CN118199966A - 一种应用流量的自动放通方法、装置、设备及存储介质 - Google Patents
一种应用流量的自动放通方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN118199966A CN118199966A CN202410302996.5A CN202410302996A CN118199966A CN 118199966 A CN118199966 A CN 118199966A CN 202410302996 A CN202410302996 A CN 202410302996A CN 118199966 A CN118199966 A CN 118199966A
- Authority
- CN
- China
- Prior art keywords
- application
- zero
- information
- trust
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 204
- 230000008569 process Effects 0.000 claims abstract description 165
- 238000012795 verification Methods 0.000 claims abstract description 32
- 238000011217 control strategy Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013022 venting Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种应用流量的自动放通方法、装置、设备及存储介质,所述方法包括:接收零信任客户端发送的账户登录请求并进行登录校验;在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端;若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息;将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
Description
技术领域
本说明书涉及网络安全技术领域,尤其涉及一种应用流量的自动放通方法、装置、设备及存储介质。
背景技术
零信任是一种新的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。零信任安全模型默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,其中,由零信任网关作为安全边界,负责监视、审核和控制所有进出的应用流量,确保对网络中资源的安全访问和控制,从而保障网络安全。
然而零信任网关若需要放通应用流量,则需要在进行访问控制前预先获取允许通过的应用访问的IP集合,并将IP地址配置为IP资源,而收集应用访问的IP集合通常由人工完成,不仅收集时的效率和准确率无法保证,收集成本也较高。
发明内容
为克服相关技术中存在的问题,本说明书提供了一种应用流量的自动放通方法、装置、设备及存储介质。
根据本说明书实施例的第一方面,提供一种应用流量的自动放通方法,应用于零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程,所述方法包括:
接收零信任客户端发送的账户登录请求并进行登录校验;
在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端;
若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息;
将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
根据本说明书实施例的第二方面,提供一种应用流量的自动放通方法,应用于零信任客户端,所述方法包括:
发送账户登录请求至零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程;
在所述账户登录请求校验通过的情况下,接收所述零信任平台发送的所述应用进程列表;
若收集到新的IP信息,则发送至零信任平台,以使所述零信任平台整理所述新的IP信息至对应应用的IP集合中并将更新后的应用IP集合发送至零信任网关,由所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
根据本说明书实施例的第三方面,提供一种应用流量的自动放通装置,应用于零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程,所述装置包括:
请求单元,接收零信任客户端发送的账户登录请求并进行登录校验;
获取单元,在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端;
处理单元,若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息;
同步单元,将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
根据本说明书实施例的第四方面,提供一种应用流量的自动放通装置,应用于零信任客户端,所述装置包括:
发送单元,发送账户登录请求至零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程;
接收单元,在所述账户登录请求校验通过的情况下,接收所述零信任平台发送的所述应用进程列表;
收集单元,若收集到新的IP信息,则发送至零信任平台,以使所述零信任平台整理所述新的IP信息至对应应用的IP集合中并将更新后的应用IP集合发送至零信任网关,由所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
根据本说明书实施例的第五方面,提供一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如上述第一方面的实施例中所述的方法。
根据本说明书实施例的第六方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第一方面的实施例中所述方法的步骤。
本说明书的实施例提供的技术方案可以包括以下有益效果:
在本说明书实施例中,在零信任平台上维护有预设的应用进程列表,存储用户允许放通的应用程序,并且每一个应用对应有至少一个进程。当零信任客户端在零信任平台登录通过后,零信任平台通过获取应用进程列表,并发送至零信任客户端,使得零信任客户端对应用进程列表中的应用对应的进程所访问的IP信息进行收集,实现自动化收集在接收到零信任客户端上报的新的IP信息时,整理所述新的IP信息至对应应用的IP集合中,从而逐步放开IP地址。最后将更新后的应用IP集合下发至零信任网关进行同步,以使零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。通过上述由自动根据收集到的信息建立应用IP集合来实现放通特定应用流量的方案,在安全限制访问控制的同时,大大降低了手动配置的需求,提高自动化水平。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书根据一示例性实施例示出的一种应用流量的自动放通方法的流程图。
图2是本说明书根据一示例性实施例示出的一种应用流量放通的交互流程图。
图3是本说明书根据一示例性实施例示出的另一种应用流量的自动放通方法的流程图。
图4是本说明书根据一示例性实施例示出的一种应用流量的自动放通装置的框图。
图5是本说明书根据一示例性实施例示出的另一种应用流量的自动放通装置的框图。
图6是本说明书根据一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
零信任安全模型默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础。其中,零信任网关作为安全边界,负责监视、审核和控制所有进出的应用流量,同时应用严格的访问策略和安全控制。总的来说,零信任网关作为零信任模型的关键组成部分,提供了全面的网络安全控制和策略实施,帮助组织在网络中实现更加严格和可靠的访问管理,以确保数据和资源的安全性。
当需要放通互联网的某个应用程序时,零信任平台会告知零信任客户端零信任安全网关的IP地址以使零信任客户端访问零信任安全网关获取能够访问的IP资源。而在进行放通应用流量前,零信任网关需要预先获取允许通过的应用访问的IP集合,并将IP地址配置为IP资源,而收集应用访问的IP集合通常由人工完成,不仅收集时的效率和准确率无法保证,收集成本也较高。
因此,本说明书提供了一种应用流量的自动放通方法,可以自动根据收集到的信息建立应用IP集合来实现放通特定应用流量,在安全限制访问控制的同时,降低手动配置的需求,提高自动化水平。
接下来对本说明书实施例进行详细说明。
本说明书实施例基于零信任安全架构实现对应用流量的自动放通,所述零信任安全架构中包括零信任安全网关、零信任客户端以及零信任平台。其中,零信任客户端通常安装在电子设备一侧。零信任平台用于提供综合性的工具、技术和功能,以帮助组织实现对网络、用户、设备和数据的持续保护和严格访问控制。零信任安全网关连接至互联网,用于实施和执行零信任策略,以确保对网络中资源的安全访问和控制。
如图1所示,图1是本说明书根据一示例性实施例示出的一种应用流量的自动放通方法的流程图,应用于零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程,具体包括以下步骤:
在本说明书实施例中,零信任平台一侧维护有预设的应用进程列表,所述应用进程列表用于存储用户预先配置的允许放通的应用,以及所述应用对应的进程,且所述应用进程列表中的应用都对应有至少一个进程。
S101,接收零信任客户端发送的账户登录请求并进行登录校验。
在一示例性实施例中,所述接收零信任客户端发送的账户登录请求并进行登录校验,包括:接收零信任客户端发送的账户登录请求;校验所述账户登录请求是否通过,若通过,则发送所述零信任安全网关的IP至所述零信任客户端。
具体而言,用户在零信任客户端输入零信任平台的IP地址及用户的账户名和密码,向零信任平台请求登录。零信任平台接收零信任客户端发送的账户登录请求,并校验所述账户登录请求是否通过,若校验通过,则在返回校验完成的信息的同时,发送所述零信任安全网关的IP至所述零信任客户端,以使零信任客户端后续通过零信任安全网关的IP进行资源访问。
S102,在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端。
在所述账户登录请求校验通过的情况下,用户登录的零信任客户端与零信任平台建立连接并通过该连接与零信任平台进行通信和交互。由零信任平台获取预先维护的应用进程列表,并将其发送至零信任客户端。零信任客户端接收到应用进程列表后对其中的应用及对应的进程进行解析,收集与应用进程对应的IP信息。
在一示例性实施例中,所述将所述应用进程列表发送至零信任客户端,包括:将所述应用进程列表发送至所述账户登录请求校验通过的一个或多个零信任客户端中以使所述一个或多个零信任客户端共同收集所述应用进程列表中每一个应用对应的进程的IP信息。
具体而言,由于在零信任安全架构中可以存在一个或多个零信任客户端连接至零信任平台,因此在零信任平台将应用进程列表发送至零信任客户端以使零信任客户端进行IP信息收集时,可以发给多个账户登录请求校验通过状态下的零信任客户端,从而实现由多个零信任客户端同时进行对应用进程列表中每一个应用对应的进程的连接监测及IP信息的收集,提升IP信息自动收集的效率。
S103,若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
当零信任客户端接收到应用进程列表后,对其中的应用及对应的进程进行解析,收集与应用进程对应的IP信息,并在一轮收集结束后,循环开启新一轮的解析和收集。在所述循环过程中,当零信任客户端检测到有新的IP信息产生时,则将所述新的IP信息在定期内上报至零信任平台,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
当零信任平台接收到零信任客户端上报的新的IP信息后,将IP信息整理至对应应用的IP集合中,所述应用的IP集合内存储了收集到的所有允许访问的应用进程对应的IP信息,当收集到新的IP信息时,零信任平台根据收集到的信息对新的IP信息进行识别,确定相关联的应用进程,将新的IP信息合并到相关联的应用的IP集合中。
S104,将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
零信任平台将更新后的应用IP集合下发至零信任网关,零信任网关根据接收到的更新后的应用IP集合进行信息同步。在一些其他的实施例中,零信任平台将更新至应用IP集合中的新的IP信息下发至零信任网关,以使零信任网关完成信息的同步,本说明书对此不作限制。
当有应用流量访问互联网时,零信任网关将所述应用流量的访问IP与应用IP集合中的IP列表进行匹配,若匹配到所述应用流量的访问IP位于应用IP集合中,则自动放通所述应用流量;若匹配到所述应用流量的访问IP不位于应用IP集合中,则阻断所述应用流量。
需要指出的是,针对与应用进程列表中的应用对应而未被收集至零信任网关中的应用IP集合中的应用进程对应的IP信息,零信任网关仍进行阻断,从而确保在安全环境下限制访问。
在一示例性实施例中,所述零信任平台维护有预设的应用访问控制策略,所述应用访问控制策略包括一个或多个账户对应的允许访问的应用列表。
所述方法还包括:在所述账户登录请求校验通过的情况下,获取所述应用访问控制策略;将所述的应用访问控制策略下发至零信任网关以使所述零信任网关在确认所述应用流量的访问IP位于应用IP集合中,以及确认所述应用流量对应的应用位于登录的账户允许访问的应用列表中时,自动放通所述应用流量。
具体而言,在本说明书实施例中还维护有预设的应用访问控制策略,所述应用访问控制策略用于存储用户的账户信息以及每一个账户对应的该账户允许访问的应用列表。
在所述账户登录请求校验通过的情况下,由零信任平台获取预先维护的应用进程列表,并将所述的应用访问控制策略下发至零信任网关,用于后续针对不同账户的访问控制。
当应用流量访问互联网时,零信任网关仅在确认所述应用流量的访问IP位于应用IP集合中,并且确认所述应用流量对应的应用位于发送所述应用流量的登录账户对应的允许访问的应用列表中时,对该应用流量进行放通。若应用流量的访问IP位于应用IP集合中,而应用流量对应的应用并不位于发送所述应用流量的登录账户对应的允许访问的应用列表中时,表明发送所述应用流量的账户不被允许访问所述应用流量对应的应用,依旧阻断所述应用流量。
需要指出的是,当零信任平台将所述的应用访问控制策略下发至零信任网关时,若应用访问控制策略的内容进行了更新,则零信任网关对应用访问控制策略进行信息同步。在一些其他的实施例中,零信任平台将应用访问控制策略中更新的信息下发至零信任网关,以使零信任网关完成信息的同步,本说明书对此不作限制。
在一示例性实施例中,用户对允许通过的应用程序及进程和账户允许访问的应用各自配置特定名称,以便于后续进行权限管理和识别。
通过上述方案,逐渐完成对应进程对应的IP信息的自动化收集并动态更新放行策略,实现了动态放开IP地址,提高了访问控制的安全性和控制灵活性。
在本说明书实施例中,在零信任平台上维护有预设的应用进程列表,存储用户允许放通的应用程序,并且每一个应用对应有至少一个进程。当零信任客户端在零信任平台登录通过后,零信任平台通过获取应用进程列表,并发送至零信任客户端,使得零信任客户端对应用进程列表中的应用对应的进程所访问的IP信息进行收集,实现自动化收集在接收到零信任客户端上报的新的IP信息时,整理所述新的IP信息至对应应用的IP集合中,从而逐步放开IP地址。最后将更新后的应用IP集合下发至零信任网关进行同步,以使零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。通过上述由自动根据收集到的信息建立应用IP集合来实现放通特定应用流量的方案,在安全限制访问控制的同时,大大降低了手动配置的需求,提高了系统的自动化水平。
接下来针对整体流程交互对本说明书实施例进行描述,如图2所示,图2是本说明书根据一示例性实施例示出的一种应用流量放通的交互流程图,需要指出的是,在图2中分为IP信息收集过程和访问控制过程,具体的,IP信息收集过程包括以下步骤:
S201,发送账户登录请求。用户在零信任客户端输入零信任平台的IP地址及用户的账户名和密码,向零信任平台请求登录。
S202,登录校验是否通过。零信任平台接收零信任客户端发送的账户登录请求,并校验所述账户登录请求是否通过,若校验通过,进入步骤S203,若校验不通过,则结束流程。
S203,获取应用进程列表及应用访问控制策略并分别下发。零信任平台获取预先维护的应用进程列表及应用访问控制策略,并将应用进程列表下发至零信任客户端,将应用访问控制策略下发至零信任网关。
S204,接收访问控制策略。零信任网关对应用访问控制策略进行信息同步,所述应用访问控制策略用于存储用户的账户信息以及每一个账户对应的该账户允许访问的应用列表。
S205,接收应用进程列表,收集IP信息。零信任客户端接收到应用进程列表后对其中的应用及对应的进程进行解析,收集与应用进程对应的IP信息。
S206,上报新的IP信息。零信任客户端接收到应用进程列表后,对其中的应用及对应的进程进行解析,收集与应用进程对应的IP信息,当零信任客户端检测到有新的IP信息产生时,则将所述新的IP信息在定期内上报至零信任平台。
S207,整理新的IP信息至应用IP集合。零信任平台根据收集到的信息对新的IP信息进行识别,确定相关联的应用进程,将新的IP信息合并到相关联的应用的IP集合中。
S208,接收应用IP集合。零信任网关接收更新后的应用IP集合,进行信息同步。
访问控制过程包括以下步骤:
S209,应用流量访问。应用流量访问互联网。
S210,访问IP是否位于允许访问的IP列表中。零信任网关将所述应用流量的访问IP与应用IP集合中的IP列表进行匹配,将应用流量对应的应用与发送所述应用流量的登录账户对应的允许访问的应用列表进行匹配,若访问IP位于对应的应用的允许访问的IP列表中,则进入步骤S212;若访问IP不位于对应的应用的允许访问的IP列表中,则进入步骤S211。
S211,阻断。阻断所述应用流量。
S212,应用流量访问互联网。对该应用流量进行放通,允许访问互联网。
上述步骤的实现过程具体详见图1对应的实施例中对应步骤的实现过程,在此不再赘述。
与前述零信任平台侧的实施例相对应,本说明书还提供了零信任客户端侧的实施例。如图3所示,图3是本说明书根据一示例性实施例示出的另一种应用流量的自动放通方法的流程图,应用于零信任客户端,具体包括以下步骤:
S301,发送账户登录请求至零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程。
S302,在所述账户登录请求校验通过的情况下,接收所述零信任平台发送的所述应用进程列表。
S303,若收集到新的IP信息,则发送至零信任平台,以使所述零信任平台整理所述新的IP信息至对应应用的IP集合中并将更新后的应用IP集合发送至零信任网关,由所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
在一示例性实施例中,所述方法还包括:执行netstat命令来收集所述应用进程列表中每一个应用对应的进程访问的IP信息,并判断收集到的IP信息是否为新的IP信息。在一些其他的实施例中,也可以通过如Wireshark、tcpdump等第三方网络监控工具进行对应用程序对应的流量的检测,获取IP信息,本说明书对此不作限制。
上述步骤的实现过程具体详见图1对应的实施例中对应步骤的实现过程,在此不再赘述。
与前述方法的实施例相对应,本说明书还提供了装置的实施例。
如图4所示,图4是本说明书根据一示例性实施例示出的一种应用流量的自动放通装置的框图,应用于零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程,所述装置包括:
请求单元401,接收零信任客户端发送的账户登录请求并进行登录校验;
获取单元402,在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端;
处理单元403,若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息;
同步单元404,将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
在一示例性实施例中,所述零信任平台维护有预设的应用访问控制策略,所述应用访问控制策略包括一个或多个账户对应的允许访问的应用列表;所述装置还包括:策略单元405,在所述账户登录请求校验通过的情况下,获取所述应用访问控制策略;将所述的应用访问控制策略下发至零信任网关以使所述零信任网关在确认所述应用流量的访问IP位于应用IP集合中,以及确认所述应用流量对应的应用位于登录的账户允许访问的应用列表中时,自动放通所述应用流量。
在一示例性实施例中,所述将所述应用进程列表发送至零信任客户端,包括:将所述应用进程列表发送至所述账户登录请求校验通过的一个或多个零信任客户端中以使所述一个或多个零信任客户端共同收集所述应用进程列表中每一个应用对应的进程的IP信息。
在一示例性实施例中,所述接收零信任客户端发送的账户登录请求并进行登录校验,包括:接收零信任客户端发送的账户登录请求;校验所述账户登录请求是否通过,若通过,则发送所述零信任安全网关的IP至所述零信任客户端。
如图5所示,图5是本说明书根据一示例性实施例示出的另一种应用流量的自动放通装置的框图,应用于零信任客户端,所述装置包括:
发送单元501,发送账户登录请求至零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程;
接收单元502,在所述账户登录请求校验通过的情况下,接收所述零信任平台发送的所述应用进程列表;
收集单元503,若收集到新的IP信息,则发送至零信任平台,以使所述零信任平台整理所述新的IP信息至对应应用的IP集合中并将更新后的应用IP集合发送至零信任网关,由所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
在一示例性实施例中,所述装置还包括:判断单元504,执行netstat命令收集所述应用进程列表中每一个应用对应的进程访问的IP信息,并判断收集到的IP信息是否为新的IP信息。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
图6是根据本说明书一示例性实施例示出的一种电子设备的结构示意图。参考图6,在硬件层面,该电子设备包括处理器601、内部总线602、网络接口603、内存604以及非易失性存储器605,当然还可能包括其他业务所需要的硬件。处理器601从非易失性存储器605中读取对应的计算机程序到内存604中然后运行。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
上述实施例阐明的装置或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现如前述任一实施例示出的一种应用流量的自动放通方法。
在一个典型的配置中,计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种应用流量的自动放通方法,其特征在于,应用于零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程,所述方法包括:
接收零信任客户端发送的账户登录请求并进行登录校验;
在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端;
若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息;
将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
2.根据权利要求1所述的方法,其特征在于,所述零信任平台维护有预设的应用访问控制策略,所述应用访问控制策略包括一个或多个账户对应的允许访问的应用列表;
所述方法还包括:在所述账户登录请求校验通过的情况下,获取所述应用访问控制策略;
将所述的应用访问控制策略下发至零信任网关以使所述零信任网关在确认所述应用流量的访问IP位于应用IP集合中,以及确认所述应用流量对应的应用位于登录的账户允许访问的应用列表中时,自动放通所述应用流量。
3.根据权利要求1所述的方法,其特征在于,所述将所述应用进程列表发送至零信任客户端,包括:
将所述应用进程列表发送至所述账户登录请求校验通过的一个或多个零信任客户端中以使所述一个或多个零信任客户端共同收集所述应用进程列表中每一个应用对应的进程的IP信息。
4.根据权利要求1所述的方法,其特征在于,所述接收零信任客户端发送的账户登录请求并进行登录校验,包括:
接收零信任客户端发送的账户登录请求;
校验所述账户登录请求是否通过,若通过,则发送所述零信任安全网关的IP至所述零信任客户端。
5.一种应用流量的自动放通方法,其特征在于,应用于零信任客户端,所述方法包括:
发送账户登录请求至零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程;
在所述账户登录请求校验通过的情况下,接收所述零信任平台发送的所述应用进程列表;
若收集到新的IP信息,则发送至零信任平台,以使所述零信任平台整理所述新的IP信息至对应应用的IP集合中并将更新后的应用IP集合发送至零信任网关,由所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
执行netstat命令收集所述应用进程列表中每一个应用对应的进程访问的IP信息,并判断收集到的IP信息是否为新的IP信息。
7.一种应用流量的自动放通装置,其特征在于,应用于零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程,所述装置包括:
请求单元,接收零信任客户端发送的账户登录请求并进行登录校验;
获取单元,在所述账户登录请求校验通过的情况下,获取所述应用进程列表,将所述应用进程列表发送至零信任客户端;
处理单元,若接收到零信任客户端上报的新的IP信息,则整理所述新的IP信息至对应应用的IP集合中,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息;
同步单元,将更新后的应用IP集合下发至零信任网关进行同步以使所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量。
8.一种应用流量的自动放通装置,其特征在于,应用于零信任客户端,所述装置包括:
发送单元,发送账户登录请求至零信任平台,所述零信任平台维护有预设的应用进程列表,所述应用进程列表中的应用各自对应有至少一个进程;
接收单元,在所述账户登录请求校验通过的情况下,接收所述零信任平台发送的所述应用进程列表;
收集单元,若收集到新的IP信息,则发送至零信任平台,以使所述零信任平台整理所述新的IP信息至对应应用的IP集合中并将更新后的应用IP集合发送至零信任网关,由所述零信任网关在确认应用流量的访问IP位于所述应用IP集合中时,自动放通所述应用流量,所述新的IP信息为所述应用进程列表中的应用对应的进程访问的新的IP信息。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-6中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410302996.5A CN118199966A (zh) | 2024-03-15 | 2024-03-15 | 一种应用流量的自动放通方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410302996.5A CN118199966A (zh) | 2024-03-15 | 2024-03-15 | 一种应用流量的自动放通方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118199966A true CN118199966A (zh) | 2024-06-14 |
Family
ID=91397864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410302996.5A Pending CN118199966A (zh) | 2024-03-15 | 2024-03-15 | 一种应用流量的自动放通方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118199966A (zh) |
-
2024
- 2024-03-15 CN CN202410302996.5A patent/CN118199966A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112653681B (zh) | 多特征融合的用户登录准入方法、装置和系统 | |
CN109743294A (zh) | 接口访问控制方法、装置、计算机设备及存储介质 | |
CN111756644B (zh) | 热点限流方法、系统、设备及存储介质 | |
CN110069911B (zh) | 访问控制方法、装置、系统、电子设备和可读存储介质 | |
WO2016165505A1 (zh) | 连接控制方法及装置 | |
CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
US11443037B2 (en) | Identification of invalid requests | |
CN111371772A (zh) | 基于redis的智能网关限流方法、系统和计算机设备 | |
CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
CN111147468A (zh) | 用户接入方法、装置、电子设备及存储介质 | |
CN112995164B (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN114866247B (zh) | 一种通信方法、装置、系统、终端及服务器 | |
CN118199966A (zh) | 一种应用流量的自动放通方法、装置、设备及存储介质 | |
CN116155538A (zh) | 隐私保护方法、装置、电子设备及计算机存储介质 | |
CN116170199A (zh) | 一种基于物联网网关的设备接入验证系统 | |
US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
CN108768987B (zh) | 数据交互方法、装置及系统 | |
WO2006059852A1 (en) | Method and system for providing resources by using virtual path | |
KR20050009945A (ko) | 이동식 저장장치를 이용한 가상 저장 공간의 관리 방법 및시스템 | |
CN114157472A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
CN112905984A (zh) | 权限控制方法、装置及电子设备 | |
CN113645060A (zh) | 一种网卡配置方法、数据处理方法及装置 | |
EP3107021A1 (en) | Access to a user account from different consecutive locations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |