WO2018107943A1 - 一种网络访问控制方法、装置及系统 - Google Patents

Abstract

本发明实施例提供了一种网络访问控制系统，包括：客户端、网络控制设备、代理服务器以及业务服务器，其中，客户端发送网络访问请求至网络控制设备，网络控制设备判断目标地址信息是否属于第一白名单，如果属于，网络控制设备将网络访问请求发送至与目标地址信息对应的代理服务器。代理服务器判断待访问的业务服务器的地址信息是否属于第二白名单，如果属于，代理服务器将网络访问请求发送至待访问的业务服务器。可见，本发明提供的网络访问方法只需要在网络控制设备处设置使用的代理服务器的地址信息以及端口，然后在代理服务器处设置允许访问的业务服务器的地址信息以及端口，简化了企业网络管理人员对网络控制设备的配置。

Description

一种网络访问控制方法、装置及系统

本申请要求于2016年12月13日提交中国专利局、申请号为2016111469322、发明名称为“一种网络访问控制方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及数据处理技术领域，具体涉及一种网络访问控制方法、装置及系统。

背景技术

随着科技的不断发展，用户对网络的访问需求越来越普遍。但，企业出于一些目的，需要对公司网络的访问进行控制。

如，禁止企业员工在工作时间上网看新闻、网络购物、玩游戏等，进而提高企业员工的工作效率；又如，禁止企业员工利用网络对公司核心机密文件、公司内部文档等进行泄漏，或者防止外部恶意用户入侵公司的内部网络，盗取公司机密。

因此，如图1所示，企业网络管理人员A通常是通过在企业网络的出口处的网络控制设备1(如交换机、路由器、防火墙等)设置黑白名单来进行对企业网络访问的控制。

发明人发现，企业对外网访问的控制均集中在企业网络的出口设备处，然而，黑白名单通常包括用户IP、域名、网址等多种信息，这些信息会随着软件运营(SAAS)服务商的服务器升级或维护而经常发生变化，一旦未及时通知给企业网络管理人员对企业的网络出口处的网络控制设备的参数进行重新设置，或者将参数设置错误，就会导致企业网络不能正常访问。可见，现有的企业网络控制方式较为麻烦，对企业网络管理人员的技能要求较高。

因此，如何提供一种网络访问控制方法、装置及系统，既能实现对企业员工的网络控制，又能简化企业网络出口处的设置，成为了本领域技术人员需要考虑的问题。

发明内容

有鉴于此，本发明实施例提供一种网络访问控制方法、装置及系统，既能实现对企业员工的网络控制，又能简化企业网络出口处的设置，可以降低配置 的复杂度，降低出错的概率。

为实现上述目的，本发明实施例提供如下技术方案：

本申请第一方面提供一种网络访问控制系统，包括：客户端、网络控制设备、代理服务器以及业务服务器，

所述客户端发送网络访问请求至网络控制设备，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

所述网络控制设备判断所述目标地址信息是否属于第一白名单，如果属于，所述网络控制设备将所述网络访问请求发送至与所述目标地址信息对应的代理服务器，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

所述代理服务器判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，所述代理服务器将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。

本申请第二方面提供一种网络访问控制方法，包括：

接收网络控制设备发送的网络访问请求，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

且，所述网络访问请求为所述目标地址信息属于第一白名单的访问请求，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。

本申请第三方面提供一种网络访问控制装置，包括：

第一接收模块，用于接收网络控制设备发送的网络访问请求，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

且，所述网络访问请求为所述目标地址信息属于第一白名单的访问请求，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

判断模块，用于判断所述待访问的业务服务器的地址信息是否属于第二白 名单，如果属于，将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。

本申请又一方面提供一种代理服务器，包括：处理器和存储器，所述存储器中存储有程序指令；

所述处理器执行所述存储器中存储的程序指令时执行上述第二方面所述的方法。

本申请又一方面提供一种计算机可读存储介质，存储有程序指令，处理器执行所存储的程序指令时执行上述第二方面所述的方法。

可见，本实施例提供的网络访问控制系统，只需要在网络控制设备处设置使用的代理服务器的地址信息以及端口，然后在代理服务器处设置允许访问的业务服务器的地址信息以及端口，简化了企业网络管理人员对网络控制设备的配置，可以降低配置的复杂度，降低出错的概率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为现有技术中的应用界面示意图；

图2为本发明实施例提供的一种网络访问控制系统的结构框图；

图3为本发明实施例提供的一种网络访问控制系统的信令流程图；

图4为本发明实施例提供的又一网络访问控制系统的信令流程图；

图5为本发明实施例提供的网络访问控制装置的结构示意图；

图6为本发明实施例提供的又一网络访问控制装置的结构示意图；

图7为本发明实施例提供的又一网络访问控制装置的结构示意图；

图8为本发明实施例提供的又一网络访问控制装置的结构示意图；

图9为本发明实施例提供的又一网络访问控制装置的结构示意图；

图10为本发明实施例提供的网络访问控制装置的硬件结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种网络访问控制系统，包括：客户端、网络控制设备、代理服务器以及业务服务器，其中，客户端发送网络访问请求至网络控制设备，网络控制设备判断目标地址信息是否属于第一白名单，如果属于，网络控制设备将网络访问请求发送至与目标地址信息对应的代理服务器。代理服务器判断待访问的业务服务器的地址信息是否属于第二白名单，如果属于，代理服务器将网络访问请求发送至待访问的业务服务器。可见，本发明提供的网络访问方法只需要在网络控制设备处设置使用的代理服务器的地址信息以及端口，然后在代理服务器处设置允许访问的业务服务器的地址信息以及端口，简化了企业网络管理人员对网络控制设备的配置，可以降低配置的复杂度，降低出错的概率。

请参阅图2，图2为本发明实施例提供的一种网络访问控制系统的结构框图，本发明实施例提供的网络访问控制方法可基于图2所示系统实现，参照图2，本发明实施例提供的网络访问控制系统可以包括：客户端2、网络控制设备1、代理服务器3以及业务服务器4。

其中，客户端2可以为至少一个企业员工B用于发送业务请求的客户端设备，如笔记本、台式机、平板电脑、手机等可供企业员工上网的设备，网络控制设备1可以是位于企业网络出口处的设备，如交换机、路由器、防火墙设备等。代理服务器可以为是介于网络控制设备1和业务服务器4之间的另一台服务器。

通常，当企业员工浏览网页的时候，客户端会根据需要去访问业务服务器，然后业务服务器接到网页访问请求后，会将目的站点的信息传送给客户端，以供用户浏览。

然而，在使用了代理服务器后，当企业员工想要访问一些站点资源的时候，客户端首先将网页访问请求发送至代理服务器，然后代理服务器去获取要访问 的信息，并且将其返回给客户端。需要说明的是，在代理服务器侧，可以对用户身份进行鉴定以及实现网络访问控制等。

业务服务器4可以为单台服务器，也可以为由多台服务器组成的服务器群组或者是一个云计算服务中心，业务服务器4用于下载网络数据资源，如获取游戏数据、软件应用数据(QQ、微信等)。

具体的，基于图2所示系统，图3示出了本发明实施例提供的网络访问控制系统的信令流程图，该网络访问控制系统包括：客户端2、网络控制设备1、代理服务器3以及业务服务器4，该信令交互过程可以包括：

步骤S100、客户端发送网络访问请求至网络控制设备。

其中，网络访问请求可以包括客户端的地址信息、待访问的业务服务器的地址信息、待传输的数据内容以及目标地址信息，所述目标地址信息为代理服务器的地址信息。需要说明的是，本实施例中，企业员工在使用客户端进行网络访问时，需要预先配置使用的代理服务器的信息。这样，当客户端发送网络访问请求时，客户端会将原网络访问请求进行预处理，即在原访问请求中包含的客户端的地址信息、待访问的业务服务器的地址信息以及待传输的数据内容的基础上，对原访问请求增加代理服务器的相关信息，如增加代理服务器的地址信息。

步骤S101、网络控制设备判断所述目标地址信息是否满足第一预设条件，如果满足，所述网络控制设备将所述网络访问请求发送至与所述目标地址信息对应的代理服务器。

需要说明的是，网络控制设备在使用前，需要通过企业网络管理人员对其进行白名单配置，但本方案中此处的白名单不同于现有技术中的白名单，本方案中的白名单只需为允许使用的代理服务器的地址信息的列表即可。判断所述目标地址信息是否满足第一预设条件可以为判断所述目标地址信息是否属于第一白名单，如果属于，则满足该第一预设条件，饿所述网络控制设备将所述网络访问请求发送至与所述目标地址信息对应的代理服务器，所述第一白名单包括允许访问的代理服务器的地址信息的列表。

网络控制设备中配置的白名单为第一白名单。

而现有技术中的白名单需要为允许访问的所有业务服务器的地址信息、端 口信息等数据。根据业务种类的不同，现有技术中网络控制设备所需配置的白名单的列表内容为多项，如某个企业允许客户端访问腾讯视频、QQ以及微信，那么，现有技术中的白名单需要至少记录腾讯视频对应的业务服务器的地址信息以及端口信息、QQ对应的业务服务器的地址信息以及端口信息、微信对应的业务服务器的地址信息以及端口信息。

当然，如果企业允许的网络访问业务越多，其网络管理人员就需要对应配置可访问的业务服务器的地址信息到当前网络控制设备的白名单中。由于业务的种类较多，企业网络管理人员需要管理和维护的白名单的数据也越多。而站在业务服务商的角度，为了提供更好的业务服务，其业务服务器会随时更新升级，相对应的业务服务器的地址信息以及端口可能改变，这就要求，企业网络管理人员对网络控制设备的白名单中的对应的业务服务器的地址信息以及端口信息进行更改，否则会造成不能正常访问该业务服务器。

而，本实施例中，企业的网络管理人员只需配置白名单中的代理服务器的地址信息，然后，网络控制设备判断客户端发送的目标地址信息是否为网络控制设备的白名单中记录的允许访问的代理服务器的地址信息。如果属于，则网络控制设备将所述网络访问请求进行放行，即将所述网络访问请求发送往与所述目标地址信息对应的代理服务器。如果客户端发送的目标地址信息不属于网络控制设备的白名单中记录的允许访问的代理服务器的地址信息，那么，网络控制设备可以直接将所述网络访问请求忽略，或者返回一个表征访问错误的响应信息至所述客户端。当然，也可以执行其他预设的动作，此处，可以根据企业的实际需求，进行设定。

值得一提的是，在此步骤中，当网络控制设备判断客户端发送的目标地址信息属于网络控制设备的白名单中记录的允许访问的代理服务器的地址信息时，需要将所述网络访问请求发送往与所述目标地址信息对应的代理服务器。此时，由于是企业客户端的内部向企业外部发送网络访问请求的关系，可以将客户端的地址信息以及端口信息替换成网络控制设备的地址信息以及端口信息，即将局域网中的IP地址统一成企业对外的一公共IP，如客户端2a的IP地址为“10.168.23.100”，端口为“1000”，客户端2b的IP地址为“10.168.23.99”，端口为“1000”，无论是客户端2a还是客户端2b，当其网络访问请求中的目标 地址信息属于白名单时，将该网络访问请求的IP地址信息转换成网络控制设备的IP地址信息。并同时记录一条跟踪信息，用于记录客户端地址信息和网络控制设备的地址信息的映射关系。

步骤S102、代理服务器判断所述待访问的业务服务器的地址信息是否满足第二预设条件，如果满足，所述代理服务器将所述网络访问请求发送至所述待访问的业务服务器。

其中，代理服务器在接收到网络访问请求后，解析所述网络访问请求，上文介绍了，该网络访问请求在客户端侧可以包括：客户端的地址信息、待访问的业务服务器的地址信息、待传输的数据内容以及目标地址信息，其中，所述目标地址信息为代理服务器的地址信息。然而，该网络访问请求在经过企业的网络控制设备后，已经将自身的客户端的地址信息转换成网络控制设备的地址信息，即，此时的网络访问请求包括：网络控制设备的地址信息、待访问的业务服务器的地址信息以及待传输的数据内容。

判断所述待访问的业务服务器的地址信息是否满足第二预设条件可以为判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，则满足第二预设条件，所述代理服务器将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。

代理服务器中配置的白名单为第二白名单。

然后，代理服务器当判断待访问的业务服务器的地址信息属于代理服务器的白名单中记录的允许访问的业务服务器的地址信息时，需要将所述网络访问请求发送往与所述待访问的业务服务器的地址信息对应的业务服务器。

如果代理服务器当判断待访问的业务服务器的地址信息不属于代理服务器的白名单中记录的允许访问的业务服务器的地址信息时，那么，代理服务器可以直接将所述网络访问请求忽略，或者返回一个表征访问错误的响应信息至所述网络控制设备，然后由所述网络控制设备将所述响应信息发送至所述客户端。

综上，可见，本实施例提供的网络访问控制系统，只需要在网络控制设备处设置使用的代理服务器的地址信息以及端口，然后在代理服务器处设置允许访问的业务服务器的地址信息以及端口，简化了企业网络管理人员对网络控制 设备的配置。而在代理服务器处配置允许访问的业务服务器的地址信息的白名单，当SAAS服务商的业务服务器进行升级维护后，只需由SAAS服务商的专业人员对代理服务器进行白名单更新替换，保证了白名单更新的及时性和准确性，而无需企业网络管理人员做任何操作。当多个企业的网络控制设备均使用同一代理服务器时，在某一业务服务器的地址信息发生改变时，也只需对代理服务器中不同企业的白名单中与该业务服务器对应的地址信息进行统一更改。如，企业A的网络控制设备对应的代理服务器为代理服务器A，企业B的网络控制设备对应的代理服务器也为代理服务器A，企业A需要维护的白名单包括QQ和微信，企业B需要维护的白名单包括QQ和腾讯视频，那么当QQ对应的业务服务器进行升级更换地址信息后，代理服务器对应的将QQ的业务服务器的地址进行更换即可，无需企业网络管理人员做任何操作，而，现有技术则需要企业A的网络管理人员将网络控制设备的白名单中的QQ的业务服务器的地址信息进行更换，同时，企业B的网络管理人员也需要将网络控制设备的白名单的QQ对应的业务服务器的地址信息进行更换，操作较为复杂。

在本申请的另一个实施例中，对该网络访问系统的数据反馈的流程进行介绍。参照图4，该信令交互过程包括：

步骤S103、所述待访问的业务服务器基于所述待传输的数据内容，生成一反馈数据，并将所述反馈数据发送往所述代理服务器。

步骤S104、所述代理服务器根据所述第二映射表，查找与所述代理服务器的地址信息对应的网络控制设备的地址信息；并将所述反馈数据发送至查找到的与所述网络控制设备的地址信息对应的网络控制设备。

步骤S105、所述网络控制设备根据所述第一映射表，查找与所述网络控制设备的地址信息对应的客户端的地址信息；并将所述反馈数据发送至查找到的与所述客户端的地址信息对应的客户端。

需要说明的是，在数据反馈的过程中，可以理解成沿原路返回。又由于网络访问的过程中，网络控制设备以及代理服务器均对其接收到的地址信息进行了白名单筛选，因此，在数据返回时，可以不再重复去对比当前的地址信息是否为白名单内的地址信息。最终将反馈数据发送到客户端。

具体的，本实施例提供一个采用本发明提供的网络访问控制系统的实例进行详细介绍，如网络控制设备为交换机，假定：

a.客户端在企业内部网络的地址为“10.168.23.100”，端口：1000；

b.企业网络的出口网络地址为“183.61.38.179”，端口1001；

c.SAAS服务代理服务器网络地址为：180.149.32.47，端口为：8080；支持SOCKS V5，不需要帐号验证；

d.SAAS业务服务器1的网络地址为：140.205.94.189，端口为：443；

e.SAAS业务服务器2的域名为：b.qq.com，端口为：80

在上述地址信息的基础上，该网络访问流程如下：

1.SAAS服务商在代理服务器上配置网络访问的白名单类似如下：

目标服务器白名单：

ip:140.205.94.189，端口：443；

域名：b.qq.com，端口：80；

具体形式可以实际代理服务器的配置标准为准，上述配置的含义是当数据包发送的目标地址为白名单中的其中一条时，则为合法数据包。

2.企业管理员进入本企业的企业交换机的管理页面，配置白名单类似如下：

目标服务器白名单：

ip:180.149.132.47，端口为：8080；

3.公司员工在SAAS应用客户端上设置使用代理服务器，配置使用代理服务器，类似如下：

网络设置：

类型：SOCKS V5地址：180.149.32.47端口8080。

4.客户端需要向SAAS业务服务器1(140.205.94.189:443)发送内容“Hello”。原始数据包中会包含下述信息(源地址10.168.23.100，端口1000，目标地址140.205.94.189，端口443，以及包文内容“Hello”)。因为使用了代理服务的配置，客户端上的所有数据包都会在原有数据包上进行一层封装，加上代理服务器的相关信息(包括目标地址180.149.32.47，端口为：8080，代理协议版本信息等)。新数据包会被改为发送到代理服务器的网络地址 (180.149.32.47:8080)。

5.交换机上判断上述新数据包的目标地址，因为其中的目标网络地址为(180.149.32.47:8080)，在白名单中已有配置，因此认为数据包是合法数据包，允许放行。因为从企业网络的内部向外部发送数据的关系，因此需要进行NAT地址转换过程：将数据包中的源端口号(1000)和源私有IP地址(10.168.23.100)转换成交换机自己的端口号(1001)和公网的IP地址(183.61.38.179)，然后将数据包发给外部网络的目的主机(180.149.32.47:8080)，同时记录一条跟踪信息在地址转换映像表中(10.168.23.100:1000--183.61.38.179:1001)。其中，新的源地址在因特网上是合法的并唯一的，可以被正确的定位到。

6.代理服务器接受到数据请求后，会解析出数据包中真正的包体数据，包括(替换后的新源地址183.61.38.179，新端口1001，目标地址140.205.94.189，端口443，以及包文内容“Hello”)。因为其中的目标地址和端口组合(140.205.94.189:443)在白名单中，因此会被判断为合法的数据包，可以被正常转发到目标地址。代理服务器会将数据包中的源地址替换为180.149.32.47，端口替换为1002，并记录映射关系(183.61.38.179:1001--180.149.32.47:1002)。新的数据包中，包的发送者信息就被完全替换成代理服务器。

7.当SAAS服务的业务服务器处理上述数据后，需要给客户端返回数据“Reply”，会组织相关数据包，包括以下内容(源地址140.205.94.189，端口443，目标地址为代理服务器地址180.149.32.47，端口8080，以及包文内容“Reply”)。

8.当代理服务器收到业务服务器返回的上述数据后，会根据其内部维护的映射关系，找到实际目标网络地址，并使用实际目标地址信息替换数据包中的目标地址(即代理服务器地址)，即使用(183.61.38.179:1001)。然后在服务器返回的数据上进行一层封装，加上代理服务器的信息，包括(源地址：180.149.32.47，端口8080，代理协议版本信息等)并将数据发送向目标的网络地址，即企业的出口ip地址。

9.上述由代理服务器返回的数据包会经过交换机，交换机判断数据包的来源地址。因为源地址为代理服务器地址，因此会被放行。类似的，这一步也同样需要经过NAT地址转换，根据映像表中的记录，将所收到数据包的端口号(1001)和公用IP地址(183.61.38.179)转换成目标主机的端口号(1000)和内部网 络中目标主机的专用IP地址(10.168.23.100)，并转发给目标主机。

10.客户端收到数据包后，会解析出真正的数据包内容，主要包括(源地址140.205.94.189，端口443，以及包文内容“Reply”)，从而接收到SAAS业务服务器1返回的数据。

上面介绍了客户端访问允许的网络地址信息的情况，现结合具体实例，提出了客户端在访问非允许的网络地址信息的案例进行介绍，如下：

若案例1中步骤1和步骤2的白名单配置已经完成。

1.公司员工在某款被禁用的客户端比如新浪微博上设置使用代理服务器，配置使用代理服务器，类似如下：

类型：SOCKS V5地址：180.149.32.47端口8080。

2.客户端需要向新浪微博业务服务器1(100.100.10.10:443)发送内容“Hello”。原始数据包中会包含下述信息(源地址10.168.23.100，端口8000，目标地址100.100.10.10，端口443，以及包文内容“Hello”)。因为使用了代理服务的配置，客户端上的所有数据包都会在原有数据包上进行一层封装，加上代理服务器的相关信息(包括目标地址180.149.32.47，端口为：8080，代理协议版本信息等)。新数据包会被改为发送到代理服务器的网络地址(180.149.32.47:8080)。

3.类似案例1，交换机会认为该请求目标地址是合法的，会正常进行转发。

4.代理服务器接受到数据请求后，会解析出实际目标地址100.100.10.10，端口443。因为其中的目标地址和端口组合(100.100.10.10:443)不在白名单中，因此该数据包被判定为非法数据包，会被直接丢弃。

5.客户端无法正常收到新浪微博的回包，因此该网络应用被成功限制住。

又如：

若案例1中步骤1和步骤2的白名单配置已经完成。

1.公司员工希望使用某款被禁用的客户端比如浏览器，但没有设置代理服务器。

2.员工使用浏览器访问http://www.taobao.com。

3.交换机判断其中的目标地址(www.taobao.com)没有在白名单中配置过，判定该请求目标地址是非法的，会直接进行丢弃。

4.客户端无法正常收到淘宝的回包，因此该网络应用被成功限制住。

下面对本发明实施例提供的网络访问控制装置进行介绍，下文描述的网络访问控制装置可与上文描述的网络访问控制系统相互对应参照。该网络访问控制装置可以是上述实施例中的代理服务器。

图5为本发明实施例提供的网络访问控制装置的结构框图，参照图5，该装置可以包括：

第一接收模块100，用于接收网络控制设备发送的网络访问请求，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

且，所述网络访问请求为所述目标地址信息属于第一白名单的访问请求，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

判断模块200，用于判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。

可选的，如图6所示，还包括：

处理模块300，用于将所述网络控制设备的地址信息更换成所述目标地址信息，并生成所述网络控制设备的地址信息与所述目标地址信息的第二映射表。

可选的，如图7所示，还包括：

发送模块400，用于将所述待传输的数据内容发送往所述待访问的业务服务器。

可选的，如图8所示，还包括：

第二接收模块500，用于接收所述待访问的业务服务器基于所述待传输的数据内容生成的反馈数据。

可选的，如图9所示，还包括：

查找模块600，用于根据所述第二映射表，查找与所述代理服务器的地址 信息对应的网络控制设备的地址信息；

发送模块400，还用于将所述反馈数据发送至查找到的与所述网络控制设备的地址信息对应的网络控制设备。

本发明实施例还提供有一种网络访问控制设备，该网络访问控制设备可以包括上述所述的网络访问控制装置。

可选的，图10示出了网络访问控制设备的硬件结构框图，参照图10，该网络访问控制设备可以包括：处理器1，通信接口2，存储器3和通信总线4；

其中处理器1、通信接口2、存储器3通过通信总线4完成相互间的通信；

可选的，通信接口2可以为通信模块的接口，如GSM模块的接口；

处理器1，用于执行程序；

存储器3，用于存放程序；

程序可以包括程序代码，所述程序代码包括计算机操作指令。

处理器1可能是一个中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器3可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

其中，程序可具体用于：

接收网络控制设备发送的网络访问请求，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

且，所述网络访问请求为所述目标地址信息属于第一白名单的访问请求，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。

综上所述，本发明实施例提供了一种网络访问控制系统，包括：客户端、 网络控制设备、代理服务器以及业务服务器，其中，客户端发送网络访问请求至网络控制设备，网络控制设备判断目标地址信息是否属于第一白名单，如果属于，网络控制设备将网络访问请求发送至与目标地址信息对应的代理服务器。代理服务器判断待访问的业务服务器的地址信息是否属于第二白名单，如果属于，代理服务器将网络访问请求发送至待访问的业务服务器。可见，本发明提供的网络访问方法只需要在网络控制设备处设置使用的代理服务器的地址信息以及端口，然后在代理服务器处设置允许访问的业务服务器的地址信息以及端口，简化了企业网络管理人员对网络控制设备的配置。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (19)

1. 一种网络访问控制系统，其特征在于，包括：客户端、网络控制设备、代理服务器以及业务服务器，

   所述客户端用于，发送网络访问请求至网络控制设备，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

   所述网络控制设备用于，判断所述目标地址信息是否属于第一白名单，如果属于，所述网络控制设备将所述网络访问请求发送至与所述目标地址信息对应的代理服务器，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

   所述代理服务器用于，判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，所述代理服务器将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。
2. 根据权利要求1所述的网络访问控制系统，其特征在于，所述网络访问请求还包括：客户端的地址信息，

   所述网络控制设备在判断所述目标地址信息属于第一白名单后，还用于：将所述客户端的地址信息更换成所述网络控制设备的地址信息，并生成所述客户端的地址信息与所述网络控制设备的地址信息的第一映射表。
3. 根据权利要求1或2所述的网络访问控制系统，其特征在于，所述代理服务器在判断所述待访问的业务服务器的地址信息属于第二白名单后，还用于：

   将所述网络控制设备的地址信息更换成所述目标地址信息，并生成所述网络控制设备的地址信息与所述目标地址信息的第二映射表。
4. 根据权利要求1-3任一所述的网络访问控制系统，其特征在于，所述网络访问请求还包括：待传输的数据内容，

   相应的，所述代理服务器将所述网络访问请求发送至所述待访问的业务服务器，包括：

   所述代理服务器将所述待传输的数据内容发送往所述待访问的业务服务 器。
5. 根据权利要求4所述的网络访问控制系统，其特征在于，所述待访问的业务服务器基于所述待传输的数据内容，生成一反馈数据，并将所述反馈数据发送往所述代理服务器。
6. 根据权利要求5所述的网络访问控制系统，其特征在于，所述代理服务器根据所述第二映射表，查找与所述代理服务器的地址信息对应的网络控制设备的地址信息；

   并将所述反馈数据发送至查找到的与所述网络控制设备的地址信息对应的网络控制设备。
7. 根据权利要求6所述的网络访问控制系统，其特征在于，所述网络控制设备根据所述第一映射表，查找与所述网络控制设备的地址信息对应的客户端的地址信息；

   并将所述反馈数据发送至查找到的与所述客户端的地址信息对应的客户端。
8. 一种网络访问控制方法，其特征在于，所述方法应用于代理服务器，所述方法包括：

   接收网络控制设备发送的网络访问请求，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

   且，所述网络访问请求为所述目标地址信息属于第一白名单的访问请求，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

   判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。
9. 根据权利要求8所述的网络访问控制方法，其特征在于，在判断所述待访问的业务服务器的地址信息属于第二白名单后，还包括：

   将所述网络控制设备的地址信息更换成所述目标地址信息，并生成所述网络控制设备的地址信息与所述目标地址信息的第二映射表。
10. 根据权利要求9所述的网络访问控制方法，其特征在于，所述网络访 问请求还包括：待传输的数据内容，

    相应的，所述将所述网络访问请求发送至所述待访问的业务服务器，包括：

    将所述待传输的数据内容发送往所述待访问的业务服务器。
11. 根据权利要求10所述的网络访问控制方法，其特征在于，还包括：

    接收所述待访问的业务服务器基于所述待传输的数据内容生成的反馈数据。
12. 根据权利要求11所述的网络访问控制方法，其特征在于，还包括：

    根据所述第二映射表，查找与所述代理服务器的地址信息对应的网络控制设备的地址信息；

    并将所述反馈数据发送至查找到的与所述网络控制设备的地址信息对应的网络控制设备。
13. 一种网络访问控制装置，其特征在于，所述网络访问控制装置为代理服务器，包括：

    第一接收模块，用于接收网络控制设备发送的网络访问请求，所述网络访问请求包括：待访问的业务服务器的地址信息以及目标地址信息，所述目标地址信息为预先配置的代理服务器的地址信息；

    且，所述网络访问请求为所述目标地址信息属于第一白名单的访问请求，所述第一白名单包括允许访问的代理服务器的地址信息的列表；

    判断模块，用于判断所述待访问的业务服务器的地址信息是否属于第二白名单，如果属于，将所述网络访问请求发送至所述待访问的业务服务器，所述第二白名单包括允许访问的业务服务器的地址信息的列表。
14. 根据权利要求13所述的网络访问控制装置，其特征在于，还包括：

    处理模块，用于将所述网络控制设备的地址信息更换成所述目标地址信息，并生成所述网络控制设备的地址信息与所述目标地址信息的第二映射表。
15. 根据权利要求14所述的网络访问控制装置，其特征在于，还包括：

    发送模块，用于将所述待传输的数据内容发送往所述待访问的业务服务器。
16. 根据权利要求15所述的网络访问控制装置，其特征在于，还包括：

    第二接收模块，用于接收所述待访问的业务服务器基于所述待传输的数据 内容生成的反馈数据。
17. 根据权利要求16所述的网络访问控制装置，其特征在于，还包括查找模块，

    所述查找模块，用于根据所述第二映射表，查找与所述代理服务器的地址信息对应的网络控制设备的地址信息；

    所述发送模块，还用于将所述反馈数据发送至查找到的与所述网络控制设备的地址信息对应的网络控制设备。
18. 一种代理服务器，包括：处理器和存储器，所述存储器中存储有程序指令；

    所述处理器执行所述存储器中存储的程序指令时执行根据权利要求8至12中任一项所述的方法。
19. 一种计算机可读存储介质，存储有程序指令，处理器执行所存储的程序指令时执行根据权利要求8至12任一项所述的方法。

Images