CN115664870B - 跨分布式节点的桌面访问方法、装置、系统以及电子设备 - Google Patents
跨分布式节点的桌面访问方法、装置、系统以及电子设备 Download PDFInfo
- Publication number
- CN115664870B CN115664870B CN202211690285.7A CN202211690285A CN115664870B CN 115664870 B CN115664870 B CN 115664870B CN 202211690285 A CN202211690285 A CN 202211690285A CN 115664870 B CN115664870 B CN 115664870B
- Authority
- CN
- China
- Prior art keywords
- distributed node
- firewall
- desktop
- distributed
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种跨分布式节点的桌面访问方法、装置、系统以及电子设备,涉及通信技术领域,该方法应用于客户端,客户端与第一分布式节点通信连接,该方法包括:在接收到防火墙转发策略添加成功的提示信息的情况下,获取第二分布式节点对应的云桌面登录信息,基于云桌面登录信息生成第二桌面登录请求,发送第二桌面登录请求至第一分布式节点,以使第一分布式节点基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面,以解决现有技术中由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,导致无法跨越分布式节点进行云桌面访问的技术问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种跨分布式节点的桌面访问方法、装置、系统以及电子设备。
背景技术
在传统的分布式体系架构中,通过在分布式体系架构的纵向边界部署防火墙来实现逻辑上的隔离,以确保整个分布式体系架构的安全性。具体地,各级防火墙隔断了跨网段IP间的访问,例如,省里面的某个IP是无法直接访问市级或者更县级单位的某个IP的,某个市级单位的IP是无法直接访问与该市级同省或者不同省的另一个市级的IP。
然而,由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,因此无法跨越分布式节点进行云桌面访问,从而无法满足云边协同以及异地登录等业务场景的应用需求。
发明内容
本发明提供一种跨分布式节点的桌面访问方法、装置、系统以及电子设备,用以解决现有技术中由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,导致无法跨越分布式节点进行云桌面访问的技术问题。
本发明提供第一种跨分布式节点的桌面访问方法,应用于客户端,所述客户端与第一分布式节点通信连接,所述方法包括:
在接收到防火墙转发策略添加成功的提示信息的情况下,获取第二分布式节点对应的云桌面登录信息,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发;
基于所述云桌面登录信息生成第二桌面登录请求,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面;
发送所述第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点。
根据本发明提供的第一种跨分布式节点的桌面访问方法,所述防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略;添加所述防火墙转发策略的步骤,包括:
基于用户选择的第二分布式节点,发送第一策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第一防火墙转发策略;
发送第一桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述第一防火墙转发策略,将所述第一桌面登录请求转发至所述第二分布式节点;
接收所述第一分布式节点转发的云桌面登录信息,所述云桌面登录信息表示所述第二分布式节点基于所述第一桌面登录请求进行用户鉴权,并添加桌面访问防火墙策略后得到的登录信息;
基于所述云桌面登录信息发送第二策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第二防火墙转发策略;
所述发送所述第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,包括:
发送第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述第二防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点。
根据本发明提供的第一种跨分布式节点的桌面访问方法,所述基于用户选择的第二分布式节点,发送第一策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第一防火墙转发策略,包括:
基于用户选择的第二分布式节点生成所述第一策略添加请求,所述第一策略添加请求用于请求在所述第一分布式节点与所述第二分布式节点之间添加所述第一防火墙转发策略;
发送所述第一策略添加请求至所述第一分布式节点,以使所述第一分布式节点进行用户鉴权认证并添加所述第一防火墙转发策略,所述第一防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
根据本发明提供的第一种跨分布式节点的桌面访问方法,所述基于所述云桌面登录信息发送第二策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第二防火墙转发策略,包括:
基于所述云桌面登录信息中所述第一分布式节点的第一IP地址、所述第二分布式节点的第二IP地址以及所述第二分布式节点对应云桌面的动态端口,生成所述第二策略添加请求;
发送所述第二策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第二防火墙转发策略,所述第二防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
本发明提供第二种跨分布式节点的桌面访问方法,应用于第一分布式节点,所述方法包括:
接收客户端发送的策略添加请求,并基于所述策略添加请求添加防火墙转发策略,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发;
发送所述防火墙转发策略添加成功的提示信息至所述客户端,并接收所述客户端发送的第二桌面登录请求,所述第二桌面登录请求基于所述第二分布式节点对应的云桌面登录信息生成;
基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面。
根据本发明提供的第二种跨分布式节点的桌面访问方法,所述防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略;所述基于所述策略添加请求添加防火墙转发策略,包括:
接收所述客户端发送的第一策略添加请求,并基于所述第一策略添加请求添加所述第一防火墙转发策略;
接收所述客户端发送的第一桌面登录请求,并基于所述第一防火墙转发策略,将所述第一桌面登录请求转发至所述第二分布式节点;
接收所述第二分布式节点发送的云桌面登录信息,并将所述云桌面登录信息转发至所述客户端;
接收所述客户端发送的第二策略添加请求,并基于所述第二策略添加请求添加所述第二防火墙转发策略;
所述基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,包括:
基于所述第二防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,以使所述第二分布式节点基于预先添加的桌面访问防火墙策略,将所述第二桌面登录请求转发至所述第二分布式节点对应云桌面的虚机IP地址。
根据本发明提供的第二种跨分布式节点的桌面访问方法,所述基于所述第一策略添加请求添加所述第一防火墙转发策略,包括:
基于所述第一策略添加请求获取所述客户端所在设备的第三IP地址,基于所述第三IP地址进行用户鉴权认证,并判断用户鉴权认证是否通过;
在确定用户鉴权认证通过的情况下,添加所述第一防火墙转发策略至第一通信通道,所述第一防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
根据本发明提供的第二种跨分布式节点的桌面访问方法,所述基于所述第二策略添加请求添加所述第二防火墙转发策略,包括:
基于所述第二策略添加请求,获取所述第一分布式节点的第一IP地址、所述第二分布式节点的第二IP地址以及分配的动态端口;
基于所述第一IP地址、所述第二IP地址以及所述动态端口,添加所述第二防火墙转发策略至第二通信通道,所述第二防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
本发明提供第三种跨分布式节点的桌面访问方法,应用于第二分布式节点,所述方法包括:
基于预先添加的第二防火墙转发策略,接收第一分布式节点转发的第二桌面登录请求,所述第二防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第二通信通道进行数据转发的防火墙策略,所述第二桌面登录请求基于所述第二分布式节点对应的云桌面登录信息生成;
基于预先添加的桌面访问防火墙策略,将所述第二桌面登录请求转发至自身分布式节点对应云桌面的虚机IP地址,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面。
根据本发明提供的第三种跨分布式节点的桌面访问方法,添加所述桌面访问防火墙策略的步骤,包括:
基于预先添加的第一防火墙转发策略,接收所述第一分布式节点转发的第一桌面登录请求,所述第一防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第一通信通道进行数据转发的防火墙策略;
基于所述第一桌面登录请求进行用户鉴权,并判断用户鉴权认证是否通过,在确定用户鉴权认证通过的情况下,控制云桌面启动,并获取分配的动态端口;
基于所述动态端口、所述第一分布式节点的第一IP地址、自身分布式节点对应云桌面的虚机IP地址,添加桌面访问防火墙策略,所述桌面访问防火墙策略用于将所述第一分布式节点传输的数据流通过所述动态端口至第二分布式节点对应云桌面的虚机IP地址。
本发明还提供一种跨分布式节点的桌面访问系统,包括客户端、第一分布式节点、第二分布式节点以及所述第二分布式节点对应的云桌面,其中:
所述客户端与所述第一分布式节点通信连接,用于执行如上述第一种所述的跨分布式节点的桌面访问方法;
所述第一分布式节点,用于执行如上述第二种所述的跨分布式节点的桌面访问方法;
所述第二分布式节点,用于执行如上述第三种所述的跨分布式节点的桌面访问方法。
本发明还提供第一种跨分布式节点的桌面访问装置,包括:
信息获取模块,用于在接收到防火墙转发策略添加成功的提示信息的情况下,获取第二分布式节点对应的云桌面登录信息,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发;
请求生成模块,用于基于所述云桌面登录信息生成第二桌面登录请求,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面;
请求发送模块,用于发送所述第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点。
本发明还提供第二种跨分布式节点的桌面访问装置,包括:
策略添加模块,用于接收客户端发送的策略添加请求,并基于所述策略添加请求添加防火墙转发策略,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发;
数据收发模块,用于发送所述防火墙转发策略添加成功的提示信息至所述客户端,并接收所述客户端发送的第二桌面登录请求,所述第二桌面登录请求基于所述第二分布式节点对应的云桌面登录信息生成;
请求转发模块,用于基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面。
本发明还提供第三种跨分布式节点的桌面访问装置,包括:
请求接收模块,用于基于预先添加的防火墙转发策略,接收第一分布式节点转发的第二桌面登录请求,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发,所述第二桌面登录请求基于所述第二分布式节点对应的云桌面登录信息生成;
桌面登录模块,用于基于预先添加的桌面访问防火墙策略,将所述第二桌面登录请求转发至自身分布式节点对应云桌面的虚机IP地址,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述的跨分布式节点的桌面访问方法。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述的跨分布式节点的桌面访问方法。
本发明提供的跨分布式节点的桌面访问方法、装置、系统以及电子设备,通过在第一分布式节点和第二分布式节点之间添加防火墙转发策略,并将客户端生成的第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点授权使第一分布式节点登录至第二分布式节点对应的云桌面,从而可以实现跨分布式节点的云桌面访问功能,解决了现有技术中由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,导致无法跨越分布式节点进行云桌面访问的技术问题,进而可以满足云边协同以及异地登录等业务场景的应用需求,使得用户可登录至任意一个需要远程运维协助的分布式节点的云桌面,从而完成远程运维协助工作。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的跨分布式节点的桌面访问方法的应用场景示意图;
图2是本发明实施例提供的第一种跨分布式节点的桌面访问方法的流程示意图之一;
图3是本发明实施例提供的第一种跨分布式节点的桌面访问方法的流程示意图之二;
图4是本发明实施例中跨分布式节点的桌面访问流程的示意图;
图5是本发明实施例提供的第一种跨分布式节点的桌面访问方法的流程示意图之三;
图6是本发明实施例提供的第一种跨分布式节点的桌面访问方法的流程示意图之四;
图7是本发明实施例提供的第二种跨分布式节点的桌面访问方法的流程示意图之一;
图8是本发明实施例提供的第二种跨分布式节点的桌面访问方法的流程示意图之二;
图9是本发明实施例提供的第二种跨分布式节点的桌面访问方法的流程示意图之三;
图10是本发明实施例提供的第二种跨分布式节点的桌面访问方法的流程示意图之四;
图11是本发明实施例提供的第三种跨分布式节点的桌面访问方法的流程示意图之一;
图12是本发明实施例提供的第三种跨分布式节点的桌面访问方法的流程示意图之二;
图13是本发明实施例提供的第一种跨分布式节点的桌面访问装置的结构示意图;
图14是本发明实施例提供的第二种跨分布式节点的桌面访问装置的结构示意图;
图15是本发明实施例提供的第三种跨分布式节点的桌面访问装置的结构示意图;
图16是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,由于各级防火墙隔断了跨网段IP间的访问,导致用户无法通过城市4对应的网络IP,访问城市3对应的网络IP或者城市2对应的网络IP,其中,城市4与城市3隶属同一个省,城市4与城市2不属同一个省。在异地登录的业务场景中,用户从城市3或者城市2出发至城市4出差,由于各级防火墙的存在导致用户无法通过城市4对应的网络IP,访问城市3对应的网络IP或者城市2对应的网络IP。
在云边协同的业务场景中,城市3或者城市2对应的第一用户需要城市4对应的第二用户登录至城市3或者城市2对应的分布式节点的云桌面进行协同办公,由于各级防火墙的存在导致第二用户无法通过城市4对应的网络IP,登录至城市3或者城市2对应的分布式节点的云桌面进行协同办公。
下面结合图2-图6描述本发明提供的第一种跨分布式节点的桌面访问方法。如图2所示,本发明提供第一种跨分布式节点的桌面访问方法,应用于客户端,客户端与第一分布式节点通信连接,该方法包括:
步骤101,在接收到防火墙转发策略添加成功的提示信息的情况下,获取第二分布式节点对应的云桌面登录信息,防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发。
其中,云桌面登录信息表示第二分布式节点对应云桌面的登录信息,包括但不仅限于第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口。第一分布式节点和第二分布式节点是同一个分布式系统中的两个分布式节点。
进一步地,第一分布式节点为本发明中的客户端所对应的分布式前置节点。第二分布式节点是本发明未提及的另一个客户端所对应的分布式前置节点。
步骤102,基于云桌面登录信息生成第二桌面登录请求,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面。
在一个实施例中,客户端表示是用户所在的计算机设备,客户端与第一分布式节点通过网卡连接,第一分布式节点和第二分布式节点均为服务器。
步骤103,发送第二桌面登录请求至第一分布式节点,以使第一分布式节点基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点。
具体地,客户端将第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点将接收到的第二桌面登录请求转发至其对应的云桌面,从而完成通过第一分布式节点登录第二分布式节点对应的云桌面的流程。
上述步骤101至步骤103,通过在第一分布式节点和第二分布式节点之间添加防火墙转发策略,并将客户端生成的第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点授权使第一分布式节点登录至第二分布式节点对应的云桌面,从而可以实现跨分布式节点的云桌面访问功能,解决了现有技术中由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,导致无法跨越分布式节点进行云桌面访问的技术问题,进而可以满足云边协同以及异地登录等业务场景的应用需求,使得用户可登录至任意一个需要远程运维协助的分布式节点的云桌面,从而完成远程运维协助工作。
另外,第一分布式节点与第二分布式节点仍存在防火墙的隔断,第一分布式节点与第二分布式节点之间传输数据需要满足防火墙转发策略的要求,因此,本发明提供的跨分布式节点的桌面访问方法依旧能够确保整个分布式体系架构的安全性,在保证整个分布式体系架构的网络安全性的基础上,实现了跨越分布式节点进行云桌面访问的功能,提高了整个分布式体系架构的可靠性以及实用性,从而能够更好地满足云边协同以及异地登录等业务场景的应用需求。
在一个实施例中,防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略,如图3和图4所示,添加防火墙转发策略的步骤,包括:
步骤201,基于用户选择的第二分布式节点,发送第一策略添加请求至第一分布式节点,以使第一分布式节点添加第一防火墙转发策略。
其中,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。第一通信通道为控制通道,也可以称为固定通信通道,用于传输与云桌面登录验证、防火墙策略添加相关的控制数据。
进一步地,客户端拉取所有分布式节点对应的前置节点信息以供用户选择,用户选择登录第二分布式节点之后,客户端基于用户选择的第二分布式节点,发送第一策略添加请求至第一分布式节点,以使第一分布式节点添加第一防火墙转发策略。
步骤202,发送第一桌面登录请求至第一分布式节点,以使第一分布式节点基于第一防火墙转发策略,将第一桌面登录请求转发至第二分布式节点。
其中,第一桌面登录请求用于指示第二分布式节点进行用户鉴权并添加桌面访问防火墙策略。
进一步地,在接收到第一分布式节点发送的第一防火墙转发策略添加成功的提示信息的情况下,发送第一桌面登录请求至第一分布式节点。在接收到第一分布式节点发送的第一防火墙转发策略添加失败的提示信息的情况下,输出防火墙转发策略添加失败的告警信息。
步骤203,接收第一分布式节点转发的云桌面登录信息,云桌面登录信息表示第二分布式节点基于第一桌面登录请求进行用户鉴权,并添加桌面访问防火墙策略后得到的登录信息。
其中,云桌面登录信息包括但不仅限于第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口。
步骤204,基于云桌面登录信息发送第二策略添加请求至第一分布式节点,以使第一分布式节点添加第二防火墙转发策略。
其中,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。第一通信通道为数据通道,也可以称为动态通信通道,用于传输跨分布式节点桌面登录的请求信息。
上述步骤201至步骤204,通过在第一分布式节点与第二分布式节点之间添加第一防火墙转发策略,以便于传输与云桌面登录验证、防火墙策略添加相关的控制数据,并通过第一分布式节点与第二分布式节点之间添加第二防火墙转发策略,以便于传输跨分布式节点桌面登录的请求信息,进而基于第一防火墙转发策略和第二防火墙转发策略自动实现跨节点登录至任意分布式节点的云桌面,整个防火墙转发策略的添加过程由计算机自动执行,无需人工干预,可以避免网络管理员手动添加相应的防火墙转发策略导致业务阻塞的缺陷,从而可以提高分布式系统构架的运维效率以及业务办公效率。另外,通过将云桌面的登录流程分解为控制通道和数据通道两个处理流程,可以有效阻止非法流量对分布式系统构架的网络攻击,从而提升了分布式云桌面访问的安全性。
在一个实施例中,上述步骤103包括:发送第二桌面登录请求至第一分布式节点,以使第一分布式节点基于第二防火墙转发策略,将第二桌面登录请求转发至第二分布式节点。
进一步地,在接收到第一分布式节点发送的第二防火墙转发策略添加成功的提示信息的情况下,发送第二桌面登录请求至第一分布式节点。在接收到第一分布式节点发送的第二防火墙转发策略添加失败的提示信息的情况下,输出防火墙转发策略添加失败的告警信息。
在一个实施例中,客户端在检测到自身设备与第一分布式节点之间的连接关系中断的情况下,发送端口回收请求以及策略删除请求至第一分布式节点,以使第一分布式节点将端口回收请求转发至第二分布式节点,并基于策略删除请求删除第一防火墙转发策略和第二防火墙转发策略,端口回收请求用于指示第二分布式节点回收分配的动态端口。
上述实施例,通过端口的动态分配与回收以及防火墙策略的动态删除,有效阻止了非法流量对分布式系统架构的网络攻击,从而提升分布式云桌面访问的安全性。
在一个实施例中,如图5所示,上述步骤201包括步骤301至步骤302,其中:
步骤301,基于用户选择的第二分布式节点生成第一策略添加请求,第一策略添加请求用于请求在第一分布式节点与第二分布式节点之间添加第一防火墙转发策略。
进一步地,第一防火墙转发策略用于将用户所在计算机设备的IP或者端口传输的数据流量从第一分布式节点转发至第二分布式节点,其中,转发的数据流量的来源限定为用户所在计算机设备的IP或者端口传输的数据流。
步骤302,发送第一策略添加请求至第一分布式节点,以使第一分布式节点进行用户鉴权认证并添加第一防火墙转发策略,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
具体地,发送第一策略添加请求至第一分布式节点,以使第一分布式节点基于第一策略添加请求中客户端所在设备的第三IP地址进行用户鉴权认证,以确定第一策略添加请求是否为合法来源数据,并在用户鉴权认证通过的情况下添加第一防火墙转发策略,从而可以有效阻止非法流量对分布式系统架构的网络攻击,进一步提升分布式云桌面访问的安全性。
在一个实施例中,如图6所示,上述步骤204包括步骤401至步骤402,其中:
步骤401,基于云桌面登录信息中第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口,生成第二策略添加请求。
步骤402,发送第二策略添加请求至第一分布式节点,以使第一分布式节点添加第二防火墙转发策略,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
进一步地,第二防火墙转发策略用于将用户所在计算机设备的IP或者端口传输的数据流量从第一分布式节点转发至第二分布式节点,其中,转发的数据流量的来源限定为用户所在计算机设备的IP或者端口传输的数据流。
下面结合图7-图10描述本发明提供的第二种跨分布式节点的桌面访问方法。如图7所示,本发明提供第二种跨分布式节点的桌面访问方法,应用于第一分布式节点,该方法包括:
步骤501,接收客户端发送的策略添加请求,并基于策略添加请求添加防火墙转发策略,防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发。
在一个实施例中,客户端表示是用户所在的计算机设备,客户端与第一分布式节点通过网卡连接,第一分布式节点和第二分布式节点均为服务器。
步骤502,发送防火墙转发策略添加成功的提示信息至客户端,并接收客户端发送的第二桌面登录请求,第二桌面登录请求基于第二分布式节点对应的云桌面登录信息生成。
其中,云桌面登录信息表示第二分布式节点对应云桌面的登录信息,包括但不仅限于第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口。
步骤503,基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面。
具体地,客户端将第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点将接收到的第二桌面登录请求转发至其对应的云桌面,从而完成通过第一分布式节点登录第二分布式节点对应的云桌面的流程。
上述步骤501至步骤503,通过在第一分布式节点和第二分布式节点之间添加防火墙转发策略,并将客户端生成的第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点授权使第一分布式节点登录至第二分布式节点对应的云桌面,从而可以实现跨分布式节点的云桌面访问功能,解决了现有技术中由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,导致无法跨越分布式节点进行云桌面访问的技术问题,进而可以满足云边协同以及异地登录等业务场景的应用需求,使得用户可登录至任意一个需要远程运维协助的分布式节点的云桌面,从而完成远程运维协助工作。
另外,第一分布式节点与第二分布式节点仍存在防火墙的隔断,第一分布式节点与第二分布式节点之间传输数据需要满足防火墙转发策略的要求,因此,本发明提供的跨分布式节点的桌面访问方法依旧能够确保整个分布式体系架构的安全性,在保证整个分布式体系架构的网络安全性的基础上,实现了跨越分布式节点进行云桌面访问的功能,提高了整个分布式体系架构的可靠性以及实用性,从而能够更好地满足云边协同以及异地登录等业务场景的应用需求。
在一个实施例中,如图4和图8所示,上述步骤501包括步骤601至步骤604,其中:
步骤601,接收客户端发送的第一策略添加请求,并基于第一策略添加请求添加第一防火墙转发策略。
其中,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。第一通信通道为控制通道,也可以称为固定通信通道,用于传输与云桌面登录验证、防火墙策略添加相关的控制数据。
步骤602,接收客户端发送的第一桌面登录请求,并基于第一防火墙转发策略,将第一桌面登录请求转发至第二分布式节点。
其中,第一桌面登录请求用于指示第二分布式节点进行用户鉴权并添加桌面访问防火墙策略。
步骤603,接收第二分布式节点发送的云桌面登录信息,并将云桌面登录信息转发至客户端。
其中,云桌面登录信息包括但不仅限于第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口。
步骤604,接收客户端发送的第二策略添加请求,并基于第二策略添加请求添加第二防火墙转发策略。
其中,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。第一通信通道为数据通道,也可以称为动态通信通道,用于传输跨分布式节点桌面登录的请求信息。
上述步骤601至步骤604,通过在第一分布式节点与第二分布式节点之间添加第一防火墙转发策略,以便于传输与云桌面登录验证、防火墙策略添加相关的控制数据,并通过第一分布式节点与第二分布式节点之间添加第二防火墙转发策略,以便于传输跨分布式节点桌面登录的请求信息,进而基于第一防火墙转发策略和第二防火墙转发策略自动实现跨节点登录至任意分布式节点的云桌面,整个防火墙转发策略的添加过程由计算机自动执行,无需人工干预,可以避免网络管理员手动添加相应的防火墙转发策略导致业务阻塞的缺陷,从而可以提高分布式系统构架的运维效率以及业务办公效率。另外,通过将云桌面的登录流程分解为控制通道和数据通道两个处理流程,可以有效阻止非法流量对分布式系统构架的网络攻击,从而提升了分布式云桌面访问的安全性。
在一个实施例中,步骤503包括:基于第二防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,以使第二分布式节点基于预先添加的桌面访问防火墙策略,将第二桌面登录请求转发至第二分布式节点对应云桌面的虚机IP地址,以使第二分布式节点授权第一分布式节点登录至第二分布式节点对应的云桌面。
在一个实施例中,第一分布式节点在接收到客户端传输的端口回收请求以及策略删除请求的情况下,将端口回收请求转发至第二分布式节点,以使第二分布式节点基于端口回收请求回收分配的动态端口,并基于策略删除请求删除第一防火墙转发策略和第二防火墙转发策略,端口回收请求用于指示第二分布式节点回收分配的动态端口。
或者,第一分布式节点在检测到自身分布式节点与客户端或者第二分布式节点的连接关系中断的情况下的情况下,发送端口回收请求至第二分布式节点,以使第二分布式节点基于端口回收请求回收分配的动态端口,并删除第一防火墙转发策略和第二防火墙转发策略,端口回收请求用于指示第二分布式节点回收分配的动态端口。
上述实施例,通过端口的动态分配与回收以及防火墙策略的动态删除,有效阻止了非法流量对分布式系统架构的网络攻击,从而提升分布式云桌面访问的安全性。
在一个实施例中,如图9所示,上述步骤601包括步骤701至步骤702,其中:
步骤701,基于第一策略添加请求获取客户端所在设备的第三IP地址,基于第三IP地址进行用户鉴权认证,并判断用户鉴权认证是否通过。
在一个实施例中,判断第三IP地址是否在自身设备对应的IP地址白名单中,在第三IP地址在自身设备对应的IP地址白名单中的情况下,确定用户鉴权认证通过,在第三IP地址不在自身设备对应的IP地址白名单中的情况下,确定用户鉴权认证不通过。
进一步地,用户鉴权认证的过程除了上述第三IP地址的校验过程外,还包括登录密码的校验、登录权限的校验以及添加时间的检验等过程。
步骤702,在确定用户鉴权认证通过的情况下,添加第一防火墙转发策略至第一通信通道,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
进一步地,第一防火墙转发策略用于将用户所在计算机设备的IP或者端口传输的数据流量从第一分布式节点转发至第二分布式节点,其中,转发的数据流量的来源限定为用户所在计算机设备的IP或者端口传输的数据流。
上述步骤701至步骤702,通过基于第一策略添加请求获取客户端所在设备的第三IP地址,基于第三IP地址进行用户鉴权认证,以确定第一策略添加请求是否为合法来源数据,从而可以有效阻止非法流量对分布式系统架构的网络攻击,进一步提升分布式云桌面访问的安全性。
在一个实施例中,如图10所示,上述步骤604包括步骤801至步骤802,其中:
步骤801,基于第二策略添加请求,获取第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及分配的动态端口。
其中,动态端口表示第二分布式节点启动云桌面时请求分配的端口,用于实现第二分布式节点与其云桌面之间的数据通信。
进一步地,第一分布式节点与第二分布式节点通过各自对应的网卡2连接,第一分布式节点和第二分布式节点分别通过各自对应的网卡1与各自对应的客户端连接。第一IP地址表示第一分布式节点对应网卡2的保护区IP地址。第二IP地址表示第二分布式节点对应网卡2的保护区IP地址。
步骤802,基于第一IP地址、第二IP地址以及动态端口,添加第二防火墙转发策略至第二通信通道,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
进一步地,第二防火墙转发策略用于将用户所在计算机设备的IP或者端口传输的数据流量从第一分布式节点转发至第二分布式节点,其中,转发的数据流量的来源限定为用户所在计算机设备的IP或者端口传输的数据流。
下面结合图11-图12描述本发明提供的第三种跨分布式节点的桌面访问方法。
如图11所示,本发明提供第三种跨分布式节点的桌面访问方法,应用于第二分布式节点,该方法包括:
步骤901,基于预先添加的第二防火墙转发策略,接收第一分布式节点转发的第二桌面登录请求,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略,第二桌面登录请求基于第二分布式节点对应的云桌面登录信息生成。
其中,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。第一通信通道为数据通道,也可以称为动态通信通道,用于传输跨分布式节点桌面登录的请求信息。云桌面登录信息表示第二分布式节点对应云桌面的登录信息,包括但不仅限于第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口。
进一步地,第二防火墙转发策略用于将用户所在计算机设备的IP或者端口传输的数据流量从第一分布式节点转发至第二分布式节点,其中,转发的数据流量的来源限定为用户所在计算机设备的IP或者端口传输的数据流。
在一个实施例中,客户端表示是用户所在的计算机设备,客户端与第一分布式节点通过网卡连接,第一分布式节点和第二分布式节点均为服务器。步骤902,基于预先添加的桌面访问防火墙策略,将第二桌面登录请求转发至自身分布式节点对应云桌面的虚机IP地址,以使第二分布式节点授权第一分布式节点登录至第二分布式节点对应的云桌面,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面。
具体地,客户端将第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点将接收到的第二桌面登录请求转发至其对应的云桌面,从而完成通过第一分布式节点登录第二分布式节点对应的云桌面的流程。
上述步骤901至步骤902,通过在第一分布式节点和第二分布式节点之间添加第二防火墙转发策略,并将客户端生成的第二桌面登录请求发送至第一分布式节点,以使第一分布式节点基于防火墙转发策略将第二桌面登录请求转发至第二分布式节点,进而使得第二分布式节点授权使第一分布式节点登录至第二分布式节点对应的云桌面,从而可以实现跨分布式节点的云桌面访问功能,解决了现有技术中由于分布式体系架构中各级防火墙隔断了跨网段IP间的访问,导致无法跨越分布式节点进行云桌面访问的技术问题,进而可以满足云边协同以及异地登录等业务场景的应用需求,使得用户可登录至任意一个需要远程运维协助的分布式节点的云桌面,从而完成远程运维协助工作。
另外,第一分布式节点与第二分布式节点仍存在防火墙的隔断,第一分布式节点与第二分布式节点之间传输数据需要满足防火墙转发策略的要求,因此,本发明提供的跨分布式节点的桌面访问方法依旧能够确保整个分布式体系架构的安全性,在保证整个分布式体系架构的网络安全性的基础上,实现了跨越分布式节点进行云桌面访问的功能,提高了整个分布式体系架构的可靠性以及实用性,从而能够更好地满足云边协同以及异地登录等业务场景的应用需求。
在一个实施例中,第二分布式节点在接收到第一分布式节点发送或者转发的端口回收请求的情况下,基于端口回收请求回收分配的动态端口。或者,第二分布式节点在检测到自身分布式节点与第一分布式节点之间的连接关系的连接关系中断的情况下的情况下,对分配的动态端口进行回收,以有效阻止了非法流量对分布式系统架构的网络攻击,从而提升分布式云桌面访问的安全性。
在一个实施例中,如图4和图12所示,添加桌面访问防火墙策略的步骤,包括:
步骤1001,基于预先添加的第一防火墙转发策略,接收第一分布式节点转发的第一桌面登录请求,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
其中,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。第一通信通道为控制通道,也可以称为固定通信通道,用于传输与云桌面登录验证、防火墙策略添加相关的控制数据。
进一步地,第一防火墙转发策略用于将用户所在计算机设备的IP或者端口传输的数据流量从第一分布式节点转发至第二分布式节点,其中,转发的数据流量的来源限定为用户所在计算机设备的IP或者端口传输的数据流。
步骤1002,基于第一桌面登录请求进行用户鉴权,并判断用户鉴权认证是否通过,在确定用户鉴权认证通过的情况下,控制云桌面启动,并获取分配的动态端口。
其中,第一桌面登录请求用于指示第二分布式节点进行用户鉴权并添加桌面访问防火墙策略。
步骤1003,基于动态端口、第一分布式节点的第一IP地址、自身分布式节点对应云桌面的虚机IP地址,添加桌面访问防火墙策略,桌面访问防火墙策略用于将第一分布式节点传输的数据流通过动态端口至第二分布式节点对应云桌面的虚机IP地址。
其中,动态端口表示第二分布式节点启动云桌面时请求分配的端口,用于实现第二分布式节点与其云桌面之间的数据通信。进一步地,第一分布式节点与第二分布式节点通过各自对应的网卡2连接,第一分布式节点和第二分布式节点分别通过各自对应的网卡1与各自对应的客户端连接。第一IP地址表示第一分布式节点对应网卡2的保护区IP地址。
在一个实施例中,第二分布式节点在确定桌面访问防火墙策略添加成功的情况下,获取自身分布式节点对应的云桌面登录信息,并基于第一防火墙转发策略将云桌面登录信息发送至第一分布式节点,以使第一分布式节点将云桌面登录信息转发至用户所在的客户端。在确定桌面访问防火墙策略添加失败情况下,输出桌面访问防火墙策略添加失败的告警信息。
其中,云桌面登录信息表示第二分布式节点对应云桌面的登录信息,包括但不仅限于第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口。
上述实施例,通过在第一分布式节点与第二分布式节点之间添加第一防火墙转发策略,以便于传输与云桌面登录验证、防火墙策略添加相关的控制数据,并通过第一分布式节点与第二分布式节点之间添加第二防火墙转发策略,以便于传输跨分布式节点桌面登录的请求信息,进而基于第一防火墙转发策略和第二防火墙转发策略自动实现跨节点登录至任意分布式节点的云桌面,整个防火墙转发策略的添加过程由计算机自动执行,无需人工干预,可以避免网络管理员手动添加相应的防火墙转发策略导致业务阻塞的缺陷,从而可以提高分布式系统构架的运维效率以及业务办公效率。另外,通过将云桌面的登录流程分解为控制通道和数据通道两个处理流程,可以有效阻止非法流量对分布式系统构架的网络攻击,从而提升了分布式云桌面访问的安全性。
本发明提供的跨分布式节点的桌面访问方法,可以在确保安全性的前提下,增加云边协同的自动化程度,减少用户对于云边协同配置的手动干预,用户只需通过在客户端选择需要登录的分布式节点的云桌面,系统后台通过逐级纵向认证,通过端口管理模块和防火墙管理模块,自动添加防火墙转发策略,打通云边的网络通道,当安全云桌面关闭后,端口管理模块会自动回收分配的端口,防火墙管理模块会自动删除已添加的防火墙策略,以确保分布式环境下云桌面访问的安全性。
本发明还提供一种跨分布式节点的桌面访问系统,包括客户端、第一分布式节点、第二分布式节点以及第二分布式节点对应的云桌面,其中:
客户端与第一分布式节点通信连接,用于执行如上述各方法所提供的第一种跨分布式节点的桌面访问方法。
第一分布式节点,用于执行如上述各方法所提供的第二种跨分布式节点的桌面访问方法。
第二分布式节点,用于执行如上述各方法所提供的第三种跨分布式节点的桌面访问方法。
下面对本发明提供的跨分布式节点的桌面访问装置进行描述,下文描述的跨分布式节点的桌面访问装置与上文描述的跨分布式节点的桌面访问方法可相互对应参照。
如图13所示,本发明提供第一种跨分布式节点的桌面访问装置,应用于客户端,客户端与第一分布式节点通信连接,该第一种跨分布式节点的桌面访问装置100包括:
信息获取模块101,用于在接收到防火墙转发策略添加成功的提示信息的情况下,获取第二分布式节点对应的云桌面登录信息,防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发。
请求生成模块102,用于基于云桌面登录信息生成第二桌面登录请求,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面。
请求发送模块103,用于发送第二桌面登录请求至第一分布式节点,以使第一分布式节点基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点。
在一个实施例中,防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略;该第一种跨分布式节点的桌面访问装置100包括转发策略添加模块,转发策略添加模块包括:
第一添加单元,用于基于用户选择的第二分布式节点,发送第一策略添加请求至第一分布式节点,以使第一分布式节点添加第一防火墙转发策略。
请求发送单元,用于发送第一桌面登录请求至第一分布式节点,以使第一分布式节点基于第一防火墙转发策略,将第一桌面登录请求转发至第二分布式节点。
信息接收单元,用于接收第一分布式节点转发的云桌面登录信息,云桌面登录信息表示第二分布式节点基于第一桌面登录请求进行用户鉴权,并添加桌面访问防火墙策略后得到的登录信息。
第二添加单元,用于基于云桌面登录信息发送第二策略添加请求至第一分布式节点,以使第一分布式节点添加第二防火墙转发策略。
在一个实施例中,请求发送模块103,还用于发送第二桌面登录请求至第一分布式节点,以使第一分布式节点基于第二防火墙转发策略,将第二桌面登录请求转发至第二分布式节点。
在一个实施例中,第一添加单元,还用于基于用户选择的第二分布式节点生成第一策略添加请求,第一策略添加请求用于请求在第一分布式节点与第二分布式节点之间添加第一防火墙转发策略;发送第一策略添加请求至第一分布式节点,以使第一分布式节点进行用户鉴权认证并添加第一防火墙转发策略,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
在一个实施例中,第二添加单元,还用于基于云桌面登录信息中第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及第二分布式节点对应云桌面的动态端口,生成第二策略添加请求;发送第二策略添加请求至第一分布式节点,以使第一分布式节点添加第二防火墙转发策略,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
如图14所示,本发明提供第二种跨分布式节点的桌面访问装置,应用于第一分布式节点,第二种跨分布式节点的桌面访问装置200包括:
策略添加模块201,用于接收客户端发送的策略添加请求,并基于策略添加请求添加防火墙转发策略,防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发。
数据收发模块202,用于发送防火墙转发策略添加成功的提示信息至客户端,并接收客户端发送的第二桌面登录请求,第二桌面登录请求基于第二分布式节点对应的云桌面登录信息生成。
请求转发模块203,用于基于防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面。
在一个实施例中,防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略;策略添加模块201包括:
第三添加单元,用于接收客户端发送的第一策略添加请求,并基于第一策略添加请求添加第一防火墙转发策略。
请求中转单元,用于接收客户端发送的第一桌面登录请求,并基于第一防火墙转发策略,将第一桌面登录请求转发至第二分布式节点。
信息转发单元,用于接收第二分布式节点发送的云桌面登录信息,并将云桌面登录信息转发至客户端。
第四添加单元,用于接收客户端发送的第二策略添加请求,并基于第二策略添加请求添加第二防火墙转发策略。
在一个实施例中,请求转发模块203,还用于基于第二防火墙转发策略,将第二桌面登录请求转发至第二分布式节点,以使第二分布式节点基于预先添加的桌面访问防火墙策略,将第二桌面登录请求转发至第二分布式节点对应云桌面的虚机IP地址。
在一个实施例中,第三添加单元,还用于基于第一策略添加请求获取客户端所在设备的第三IP地址,基于第三IP地址进行用户鉴权认证,并判断用户鉴权认证是否通过;在确定用户鉴权认证通过的情况下,添加第一防火墙转发策略至第一通信通道,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
在一个实施例中,第四添加单元,还用于基于第二策略添加请求,获取第一分布式节点的第一IP地址、第二分布式节点的第二IP地址以及分配的动态端口;基于第一IP地址、第二IP地址以及动态端口,添加第二防火墙转发策略至第二通信通道,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
如图15所示,本发明提供第三种跨分布式节点的桌面访问装置,应用于第二分布式节点,第三种跨分布式节点的桌面访问装置300包括:
请求接收模块301,用于基于预先添加的第二防火墙转发策略,接收第一分布式节点转发的第二桌面登录请求,第二防火墙转发策略表示第一分布式节点与第二分布式节点基于第二通信通道进行数据转发的防火墙策略,第二桌面登录请求基于第二分布式节点对应的云桌面登录信息生成。
桌面登录模块302,用于基于预先添加的桌面访问防火墙策略,将第二桌面登录请求转发至自身分布式节点对应云桌面的虚机IP地址,第二桌面登录请求用于指示通过第一分布式节点登录第二分布式节点对应的云桌面。
在一个实施例中,该第三种跨分布式节点的桌面访问装置100包括访问策略添加模块,访问策略添加模块包括:
请求接收单元,用于基于预先添加的第一防火墙转发策略,接收第一分布式节点转发的第一桌面登录请求,第一防火墙转发策略表示第一分布式节点与第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
桌面启动单元,用于基于第一桌面登录请求进行用户鉴权,并判断用户鉴权认证是否通过,在确定用户鉴权认证通过的情况下,控制云桌面启动,并获取分配的动态端口。
访问授权单元,用于基于动态端口、第一分布式节点的第一IP地址、自身分布式节点对应云桌面的虚机IP地址,添加桌面访问防火墙策略,桌面访问防火墙策略用于将第一分布式节点传输的数据流通过动态端口至第二分布式节点对应云桌面的虚机IP地址。
图16示例了一种电子设备的实体结构示意图,如图16所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行上述各方法所提供的第一种跨分布式节点的桌面访问方法,或者上述各方法所提供的第二种跨分布式节点的桌面访问方法,或者上述各方法所提供的第三种跨分布式节点的桌面访问方法。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法所提供的第一种跨分布式节点的桌面访问方法,或者上述各方法所提供的第二种跨分布式节点的桌面访问方法,或者上述各方法所提供的第三种跨分布式节点的桌面访问方法。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种跨分布式节点的桌面访问方法,其特征在于,应用于客户端,所述客户端与第一分布式节点通信连接,所述方法包括:
在接收到防火墙转发策略添加成功的提示信息的情况下,获取第二分布式节点对应的云桌面登录信息,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发;
基于所述云桌面登录信息生成第二桌面登录请求,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面;
发送所述第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点;
其中,所述防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略;添加所述防火墙转发策略的步骤,包括:
基于用户选择的第二分布式节点,发送第一策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第一防火墙转发策略;
发送第一桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述第一防火墙转发策略,将所述第一桌面登录请求转发至所述第二分布式节点;
接收所述第一分布式节点转发的云桌面登录信息,所述云桌面登录信息表示所述第二分布式节点基于所述第一桌面登录请求进行用户鉴权,并添加桌面访问防火墙策略后得到的登录信息;
基于所述云桌面登录信息发送第二策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第二防火墙转发策略;
所述发送所述第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,包括:
发送第二桌面登录请求至所述第一分布式节点,以使所述第一分布式节点基于所述第二防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点。
2.根据权利要求1所述的跨分布式节点的桌面访问方法,其特征在于,所述基于用户选择的第二分布式节点,发送第一策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第一防火墙转发策略,包括:
基于用户选择的第二分布式节点生成所述第一策略添加请求,所述第一策略添加请求用于请求在所述第一分布式节点与所述第二分布式节点之间添加所述第一防火墙转发策略;
发送所述第一策略添加请求至所述第一分布式节点,以使所述第一分布式节点进行用户鉴权认证并添加所述第一防火墙转发策略,所述第一防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
3.根据权利要求1所述的跨分布式节点的桌面访问方法,其特征在于,所述基于所述云桌面登录信息发送第二策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第二防火墙转发策略,包括:
基于所述云桌面登录信息中所述第一分布式节点的第一IP地址、所述第二分布式节点的第二IP地址以及所述第二分布式节点对应云桌面的动态端口,生成所述第二策略添加请求;
发送所述第二策略添加请求至所述第一分布式节点,以使所述第一分布式节点添加所述第二防火墙转发策略,所述第二防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
4.一种跨分布式节点的桌面访问方法,其特征在于,应用于第一分布式节点,所述方法包括:
接收客户端发送的策略添加请求,并基于所述策略添加请求添加防火墙转发策略,所述防火墙转发策略用于进行第一分布式节点与第二分布式节点之间的数据转发;
发送所述防火墙转发策略添加成功的提示信息至所述客户端,并接收所述客户端发送的第二桌面登录请求,所述第二桌面登录请求基于所述第二分布式节点对应的云桌面登录信息生成;
基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面;
其中,所述防火墙转发策略包括第一防火墙转发策略和第二防火墙转发策略;所述基于所述策略添加请求添加防火墙转发策略,包括:
接收所述客户端发送的第一策略添加请求,并基于所述第一策略添加请求添加所述第一防火墙转发策略;
接收所述客户端发送的第一桌面登录请求,并基于所述第一防火墙转发策略,将所述第一桌面登录请求转发至所述第二分布式节点;
接收所述第二分布式节点发送的云桌面登录信息,并将所述云桌面登录信息转发至所述客户端;
接收所述客户端发送的第二策略添加请求,并基于所述第二策略添加请求添加所述第二防火墙转发策略;
所述基于所述防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,包括:
基于所述第二防火墙转发策略,将所述第二桌面登录请求转发至所述第二分布式节点,以使所述第二分布式节点基于预先添加的桌面访问防火墙策略,将所述第二桌面登录请求转发至所述第二分布式节点对应云桌面的虚机IP地址。
5.根据权利要求4所述的跨分布式节点的桌面访问方法,其特征在于,所述基于所述第一策略添加请求添加所述第一防火墙转发策略,包括:
基于所述第一策略添加请求获取所述客户端所在设备的第三IP地址,基于所述第三IP地址进行用户鉴权认证,并判断用户鉴权认证是否通过;
在确定用户鉴权认证通过的情况下,添加所述第一防火墙转发策略至第一通信通道,所述第一防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第一通信通道进行数据转发的防火墙策略。
6.根据权利要求4所述的跨分布式节点的桌面访问方法,其特征在于,所述基于所述第二策略添加请求添加所述第二防火墙转发策略,包括:
基于所述第二策略添加请求,获取所述第一分布式节点的第一IP地址、所述第二分布式节点的第二IP地址以及分配的动态端口;
基于所述第一IP地址、所述第二IP地址以及所述动态端口,添加所述第二防火墙转发策略至第二通信通道,所述第二防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第二通信通道进行数据转发的防火墙策略。
7.一种跨分布式节点的桌面访问方法,其特征在于,应用于第二分布式节点,所述方法包括:
基于预先添加的第二防火墙转发策略,接收第一分布式节点转发的第二桌面登录请求,所述第二防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第二通信通道进行数据转发的防火墙策略,所述第二桌面登录请求基于所述第二分布式节点对应的云桌面登录信息生成;
基于预先添加的桌面访问防火墙策略,将所述第二桌面登录请求转发至自身分布式节点对应云桌面的虚机IP地址,所述第二桌面登录请求用于指示通过所述第一分布式节点登录所述第二分布式节点对应的云桌面;
其中,添加所述桌面访问防火墙策略的步骤,包括:
基于预先添加的第一防火墙转发策略,接收所述第一分布式节点转发的第一桌面登录请求,所述第一防火墙转发策略表示所述第一分布式节点与所述第二分布式节点基于第一通信通道进行数据转发的防火墙策略;
基于所述第一桌面登录请求进行用户鉴权,并判断用户鉴权认证是否通过,在确定用户鉴权认证通过的情况下,控制云桌面启动,并获取分配的动态端口;
基于所述动态端口、所述第一分布式节点的第一IP地址、自身分布式节点对应云桌面的虚机IP地址,添加桌面访问防火墙策略,所述桌面访问防火墙策略用于将所述第一分布式节点传输的数据流通过所述动态端口至第二分布式节点对应云桌面的虚机IP地址。
8.一种跨分布式节点的桌面访问系统,其特征在于,包括客户端、第一分布式节点、第二分布式节点以及所述第二分布式节点对应的云桌面,其中:
所述客户端与所述第一分布式节点通信连接,用于执行如权利要求1至3任一项所述的跨分布式节点的桌面访问方法;
所述第一分布式节点,用于执行如权利要求4至6任一项所述的跨分布式节点的桌面访问方法;
所述第二分布式节点,用于执行如权利要求7所述的跨分布式节点的桌面访问方法。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述的跨分布式节点的桌面访问方法,或者如权利要求4至6任一项所述的跨分布式节点的桌面访问方法,或者如权利要求7所述的跨分布式节点的桌面访问方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的跨分布式节点的桌面访问方法,或者如权利要求4至6任一项所述的跨分布式节点的桌面访问方法,或者如权利要求7所述的跨分布式节点的桌面访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211690285.7A CN115664870B (zh) | 2022-12-28 | 2022-12-28 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211690285.7A CN115664870B (zh) | 2022-12-28 | 2022-12-28 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115664870A CN115664870A (zh) | 2023-01-31 |
CN115664870B true CN115664870B (zh) | 2023-04-07 |
Family
ID=85023615
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211690285.7A Active CN115664870B (zh) | 2022-12-28 | 2022-12-28 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115664870B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
CN113612807A (zh) * | 2021-10-09 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108471397B (zh) * | 2018-01-31 | 2020-12-15 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
US10999197B2 (en) * | 2018-11-30 | 2021-05-04 | Cisco Technology, Inc. | End-to-end identity-aware routing across multiple administrative domains |
CN112995097B (zh) * | 2019-12-13 | 2023-09-22 | 中兴通讯股份有限公司 | 跨域访问系统及方法、装置 |
CN111597546B (zh) * | 2020-07-24 | 2021-08-03 | 北京志翔科技股份有限公司 | 一种云桌面共享方法、装置、系统和存储介质 |
CN113765912A (zh) * | 2021-09-02 | 2021-12-07 | 迈迪信息技术有限公司 | 一种分布式防火墙装置及其检测方法 |
CN114697072B (zh) * | 2022-02-18 | 2023-10-31 | 广州理工学院 | 一种云桌面统一运维控制系统及控制方法 |
-
2022
- 2022-12-28 CN CN202211690285.7A patent/CN115664870B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
CN113612807A (zh) * | 2021-10-09 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115664870A (zh) | 2023-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109565500B (zh) | 按需安全性架构 | |
US7826393B2 (en) | Management computer and computer system for setting port configuration information | |
KR102136039B1 (ko) | 소프트웨어 정의 네트워크에서의 보안 | |
CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN112492602B (zh) | 5g终端安全接入装置、系统及设备 | |
WO2024021703A1 (zh) | 服务器的控制方法、服务器及存储介质 | |
CN108111536B (zh) | 一种应用级安全跨域通信方法及系统 | |
CN102333099B (zh) | 一种安全控制方法和设备 | |
CN114244651A (zh) | 一种基于云桌面的远程办公实现系统及方法 | |
CN112073366B (zh) | 一种用于铁路财务系统的数据处理方法及数据中台 | |
US20190007306A1 (en) | Device and method for controlling route of traffic flow | |
CN113872933A (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
CN115664870B (zh) | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 | |
CN115865537B (zh) | 基于中心化系统管理的隐私计算方法、电子设备和存储介质 | |
CN102316119B (zh) | 一种安全控制方法和设备 | |
CN109361675B (zh) | 一种信息安全保护的方法、系统及相关组件 | |
CN110933018B (zh) | 网络认证方法、装置以及计算机存储介质 | |
CN112583932B (zh) | 业务处理方法、装置及网络架构 | |
CN113873041B (zh) | 报文传输方法、装置、网络设备及计算机可读存储介质 | |
CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 | |
CN115499177A (zh) | 云桌面访问方法、零信任网关、云桌面客户端和服务端 | |
CN111385285B (zh) | 一种防止非法外联的方法及装置 | |
CN110380947A (zh) | 一种基于p2p技术的二级网络架构vpn组网方法 | |
CN106453336B (zh) | 一种内网主动提供外网主机调用服务的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |