行以下步骤：

通过虚拟网卡接收用于访问外网的数据包，并对用于访问外网的数据包执行丢弃操作。

在本申请其他实施例中，处理单元43还用于执行以下步骤：

监控终端设备中的路由表变更事件；

在监控到路由表中的路由表项发生路由表项修改事件的情况下，执行如下操作至少之一：

重新进行路由表项设置以实现外联管控；

VPN程序强制退出停止服务。

需要说明的是，本实施例中各个单元中所执行的步骤的具体实现过程，可以参照图1-3对应的实施例提供的访问信息处理方法中的实现过程，此处不再赘述。

本申请的实施例所提供的访问信息处理装置，通过修改初始路由表的路由表项将用于访问外网的数据包路由至虚拟网卡，以在虚拟网卡接收用于访问外网的数据包之后执行预设操作，从而在不需要增加额外的防火墙系统的情况下，直接通过修改初始路由表来实现外联管控的目的，解决了相关技术中的外联管控设置方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，提高了终端设备环境整体网络效率。

基于前述实施例，本申请的实施例提供一种终端设备，该终端设备可以应用于图1-3对应的实施例提供的访问信息处理方法中，参照图5所示，该终端设备3可以包括：处理器51、存储器52和通信总线53；

通信总线53用于实现处理器51和存储器52之间的通信连接；

处理器53用于执行存储器52中存储的VPN程序，以实现以下步骤：

获取终端设备中的用于访问网络的初始路由表；

修改初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡；

通过虚拟网卡接收用于访问外网的数据包，以执行预设操作。

在本申请的其它实施例中，处理器53用于执行存储器52中存储的修改初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡，以实现以下步骤：

基于目标初始路由表项，新增外联管控路由表项；其中，外联管控路由表项的出接口为虚拟网卡，新增的外联管控路由表项的优先级高于目标初始路由表项。

在本申请的其它实施例中，处理器53用于执行存储器52中存储的基于目标初始路由表项，新增外联管控路由表项；其中，新增的外联管控路由表项的优先级高于目标初始路由表项，以实现以下步骤：基于目标初始路由表项，新增外联管控路由表项；其中，外联管控路由表项与目标初始路由表项的相同点包括：目标网络和掩码；外联管控路由表项的出接口为虚拟网卡，外联管控路由表项的跃点数小于目标初始路由表项的跃点数。

在本申请的其它实施例中，处理器53用于执行存储器52中存储的基于目标初始路由表项，新增外联管控路由表项，以实现以下步骤：

在本申请的其它实施例中，处理器53用于执行存储器52中存储的VPN程序，还可以实现以下步骤：

在本申请的其它实施例中，处理器53用于执行存储器52中存储的修改初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡，还可以实现以下步骤：

在本申请的其它实施例中，处理器53用于执行存储器52中存储的通过虚拟网卡接收用于访问外网的数据包，以执行预设操作，以实现以下步骤：

监控终端设备中的路由表变更事件；

重新进行路由表项设置；

VPN程序强制退出停止服务。

需要说明的是，本实施例中处理器所执行的步骤的具体实现过程，可以参照图1-3对应的实施例提供的访问信息处理方法中的实现过程，此处不再赘述。

本申请的实施例所提供的终端设备，通过修改初始路由表的路由表项将用于访问外网的数据包路由至虚拟网卡，以在虚拟网卡接收用于访问外网的数据包之后执行预设操作，从而在不需要增加额外的防火墙系统的情况下，直接通过修改初始路由表来实现外联管控的目的，解决了相关技术中的外联管控设置方案中需要额外增加防火墙系统且还得额外监控防火墙的问题，提高了终端设备环境整体网络效率。

基于前述实施例，本申请的实施例提供一种计算机可读存储介质，该计算机可读存储介质存储有一个或者多个程序，该一个或者多个程序可被一个或者多个处理器执行，以实现如图1～3对应的实施例提供的访问信息处理方法的步骤。

需要说明的是，上述计算机可读存储介质可以是只读存储器(Read Only Memory，ROM)、可编程只读存储器(Programmable Read-Only Memory，PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory，FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory，CD-ROM)等存储器；也可以是包括上述存储器之一或任意组合的各种电子设备，如移动电话、计算机、平板设备、个人数字助理等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所描述的方法。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims

1.一种访问信息处理方法，其特征在于，应用于终端设备中的虚拟专用网络VPN程序，所述方法包括：

获取所述终端设备中的用于访问网络的初始路由表；

2.根据权利要求1所述的方法，其特征在于，所述修改所述初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡，包括：

3.根据权利要求2所述的方法，其特征在于，所述基于目标初始路由表项，新增外联管控路由表项；其中，所述新增的外联管控路由表项的优先级高于所述目标初始路由表项，包括：基于目标初始路由表项，新增外联管控路由表项；其中，所述外联管控路由表项与所述目标初始路由表项的相同点包括：目标网络和掩码；所述外联管控路由表项的出接口为虚拟网卡，所述外联管控路由表项的跃点数小于所述目标初始路由表项的跃点数。

4.根据权利要求2所述的方法，其特征在于，所述基于目标初始路由表项，新增外联管控路由表项，包括：

5.根据权利要求3所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述修改所述初始路由表的路由表项，使得访问外网的数据包路由至虚拟网卡，包括：

修改所述目标初始路由表项的出接口为虚拟网卡，得到外联管控路由表项。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述初始路由表中增加VPN服务器访问的路由表项以及内网服务访问的路由表项；其中，所述VPN服务器访问的路由表项用于设置访问VPN服务器时的路由项；所述内网服务器访问的路由表项用于设置访问VPN服务器后端所保护的内网服务时所需的路由项。

8.根据要求1-7任一所述的方法，其特征在于，所述通过所述虚拟网卡接收用于访问外网的数据包，以执行预设操作，包括：

9.根据权利要求1-7任一所述的方法，其特征在于，所述方法还包括：

监控所述终端设备中的路由表变更事件；

重新进行路由表项设置以实现外联管控；

VPN程序强制退出停止服务。

10.一种访问信息处理装置，其特征在于，应用于终端设备中的虚拟专用网络VPN程序，所述装置包括：获取单元和处理单元，其中：

11.一种虚拟专用网络VPN程序，其特征在于，所述VPN程序包括软件模块，所述软件模块用于实现权利要求1-9中任一所述的访问信息处理方法的步骤。

12.一种终端设备，其特征在于，所述终端设备包括：处理器、存储器和通信总线；

所述通信总线用于实现处理器和存储器之间的通信连接；

所述处理器用于执行存储器中存储的VPN程序，以实现权利要求1-9中任一所述的访问信息处理方法的步骤。

13.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至9中任一所述的访问信息处理方法的步骤。