CN116828088A - 一种基于ssl vpn的上网行为审计方法及系统 - Google Patents
一种基于ssl vpn的上网行为审计方法及系统 Download PDFInfo
- Publication number
- CN116828088A CN116828088A CN202310786513.9A CN202310786513A CN116828088A CN 116828088 A CN116828088 A CN 116828088A CN 202310786513 A CN202310786513 A CN 202310786513A CN 116828088 A CN116828088 A CN 116828088A
- Authority
- CN
- China
- Prior art keywords
- message
- sslvpn
- behavior
- auditing
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012550 audit Methods 0.000 claims abstract description 58
- 238000007726 management method Methods 0.000 claims description 34
- 238000004891 communication Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000005538 encapsulation Methods 0.000 claims description 7
- 238000013486 operation strategy Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 abstract description 66
- 238000012795 verification Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/1396—Protocols specially adapted for monitoring users' activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于SSLVPN的上网行为审计方法及系统,通过获取用户端发送至总部服务器的SSLVPN报文,并对报文类型进行判断,根据报文的类型以及合法性控制连接SSL VPN报文的控制平面,以通过控制平面得到所述用户端身份认证结果,根据身份认证结果建立第一数据通道,第一数据通道中传输有数据包,对通过数据平面对所述数据包解密得到内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为。本申请通过对SSL VPN报文类型进行判断,根据报文类型选择对应的平面对SSLVPN报文进行解密,从而根据得到的内层报文进行策略匹配,统计审计行为,提高对用户端上网行为审计的效率和安全性。
Description
技术领域
本申请涉及上网行为审计领域,尤其涉及一种基于SSLVPN的上网行为审计方法及系统。
背景技术
SSLVPN是基于安全套接层协议的VPN技术,客户端可以通过SSLVPN直接在用户端和总部服务器之间建立通信隧道。处于远端的用户端即可通过通信隧道接入总部服务器的网络,并访问企业内部的资源。但是,这会将企业内部的资源与网络暴露在可被攻击的环境下。
为了提高企业内部的资源与网络的安全性,需要对企业内部的上网行为进行审计。但是,总部服务器的应用引擎只能对SSLVPN外层的IP报文进行解析和审计,而无法对SSLVPN隧道中的传输数据进行审计和控制。在SSLVPN隧道中,应用引擎只能看到是SSLVPN协议报文。
由于原始报文封装在SSLVPN报文内部,总部服务器无法完成对通信隧道的审计与控制,从而无法得到SSLVPN报文准确的审计结果。为此,可以在每个用户端对应的分支机构部署一台审计设备,以对每个用户端进行审计和控制。但是,对于海量用户端,审计设备的数据处理量大,会降低用户端上网行为审计的效率和安全性。
发明内容
为了解决对SSLVPN隧道中的传输数据进行审计效率和安全性低的问题,第一方面,本申请的部分实施例提供一种基于SSLVPN的上网行为审计方法,所述方法包括:
获取用户端发送至总部服务器的SSLVPN报文;
如果所述SSLVPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则连接所述SSLVPN报文的控制平面,以通过所述控制平面得到所述用户端身份认证结果;
根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和所述总部服务器,所述第一数据通道中传输有数据包;
对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
在一些实施例中,所述方法还包括:
获取所述SSLVPN报文的协议类型以及所述SSLVPN报文的目标端口;
遍历所述用户端的配置端口;
如果所述协议类型无连接传输协议,且所述目标端口不为本地端口,则标记所述SSLVPN报文为合法报文。
在一些实施例中,通过所述控制平面得到所述用户端身份认证结果,包括:
获取所述用户端的用户信息,所述用户信息包括所述用户端的账号密码和所述用户端的SSLVPN权限;
通过所述控制平面发送所述用户端的账号密码至网络安全系统,以及,通过所述控制平面发送所述用户端的SSLVPN权限至数据平面;
通过网络安全系统通过验证所述用户端的账号密码,得到第一反馈结果,以及,通过所述数据平面验证所述用户端的SSLVPN权限,得到第二反馈结果;
将所述第一反馈结果和所述第二反馈结果通过进程间通信发送至所述控制平面,以得到所述用户端身份认证结果。
在一些实施例中,根据所述身份认证结果建立第一数据通道,包括:
在所述控制平台设置所述用户端的标志位;
当所述控制平面收到认证成功的用户端身份认证结果时,在所述标志位分配虚拟地址;
根据所述虚拟地址建立第一数据通道。
在一些实施例中,对内层报文执行策略匹配前,所述方法还包括:
将所述数据包发送至所述数据平面;
通过所述数据平面解析所述数据包的封装格式;
根据所述封装格式,解密所述数据包,以得到内层报文。
在一些实施例中,对内层报文执行策略匹配,包括:
遍历所述审计行为管理设备的策略表,所述策略表包括所述审计行为管理设备的运行策略,所述运行策略包括用户列表和资源列表;
如果所述运行策略为启用状态,则在所述用户列表中查询所述内层报文,以及,在所述资源列表中查询目标IP,所述目标IP为所述用户端访问所述总部服务器所产生的IP地址;
如果在用户列表中查询到所述用户端且在所述资源列表中查询到所述目标IP,则生成放行所述数据包的匹配结果。
在一些实施例中,根据策略匹配结果记录所述用户端的审计行为,包括:
根据所述内层报文创建用户对象;
将总部服务器产生的会话与所述用户对象关联,以得到审计对话;
根据特征库对所述审计对话执行上网行为审计,所述特征库通过解析内层报文得到。
在一些实施例中,根据特征库对所述审计对话执行上网行为审计,包括:
通过审计行为管理设备对用户端的流量进行汇总;
根据所述用户端的流量获取总部服务器的上网行为统计信息。
在一些实施例中,所述方法还包括:
在所述审计行为管理设备创建第二数据通道,所述第二数据通道用于连接客户端和所述总部服务器;
通过发包函数对所述数据包执行加密封装;
将封装后的数据包和所述上网行为统计信息通过所述第二数据通道发送至客户端。
第二方面,本申请的部分实施例提供一种基于SSLVPN的上网行为审计系统,所述系统包括报文类型判别模块和审计模块,其中,所述报文类型判别模块被配置为判断SSLVPN报文的报文类型,所述报文类型包括审计行为管理设备的本地报文和审计行为管理设备的转发报文;
所述审计模块被配置为当所述SSL VPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文时,连接所述SSLVPN报文的控制平面,以通过所述控制平面得到用户端身份认证结果,
根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和总部服务器,所述第一数据通道中传输有数据包;
对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
由以上技术方案可知,本申请提供一种基于SSLVPN的上网行为审计方法及系统,通过获取用户端发送至总部服务器的SSLVPN报文,并对报文类型进行判断,如果SSL VPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则控制连接SSLVPN报文的控制平面,以通过控制平面得到所述用户端身份认证结果,根据身份认证结果建立第一数据通道,第一数据通道中传输有数据包,对通过数据平面对所述数据包解密得到内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为。本申请通过对SSLVPN报文类型进行判断,根据报文类型选择对应的平面对SSLVPN报文进行解密,从而根据得到的内层报文进行策略匹配,统计审计行为,提高对用户端上网行为审计的效率和安全性。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于SSL VPN的上网行为审计方法的流程图;
图2为本申请实施例对SSL VPN报文合法性检测的流程图;
图3为本申请实施例控制平面对SSL VPN报文的用户信息认证的流程图;
图4为本申请实施例对内层报文执行策略匹配的流程图。
具体实施方式
为使本申请的目的和实施方式更加清楚,下面将结合本申请示例性实施例中的附图,对本申请示例性实施方式进行清楚、完整地描述,显然,描述的示例性实施例仅是本申请一部分实施例,而不是全部的实施例。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明。应该理解这样使用的用语在适当情况下可以互换。
术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的所有组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
SSLVPN是基于安全套接层协议的VPN技术,客户端可以通过SSLVPN直接在用户端和总部服务器之间建立通信隧道,从而使处于远端的用户端可以访问总部服务器中的资源,在访问的过程中,用户端可以通过通信隧道接入总部服务器的内部网络,这会导致内部网络的IP地址公开,降低总部服务器的网络安全性。
因此,需要对用户端的上网行为进行审计,从而确保总部服务器的网络安全性,但是,总部服务器的应用引擎仅对SSLVPN客户端外层的IP报文进行有效的解析和审计。对于通信隧道中的传输数据,由于原始报文封装在SSLVPN报文内部,应用引擎无法对完成审计与控制,也就无法得到SSLVPN报文准确的审计结果。
为此,为了能够对通过通信隧道中的传输数据进行审计,可以在每个用户端对应的分支机构部署一台审计设备,以对每个用户端进行审计和控制。但是,对于海量数量的用户端,审计设备的数据处理量大,会降低用户端上网行为审计的效率和安全性。
为了解决对SSLVPN隧道中的传输数据进行审计效率和安全性低的问题,本申请的部分实施例提供一种基于SSLVPN的上网行为审计方法,如图1所示,所述方法包括:
S100:获取用户端发送至总部服务器的SSLVPN报文。
在用户端向总部服务器请求SSLVPN连接时,会向总部服务器发送SSLVPN报文,此时,为了提高访问总部服务器的安全性,SSLVPN客户端会获取SSLVPN报文,从而SSLVPN客户端可以根据SSLVPN报文建立用户端和总部服务器之间的连接。
S200:如果所述SSLVPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则控制连接所述SSLVPN报文的控制平面,以通过所述控制平面得到所述用户端身份认证结果。
为了对总部服务器的上网行为进行管理,在总部服务器中可以部署审计行为管理设备,审计行为管理设备可以对访问总部服务器的用户端进行审计管理,管理选项可以包括访问次数、访问时长、浏览文件项等。
为此,SSLVPN报文对于审计行为管理设备存在不同的类型,这就需要对SSLVPN报文类型进行判断,SSLVPN报文类型包括审计行为管理设备的本地报文或审计行为管理设备的转发报文。
如果SSLVPN报文为审计行为管理设备的本地报文,则可以对SSLVPN报文的合法性进行检测,如果SSLVPN报文为合法报文,则可以连接SSLVPN报文的控制平面,以通过所述控制平面得到所述用户端身份认证结果。
SSLVPN报文可以连接控制平面(deamon进程)和数据平面(dplane进程),其中,控制平面可以对发送SSLVPN报文的用户端执行身份验证,从而控制SSLVPN协议的准确接入,数据平面可以对SSLVPN合法的数据报文劫持以及加密和解密。
在一些实施例中,如图2所示,可以通过以下方法对SSLVPN报文的合法性进行判断:
S201:获取SSLVPN报文的协议类型以及所述SSLVPN报文的目标端口。
SSLVPN报文可以包括多种类型的协议,因此,对于SSLVPN报文的合法性判断需要对SSLVPN报文的协议类型进行判断,为此,可以获取SSLVPN报文的协议类型。同时,还可以获取SSLVPN报文在用户端所要使用的目标端口。
S202:遍历所述用户端的配置端口。
在本实施例中,为了避免目标端口与用户端本地所要使用的端口冲突,可以遍历用户端的配置窗口,确定SSLVPN报文所要使用的端口是否与本地端口冲突。
S203:如果所述协议类型无连接传输协议,且所述目标端口不为本地端口,则标记所述SSLVPN报文为合法报文。
其中,无连接传输协议可以是用户数据报协议(UDP,User Datagram Protocol)。UDP协议为应用程序提供了一种无需建立连接就可以发送封装的IP数据包的协议。用户端可以通过UDP协议以及创建的通信隧道向总部服务器发送SSLVPN报文的数据包。
当目标端口不为本地端口时,则SSLVPN报文与客户端即不发生端口的冲突。在一些实施例中,目的端口可以选择默认端口,也可以根据用户的具体情况配置为其他端口,确保配置的目标端口与本地端口不冲突即可。
在一些实施例中,通过控制平面对用户端身份进行认证的过程中,还可以获取用户端的用户信息,如图3所示,用户信息可以包括用户端的账号以及用户针对所述账号所输入的密码,控制平面可以对账号和密码进行验证,以防止非法人员通过用户端访问总部服务器导致企业资源外泄。用户信息还可以包括用户端的SSLVPN权限,以确保用户端可以使用SSL VPN权限,从而阻拦不具有SSLVPN权限访问总部服务器。
在一些实施例中,还可以通过控制平面将用户端的账号密码发送至AAA进程系统,AAA进程系统是一种网络安全系统,包括认证(Authentication)、授权(Authorization)和计费(Accounting),可以通过这种网络安全系统对用户端的账号密码进行验证,从而得到第一反馈结果。第一反馈结果可以为验证成功,即表示输入的密码通过账号的验证;第一反馈结果还可以为验证失败,即表示输入的密码与该账号的正确密码不符。
控制平面还可以将用户端的SSLVPN权限发送至数据平面,从而通过dplane进程验证用户端的SSLVPN权限,得到第二反馈结果。第二反馈结果可以为SSLVPN权限通过验证,或者为SSLVPN权限未通过验证,如果SSLVPN权限未通过验证,则可以在第二反馈结果中添加未通过验证的原因,例如SSLVPN权限的证书被冻结,SSLVPN权限的证书过期等。
在得到第一反馈结果和第二反馈结果之后,可以将第一反馈结果和第二反馈结果通过IPC(Inter-Process Communication)进程间通信返回至控制平面,控制平面会对第一反馈结果以及第二反馈结果进行确认,如果第一反馈结果和第二反馈结果均为通过验证,则控制平面生成用户端身份认证成功的认证结果。如果第一反馈结果或第二反馈结果其中之一未通过验证,或者第一反馈结果和第二反馈结果均为未通过验证,则控制平面生成用户端身份认证失败的认证结果。
S300:根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和所述总部服务器。
当用户端身份认证成功后,可以根据身份认证成功的认证结果在用户端和总部服务器之间建立第一数据通道,第一数据通道用于连接用户端和总部服务器,所述第一数据通道中传输有数据包。用户端可以通过第一数据通道对总部服务器中的企业内部资源进行访问、下载、传输等操作。
在一些实施例中,在控制平面收到身份认证的信息之后,即可在控制平面设置用户端的标志位,其中,身份认证的信息中可以包括用户端的设备名称以及对应的IP地址,从而根据设备名称和IP地址获取用户端信息,并生成标志位。
在生成标志位之后,控制平面即可获取第一反馈结果和第二反馈结果,当第一反馈结果和第二反馈结果均为通过验证后,即控制平面收到认证成功的用户端身份认证结果,则在标志位分配虚拟地址,然后根据虚拟地址建立第一数据通道。虚拟地址可以为WebUI配置的SSLVPN的地址池,其中,WebUI是网络产品界面设计(Website UserInterface),设计范围包括常见的网站设计(如电商网站、社交网站)、网络软件设计(如邮箱、Saas产品)等,WebUI更注重用户端的互动效果,可以提高用户端与总部服务器的互动性。
S400:对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为。
在本实施例中,可以获取第一数据通道中的数据包,通过dplane进程对数据包进行解密,从而在数据包中解析出封装的内层报文。然后对内层报文执行策略匹配,以通过策略匹配提高用户端访问的安全性。
在一些实施例中,对内层报文执行策略匹配之前,还可以并将数据包发送至数据平面,然后通过数据平面解析数据包的封装格式,从而使数据平面中的dplane进程根据封装格式对数据包进行解密,得到内层报文,提高解密效率,节省得到内层报文的时间。
在一些实施例中,对报文执行策略匹配的过程中,还可以遍历审计行为管理设备的策略表,如图4所示,策略表包括审计行为管理设备的运行策略,在运行策略中,包括用户列表和资源列表。用户列表中可以包括访问总部服务器的用户端设备名称,以及对应用户端设备的访问次数,访问时长。资源列表中可以包括用户端访问总部服务器的访问IP,每个用户端的每次访问仅对应一个IP地址。
在本实施例中,可以检测运行策略的启动状态,如果运行策略为未启用状态,则内层报文无法进行策略匹配,则将内层报文对应的数据包丢弃,本次访问失败。如果运行策略为启动状态,则在用户列表中查询内层报文,以及,在资源列表中查询目标IP,其中,目标IP为用户端访问总部服务器时所产生的IP地址。如果在用户列表中查询到所述用户端且在所述资源列表中查询到所述目标IP,则内层报文的策略命中,生成放行数据包的匹配结果,可以根据数据包访问总部服务器。
如果在用户列表中查询到所述用户端但在所述资源列表中没有查询到所述目标IP,或者,在用户列表中没有查询到所述用户端但在所述资源列表中查询到所述目标IP,则说明当前数据包部分匹配成功,具有访问风险,可以对当前数据包执行多次策略匹配。如果在预设次数之后,数据包仍没有完全策略匹配成功,则将数据包丢弃。如果在用户列表中没有查询到所述用户端并且在所述资源列表中也没有查询到所述目标IP,则说明当前数据包为危险数据包,则生成丢弃数据包的匹配结果,将数据包丢弃。
在一些实施例中,内层报文策略匹配成功之后,用户端即可根据内层报文访问总部服务器,此时,可以根据内层报文创建用户对象,用户端可以通过用户对象执行上网行为。为了便于对上网行为进行审计,可以将总部服务器产生的对话与用户对象关联,从而得到审计对话,同时,可以对内层报文执行深度解析,以得到特征库,根据特征库对所述审计对话执行上网行为审计,例如,对新报文的会话进行分类、标记,应用策略匹配、更新流量统计信息或应用审计等。
在一些实施例中,会将内层报文输入至应用引擎,所述应用引擎是dplane进程中的模块,引擎对报文进行完全解析,并结合特征库对内层报文进行分类、标记,方便后续进行应用控制、入侵防御、病毒防护等业务。
在一些实施例中,可以根据特征库对审计对话执行上网行为审计,为此,可以通过审计行为管理设备对用户端的流量进行汇总,用户端在访问企业内资源时,会由于网络读取而产生一定的流量,不同格式的资源消耗的流量不同,例如,加载文本使用的流量会小于加载图片使用的流量。在对用户端的流量进行汇总之后,根据用户端的流量,可以获取总部服务器的上网行为统计信息,从而完成对用户端的审计行为的记录。
在一些实施例中,在得到审计行为之后,可以将审计行为返回客户端,为此,可以在审计行为管理设备创建第二数据通道,所述第二数据通道用于连接客户端和总部服务器。为了提高数据传输的安全性,可以使用发包函数对第二数据通道中传输的数据包执行加密封装。
在上述过程中,第二数据通道可以将所传输的数据包发送至数据平面,并通过发包函数对数据包中的SSLVPN协议加密封装,最终将封装后的数据包和对应的上网行为统计信息通过第二数据通道发送至客户端。
在一些实施例中,如果所述SSLVPN报文为审计行为管理设备的转发报文,则可以直接对转发报文执行策略匹配,在此过程中,可以对转发报文进行解密,从而得到对应的内层报文,并进行后续的策略匹配流程。在本实施例中的策略匹配流程可以参见前述策略匹配的流程,本实施例不做赘述。
为了便于执行上述实施例提供的一种基于SSLVPN的上网行为审计方法,本申请的部分实施例还提供一种基于SSLVPN的上网行为审计系统,所述系统包括报文类型判别模块和审计模块,其中,所述报文类型判别模块被配置为判断SSLVPN报文的报文类型,所述报文类型包括审计行为管理设备的本地报文和审计行为管理设备的转发报文。
所述审计模块被配置为当所述SSL VPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文时,连接所述SSLVPN报文的控制平面,以通过所述控制平面得到用户端身份认证结果;
根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和总部服务器,所述第一数据通道中传输有数据包;
对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
由以上技术方案可知,本申请提供一种基于SSLVPN的上网行为审计方法及系统,通过获取用户端发送至总部服务器的SSLVPN报文,并对报文类型进行判断,如果SSL VPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则控制连接SSLVPN报文的控制平面,以通过控制平面得到所述用户端身份认证结果,根据身份认证结果建立第一数据通道,第一数据通道中传输有数据包,对通过数据平面对所述数据包解密得到内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为。本申请通过对SSLVPN报文类型进行判断,根据报文类型选择对应的平面对SSLVPN报文进行解密,从而根据得到的内层报文进行策略匹配,统计审计行为,提高对用户端上网行为审计的效率和安全性。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
为了方便解释,已经结合具体的实施方式进行了上述说明。但是,上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导,可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释本公开内容,从而使得本领域技术人员更好的使用所述实施方式。
Claims (10)
1.一种基于SSLVPN的上网行为审计方法,其特征在于,所述方法包括:
获取用户端发送至总部服务器的SSLVPN报文;
如果所述SSLVPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文,则连接所述SSLVPN报文的控制平面,以通过所述控制平面得到所述用户端身份认证结果;
根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和所述总部服务器,所述第一数据通道中传输有数据包;
对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
2.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,所述方法还包括:
获取所述SSLVPN报文的协议类型以及所述SSLVPN报文的目标端口;
遍历所述用户端的配置端口;
如果所述协议类型无连接传输协议,且所述目标端口不为本地端口,则标记所述SSLVPN报文为合法报文。
3.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,通过所述控制平面得到所述用户端身份认证结果,包括:
获取所述用户端的用户信息,所述用户信息包括所述用户端的账号密码和所述用户端的SSLVPN权限;
通过所述控制平面发送所述用户端的账号密码至网络安全系统,以及,通过所述控制平面发送所述用户端的SSLVPN权限至数据平面;
通过网络安全系统通过验证所述用户端的账号密码,得到第一反馈结果,以及,通过所述数据平面验证所述用户端的SSLVPN权限,得到第二反馈结果;
将所述第一反馈结果和所述第二反馈结果通过进程间通信发送至所述控制平面,以得到所述用户端身份认证结果。
4.根据权利要求3所述的基于SSLVPN的上网行为审计方法,其特征在于,根据所述身份认证结果建立第一数据通道,包括:
在所述控制平台设置所述用户端的标志位;
当所述控制平面收到认证成功的用户端身份认证结果时,在所述标志位分配虚拟地址;
根据所述虚拟地址建立第一数据通道。
5.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,对内层报文执行策略匹配前,所述方法还包括:
将所述数据包发送至所述数据平面;
通过所述数据平面解析所述数据包的封装格式;
根据所述封装格式,解密所述数据包,以得到内层报文。
6.根据权利要求1所述的基于SSLVPN的上网行为审计方法,其特征在于,对内层报文执行策略匹配,包括:
遍历所述审计行为管理设备的策略表,所述策略表包括所述审计行为管理设备的运行策略,所述运行策略包括用户列表和资源列表;
如果所述运行策略为启用状态,则在所述用户列表中查询所述内层报文,以及,在所述资源列表中查询目标IP,所述目标IP为所述用户端访问所述总部服务器所产生的IP地址;
如果在用户列表中查询到所述用户端且在所述资源列表中查询到所述目标IP,则生成放行所述数据包的匹配结果。
7.根据权利要求6所述的基于SSLVPN的上网行为审计方法,其特征在于,根据策略匹配结果记录所述用户端的审计行为,包括:
根据所述内层报文创建用户对象;
将总部服务器产生的会话与所述用户对象关联,以得到审计对话;
根据特征库对所述审计对话执行上网行为审计,所述特征库通过解析内层报文得到。
8.根据权利要求7所述的基于SSLVPN的上网行为审计方法,其特征在于,根据特征库对所述审计对话执行上网行为审计,包括:
通过审计行为管理设备对用户端的流量进行汇总;
根据所述用户端的流量获取总部服务器的上网行为统计信息。
9.根据权利要求8所述的基于SSLVPN的上网行为审计方法,其特征在于,所述方法还包括:
在所述审计行为管理设备创建第二数据通道,所述第二数据通道用于连接客户端和所述总部服务器;
通过发包函数对所述数据包执行加密封装;
将封装后的数据包和所述上网行为统计信息通过所述第二数据通道发送至客户端。
10.一种基于SSLVPN的上网行为审计系统,其特征在于,所述系统包括报文类型判别模块和审计模块,其中,所述报文类型判别模块被配置为判断SSLVPN报文的报文类型,所述报文类型包括审计行为管理设备的本地报文和审计行为管理设备的转发报文;
所述审计模块被配置为当所述SSLVPN报文为审计行为管理设备的本地报文,且所述SSLVPN报文为合法报文时,连接所述SSLVPN报文的控制平面,以通过所述控制平面得到用户端身份认证结果;
根据所述身份认证结果建立第一数据通道,所述第一数据通道用于连接所述用户端和总部服务器,所述第一数据通道中传输有数据包;
对内层报文执行策略匹配,并根据策略匹配结果记录所述用户端的审计行为,所述内层报文通过数据平面对所述数据包解密得到。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310786513.9A CN116828088A (zh) | 2023-06-28 | 2023-06-28 | 一种基于ssl vpn的上网行为审计方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310786513.9A CN116828088A (zh) | 2023-06-28 | 2023-06-28 | 一种基于ssl vpn的上网行为审计方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116828088A true CN116828088A (zh) | 2023-09-29 |
Family
ID=88123767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310786513.9A Pending CN116828088A (zh) | 2023-06-28 | 2023-06-28 | 一种基于ssl vpn的上网行为审计方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116828088A (zh) |
-
2023
- 2023-06-28 CN CN202310786513.9A patent/CN116828088A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8806572B2 (en) | Authentication via monitoring | |
| TWI362859B (zh) | ||
| US8146145B2 (en) | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall | |
| CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
| US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
| CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| US8613056B2 (en) | Extensible authentication and authorization of identities in an application message on a network device | |
| Oniga et al. | Analysis, design and implementation of secure LoRaWAN sensor networks | |
| WO2007006007A2 (en) | Using non 5-tuple information with ipsec | |
| CN113422768B (zh) | 零信任中的应用接入方法、装置及计算设备 | |
| JP2008228273A (ja) | データストリームのセキュリティを確保するための方法 | |
| JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN112954683B (zh) | 域名解析方法、装置、电子设备和存储介质 | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN110892695A (zh) | 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| US20230113138A1 (en) | Application Information Verification Method, Packet Processing Method, And Apparatuses Thereof | |
| KR20060044049A (ko) | 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 | |
| CN116828088A (zh) | 一种基于ssl vpn的上网行为审计方法及系统 | |
| CN101938428A (zh) | 一种报文的传输方法和设备 | |
| US8185642B1 (en) | Communication policy enforcement in a data network | |
| CN116635880A (zh) | 核心网域中的可信服务业务处置 | |
| US12041168B2 (en) | Internet packet provenance to verify packet validity and control packet usage | |
| CN113242249B (zh) | 一种会话控制方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |