專(zhuān)利名稱(chēng):一種基于用戶(hù)的安全訪問(wèn)控制的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是一種基于用戶(hù)的安全訪問(wèn)控制的方法及裝置���,屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域�。
背景技術(shù):
防火墻是放置于網(wǎng)絡(luò)數(shù)據(jù)通路中間�����,隔離企業(yè)內(nèi)網(wǎng)和外網(wǎng)的安全訪問(wèn)控制設(shè)備�����,防火墻從網(wǎng)絡(luò)接口接收數(shù)據(jù)包���,根據(jù)數(shù)據(jù)包的源���、目的地址、協(xié)議類(lèi)型和協(xié)議端口��,查找安全規(guī)則���,符合安全規(guī)則允許策略的數(shù)據(jù)包被轉(zhuǎn)發(fā)�����,其他不允許的數(shù)據(jù)包被丟棄���,從而保證網(wǎng)絡(luò)的安全���。隨著各行各業(yè)的日常生產(chǎn)和管理流程的信息化、網(wǎng)絡(luò)化的普及�,以及不斷出現(xiàn)的網(wǎng)絡(luò)漏洞,攻擊等安全事件的發(fā)生�����,對(duì)于防火墻的安全規(guī)則管理配置的易用性���,安全功能的擴(kuò)展性以及安全事件的可追蹤性都提出了新的需求。目前的防火墻設(shè)備普遍采用數(shù)據(jù)包協(xié)議狀態(tài)檢測(cè)過(guò)濾技術(shù)����,需要安全管理員配置安全規(guī)則,設(shè)置允許通過(guò)的源���、目的地址���、協(xié)議類(lèi)型和協(xié)議端口信息,但該方法存在以下缺陷這種基于數(shù)據(jù)包地址和協(xié)議、端口的安全規(guī)則配置需要安全管理員理解專(zhuān)業(yè)的網(wǎng)絡(luò)術(shù)語(yǔ)����,易用性較差。
這種安全規(guī)則的設(shè)置和過(guò)濾方法��,訪問(wèn)控制的對(duì)象是網(wǎng)絡(luò)數(shù)據(jù)包的IP地址等信息���,不能和實(shí)際使用網(wǎng)絡(luò)的內(nèi)網(wǎng)用戶(hù)-人很好的關(guān)聯(lián)起來(lái)���,從而不能設(shè)置細(xì)粒度的權(quán)限管理和安全事件的事后追蹤。
簡(jiǎn)單的將IP地址和用戶(hù)��,或用戶(hù)計(jì)算機(jī)硬件MAC地址靜態(tài)綁定的方法����,在實(shí)際使用中,由于用戶(hù)可以不受防火墻控制的更改自己的IP地址�,或者用戶(hù)更換計(jì)算機(jī)等,帶來(lái)安全管理的不方便性��。
現(xiàn)有防火墻擴(kuò)展的用戶(hù)認(rèn)證技術(shù)�,需要在每個(gè)內(nèi)網(wǎng)用戶(hù)的終端計(jì)算機(jī)上安全客戶(hù)端軟件,使用起來(lái)不方便���。
發(fā)明內(nèi)容
本發(fā)明正是針對(duì)現(xiàn)有技術(shù)中存在的缺陷而提出了一種基于用戶(hù)的安全訪問(wèn)控制的方法及裝置�,本發(fā)明技術(shù)方案的目的有兩個(gè)一個(gè)是提供一種無(wú)需在終端計(jì)算機(jī)上安裝客戶(hù)端軟件,就能實(shí)現(xiàn)自動(dòng)將內(nèi)網(wǎng)用戶(hù)和數(shù)據(jù)包的IP地址等信息關(guān)聯(lián)���,并且可以根據(jù)用戶(hù)來(lái)設(shè)置安全規(guī)則及其擴(kuò)展安全策略的方法�,該方法實(shí)現(xiàn)了提高了防火墻易用性和網(wǎng)絡(luò)管理的更安全性的目的�,方便對(duì)于內(nèi)網(wǎng)用戶(hù)的細(xì)粒度權(quán)限管理和安全事件的事后追蹤,而且能夠很好的擴(kuò)展支持基于用戶(hù)的連接數(shù)限制和流量限制��。另一個(gè)目的是提供一種適用于上述基于用戶(hù)的安全訪問(wèn)控制方法的裝置�����,該裝置可以通過(guò)維護(hù)一張用戶(hù)策略表和擴(kuò)展防火墻狀態(tài)表���,在內(nèi)網(wǎng)用戶(hù)訪問(wèn)外網(wǎng)時(shí)自動(dòng)實(shí)現(xiàn)IP關(guān)聯(lián)����,安全策略匹配和安全事件追蹤��。
本發(fā)明的目的是通過(guò)以下措施來(lái)實(shí)現(xiàn)的該種基于用戶(hù)的安全訪問(wèn)控制方法�����,通過(guò)擴(kuò)展防火墻的狀態(tài)表�,在防火墻系統(tǒng)中增加了用戶(hù)策略表項(xiàng),用戶(hù)安全策略表中記錄用戶(hù)相關(guān)信息�����,用戶(hù)名稱(chēng)����、用戶(hù)狀態(tài)、用戶(hù)當(dāng)前IP地址�、用戶(hù)當(dāng)前總連接數(shù)、登錄時(shí)間�����、可訪問(wèn)的目的地址�����、可訪問(wèn)的服務(wù)��、最大限制連接數(shù)��、超時(shí)時(shí)間等�����,防火墻在接收到數(shù)據(jù)包后,增加根據(jù)源IP地址查找用戶(hù)安全策略表��,然后在根據(jù)查找結(jié)果進(jìn)行相應(yīng)的自動(dòng)關(guān)聯(lián)處理和用戶(hù)安全策略處理�����,實(shí)現(xiàn)更安全的訪問(wèn)控制�。
本發(fā)明擴(kuò)展了防火墻系統(tǒng)的狀態(tài)表項(xiàng),增加一個(gè)標(biāo)志位�����,用于動(dòng)態(tài)記錄該連接是否已經(jīng)通過(guò)用戶(hù)認(rèn)證�。當(dāng)用戶(hù)第一次訪問(wèn)外網(wǎng)時(shí),防火墻系統(tǒng)在用戶(hù)安全策略表中的沒(méi)有查找到該源IP地址相關(guān)的用戶(hù)信息��,然后防火墻系統(tǒng)自動(dòng)將該訪問(wèn)重定向?yàn)橄到y(tǒng)內(nèi)部的WEB認(rèn)證系統(tǒng)頁(yè)面��,在用戶(hù)終端的瀏覽器上顯示登錄提示�����,只有用戶(hù)正確輸入用戶(hù)名���,密碼和WEB頁(yè)面提示的校驗(yàn)碼后���,防火墻系統(tǒng)將自動(dòng)記錄該用戶(hù)的IP地址,登錄時(shí)間�����,設(shè)置用戶(hù)狀態(tài)為正常登錄����。之后,用戶(hù)將在安全管理員預(yù)先設(shè)定的用戶(hù)安全策略允許范圍內(nèi)��,訪問(wèn)外網(wǎng)資源��。如果一段時(shí)間內(nèi)�,用戶(hù)沒(méi)有訪問(wèn),防火墻系統(tǒng)內(nèi)部將用戶(hù)狀態(tài)超時(shí)���,刪除用戶(hù)表項(xiàng)���,下次再進(jìn)行訪問(wèn)時(shí),需要重新輸入用戶(hù)名�,密碼和WEB頁(yè)面提示的校驗(yàn)碼�。從而保證了基于用戶(hù)的設(shè)置安全策略��,和基于用戶(hù)的動(dòng)態(tài)IP地址關(guān)聯(lián)���,還可以擴(kuò)展支持基于用戶(hù)的連接限制等�����。
該種基于用戶(hù)的安全訪問(wèn)控制方法���,該方法的步驟分為配置和數(shù)據(jù)包處理先后兩個(gè)過(guò)程,其中配置過(guò)程的步驟是[1]在安全規(guī)則中����,首先為每一個(gè)內(nèi)網(wǎng)用戶(hù)添加用戶(hù)名和密碼,然后直接配置每個(gè)用戶(hù)可訪問(wèn)的目的地址和服務(wù)�,并設(shè)置每個(gè)用戶(hù)限制的最大連接數(shù); 在防火墻系統(tǒng)中創(chuàng)建一張用戶(hù)安全策略表�,并在狀態(tài)表中增加用戶(hù)認(rèn)證標(biāo)記選項(xiàng),用戶(hù)認(rèn)證標(biāo)記選項(xiàng)表示發(fā)起此訪問(wèn)連接的用戶(hù)是否已經(jīng)通過(guò)安全認(rèn)證�����;數(shù)據(jù)包處理過(guò)程的步驟是[3]網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)包到達(dá)安全網(wǎng)關(guān)時(shí),首先判斷數(shù)據(jù)包的類(lèi)型����,如果是TCP協(xié)議的狀態(tài)為SYN的數(shù)據(jù)包��,則按[3-1]的步驟處理���;如果不是TCP協(xié)議的狀態(tài)為SYN的數(shù)據(jù)包��,則按[3-2]的步驟處理[3-1]用該數(shù)據(jù)包的源IP地址作為索引��,查找用戶(hù)安全策略表���,如果查找到表項(xiàng),且該表項(xiàng)的用戶(hù)狀態(tài)為正常登錄��,則按[3-1-1]步驟處理�����;如果沒(méi)有查到表項(xiàng)��,或者查到表項(xiàng)的用戶(hù)狀態(tài)不是正常登錄����,則按[3-1-2]步驟處理[3-1-1]用該數(shù)據(jù)包的目的地址��、協(xié)議和端口信息和用戶(hù)安全策略表項(xiàng)的可訪問(wèn)的目的地址和可訪問(wèn)服務(wù)進(jìn)行比較�����,并用當(dāng)前總連接數(shù)和用戶(hù)最大連接數(shù)比較��,如果符合用戶(hù)策略�����,則用該數(shù)據(jù)包的源IP地址��、目的IP地址���、協(xié)議、源端口���、目的端口為索引�����,新加一個(gè)狀態(tài)表表項(xiàng)�,并設(shè)置該狀態(tài)表表項(xiàng)的標(biāo)志為用戶(hù)認(rèn)證已通過(guò),然后轉(zhuǎn)發(fā)該數(shù)據(jù)包到去往目的地址的所在接口�����;如果不符合用戶(hù)策略���,則直接丟棄該數(shù)據(jù)包,并記錄用戶(hù)日志����,記錄該用戶(hù)曾試圖訪問(wèn)某不合法資源被拒絕;[3-1-2]如果沒(méi)有查到用戶(hù)安全策略表�����,則將該訪問(wèn)外網(wǎng)連接的請(qǐng)求��,重定向到防火墻內(nèi)部的用戶(hù)認(rèn)證系統(tǒng)頁(yè)面�,給用戶(hù)終端瀏覽器返回登錄提示頁(yè)面;正確輸入用戶(hù)名�,密碼和WEB提示的校驗(yàn)碼后,增加一個(gè)用戶(hù)IP地址為該數(shù)據(jù)包源IP的用戶(hù)安全策略表項(xiàng)�;并新增加一個(gè)狀態(tài)表項(xiàng),將設(shè)置該狀態(tài)表表項(xiàng)的標(biāo)志為用戶(hù)認(rèn)證已通過(guò)�����;[3-2]用該數(shù)據(jù)包的源IP地址、目的IP地址���、協(xié)議�����、源端口��、目的端口為索引查找狀態(tài)表���,如果查找到配置的狀態(tài)表,則按照[3-2-1]的步驟處理��;如果沒(méi)有匹配的狀態(tài)表��,則按照[3-2-2]步驟處理���;[3-2-1]對(duì)于匹配到狀態(tài)表的情況�����,檢查狀態(tài)表項(xiàng)中的標(biāo)記為用戶(hù)認(rèn)證已通過(guò)����,且符合TCP、UDP或ICMP協(xié)議的狀態(tài)����,則直接轉(zhuǎn)發(fā)該數(shù)據(jù)包到去往目的地址的所在接口;否則�����,其他情況下都直接丟棄該數(shù)據(jù)包�;[3-2-2]對(duì)于沒(méi)有匹配到狀態(tài)表的情況����,用該數(shù)據(jù)包的源IP地址為索引查找用戶(hù)安全策略表,如果查找到表項(xiàng)���,且該表項(xiàng)的用戶(hù)狀態(tài)為正常登錄����,也按[3-1-1]步驟處理����;如果沒(méi)有查到表項(xiàng)��,或者查到表項(xiàng)的用戶(hù)狀態(tài)不是正常登錄���,也按[3-1-2]步驟處理。
在安全管理員配置時(shí)�,直接配置用戶(hù)的安全規(guī)則,防火墻系統(tǒng)自動(dòng)實(shí)現(xiàn)用戶(hù)的認(rèn)證和IP地址與用戶(hù)的關(guān)聯(lián)����。
適用于上述基于用戶(hù)的安全訪問(wèn)控制方法的裝置,它包括數(shù)據(jù)包接收模塊���、狀態(tài)表處理模塊�����、用戶(hù)安全策略表處理模塊和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊���,其特征在于該裝置還包括一個(gè)用戶(hù)WEB認(rèn)證系統(tǒng)模塊,它與用戶(hù)安全策略表處理模塊連接��,在用戶(hù)首次訪問(wèn)外網(wǎng)時(shí)��,用戶(hù)安全策略表處理模塊會(huì)將用戶(hù)訪問(wèn)請(qǐng)求重定向到該模塊�����,用戶(hù)登錄認(rèn)證通過(guò)后,用戶(hù)WEB認(rèn)證系統(tǒng)模塊能在用戶(hù)安全策略表中自動(dòng)設(shè)置IP地址和用戶(hù)的關(guān)聯(lián)���,認(rèn)證通過(guò)的后續(xù)連接只需要通過(guò)狀態(tài)表處理模塊和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊����。
圖1是本發(fā)明技術(shù)方案中數(shù)據(jù)包處理的計(jì)算機(jī)軟件的流程2是本發(fā)明技術(shù)方案裝置的結(jié)構(gòu)示意圖具體實(shí)施方式
以下將結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案作進(jìn)一步地詳述參見(jiàn)附圖1所示���,該種基于用戶(hù)的安全訪問(wèn)控制的方法是通過(guò)編程來(lái)實(shí)現(xiàn)的�,編程實(shí)現(xiàn)的軟件運(yùn)行在具有多個(gè)網(wǎng)絡(luò)接口的工控防火墻平臺(tái)上�,該裝置一般串接安裝在企業(yè)網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)的連接位置���,在保護(hù)外部不能非法入侵的同時(shí)���,對(duì)內(nèi)部用戶(hù)的對(duì)外訪問(wèn)進(jìn)行嚴(yán)格的訪問(wèn)權(quán)限控制。
該方法的步驟分為配置和數(shù)據(jù)包處理先后兩個(gè)過(guò)程��,其中配置過(guò)程的步驟是[1]在安全規(guī)則中��,首先為每一個(gè)內(nèi)網(wǎng)用戶(hù)添加用戶(hù)名和密碼�,然后直接配置每個(gè)用戶(hù)可訪問(wèn)的目的地址和服務(wù)��,并設(shè)置每個(gè)用戶(hù)限制的最大連接數(shù)�����;[2]在防火墻系統(tǒng)中創(chuàng)建一張用戶(hù)安全策略表�����,并在狀態(tài)表中增加用戶(hù)認(rèn)證標(biāo)記選項(xiàng)��,用戶(hù)認(rèn)證標(biāo)記選項(xiàng)表示發(fā)起此訪問(wèn)連接的用戶(hù)是否已經(jīng)通過(guò)安全認(rèn)證����;數(shù)據(jù)包處理過(guò)程的步驟是[3]網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)包到達(dá)安全網(wǎng)關(guān)時(shí)�,首先判斷數(shù)據(jù)包的類(lèi)型,如果是TCP協(xié)議的狀態(tài)為SYN的數(shù)據(jù)包��,則按[3-1]的步驟處理�����;如果不是TCP協(xié)議的狀態(tài)為SYN的數(shù)據(jù)包����,則按[3-2]的步驟處理 用該數(shù)據(jù)包的源IP地址作為索引��,查找用戶(hù)安全策略表�����,如果查找到表項(xiàng)��,且該表項(xiàng)的用戶(hù)狀態(tài)為正常登錄�,則按[3-1-1]步驟處理��;如果沒(méi)有查到表項(xiàng)���,或者查到表項(xiàng)的用戶(hù)狀態(tài)不是正常登錄���,則按[3-1-2]步驟處理[3-1-1]用該數(shù)據(jù)包的目的地址、協(xié)議和端口信息和用戶(hù)安全策略表項(xiàng)的可訪問(wèn)的目的地址和可訪問(wèn)服務(wù)進(jìn)行比較�����,并用當(dāng)前總連接數(shù)和用戶(hù)最大連接數(shù)比較����,如果符合用戶(hù)策略,則用該數(shù)據(jù)包的源IP地址���、目的IP地址��、協(xié)議��、源端口����、目的端口為索引���,新加一個(gè)狀態(tài)表表項(xiàng)���,并設(shè)置該狀態(tài)表表項(xiàng)的標(biāo)志為用戶(hù)認(rèn)證已通過(guò),然后轉(zhuǎn)發(fā)該數(shù)據(jù)包到去往目的地址的所在接口����;如果不符合用戶(hù)策略,則直接丟棄該數(shù)據(jù)包�����,并記錄用戶(hù)日志����,記錄該用戶(hù)曾試圖訪問(wèn)某不合法資源被拒絕�;[3-1-2]如果沒(méi)有查到用戶(hù)安全策略表����,則將該訪問(wèn)外網(wǎng)連接的請(qǐng)求,重定向到防火墻內(nèi)部的用戶(hù)認(rèn)證系統(tǒng)頁(yè)面����,給用戶(hù)終端瀏覽器返回登錄提示頁(yè)面;正確輸入用戶(hù)名����,密碼和WEB提示的校驗(yàn)碼后,增加一個(gè)用戶(hù)IP地址為該數(shù)據(jù)包源IP的用戶(hù)安全策略表項(xiàng)�����;并新增加一個(gè)狀態(tài)表項(xiàng)�����,將設(shè)置該狀態(tài)表表項(xiàng)的標(biāo)志為用戶(hù)認(rèn)證已通過(guò)�;[3-2]用該數(shù)據(jù)包的源IP地址、目的IP地址���、協(xié)議���、源端口、目的端口為索引查找狀態(tài)表�,如果查找到配置的狀態(tài)表,則按照[3-2-1]的步驟處理�;如果沒(méi)有匹配的狀態(tài)表,則按照[3-2-2]步驟處理�����;[3-2-1]對(duì)于匹配到狀態(tài)表的情況�����,檢查狀態(tài)表項(xiàng)中的標(biāo)記為用戶(hù)認(rèn)證已通過(guò)����,且符合TCP、UDP或ICMP協(xié)議的狀態(tài)���,則直接轉(zhuǎn)發(fā)該數(shù)據(jù)包到去往目的地址的所在接口�;否則��,其他情況下都直接丟棄該數(shù)據(jù)包;[3-2-2]對(duì)于沒(méi)有匹配到狀態(tài)表的情況�����,用該數(shù)據(jù)包的源IP地址為索引查找用戶(hù)安全策略表���,如果查找到表項(xiàng)�,且該表項(xiàng)的用戶(hù)狀態(tài)為正常登錄��,也按[3-1-1]步驟處理���;如果沒(méi)有查到表項(xiàng)��,或者查到表項(xiàng)的用戶(hù)狀態(tài)不是正常登錄���,也按[3-1-2]步驟處理。
在安全管理員配置時(shí)��,直接配置用戶(hù)的安全規(guī)則�,防火墻系統(tǒng)自動(dòng)實(shí)現(xiàn)用戶(hù)的認(rèn)證和IP地址與用戶(hù)的關(guān)聯(lián)。
參見(jiàn)附圖1~2所示����,該種適用于上述基于用戶(hù)的安全訪問(wèn)控制方法的裝置是通過(guò)編程來(lái)實(shí)現(xiàn)的����,它包括數(shù)據(jù)包接收模塊1�����、狀態(tài)表處理模塊2�、用戶(hù)安全策略表處理模塊3和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊4�����,其特征在于該裝置還包括一個(gè)用戶(hù)WEB認(rèn)證系統(tǒng)模塊5����,它與用戶(hù)安全策略表處理模塊3連接,在用戶(hù)首次訪問(wèn)外網(wǎng)時(shí)��,用戶(hù)安全策略表處理模塊會(huì)將用戶(hù)訪問(wèn)請(qǐng)求重定向到該模塊���,用戶(hù)登錄認(rèn)證通過(guò)后����,用戶(hù)WEB認(rèn)證系統(tǒng)模塊5能在用戶(hù)安全策略表中自動(dòng)設(shè)置IP地址和用戶(hù)的關(guān)聯(lián)��,認(rèn)證通過(guò)的后續(xù)連接只需要通過(guò)狀態(tài)表處理模塊2和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊4。
首先數(shù)據(jù)包接收模塊1負(fù)責(zé)接收網(wǎng)絡(luò)數(shù)據(jù)包�����,然后交給狀態(tài)表處理模塊2�����,對(duì)于第一次訪問(wèn)的數(shù)據(jù)包會(huì)再先后經(jīng)過(guò)用戶(hù)安全策略表處理模塊3和用戶(hù)WEB認(rèn)證系統(tǒng)模塊5����,最后由數(shù)據(jù)包轉(zhuǎn)發(fā)模塊4發(fā)送出去;對(duì)于后續(xù)訪問(wèn)的數(shù)據(jù)包����,則直接經(jīng)過(guò)狀態(tài)表處理模塊2后,交給數(shù)據(jù)包轉(zhuǎn)發(fā)模塊4發(fā)送出去�。
本發(fā)明在無(wú)需終端計(jì)算機(jī)安裝客戶(hù)端軟件的情況下解決了用戶(hù)和IP地址的動(dòng)態(tài)自動(dòng)關(guān)聯(lián)問(wèn)題,對(duì)于用戶(hù)訪問(wèn)外網(wǎng)行為增加了基于WEB方式的用戶(hù)名和密碼鑒權(quán)���,提高了防火墻系統(tǒng)的易用性��、安全性和管理的方便性���,達(dá)到了使得防火墻系統(tǒng)能夠更方便對(duì)于內(nèi)網(wǎng)用戶(hù)的細(xì)粒度權(quán)限管理和安全事件的事后追蹤的目的��。
權(quán)利要求
1.一種基于用戶(hù)的安全訪問(wèn)控制的方法�,其特征在于該方法的步驟分為配置和數(shù)據(jù)包處理先后兩個(gè)過(guò)程�,其中配置過(guò)程的步驟是[1]在安全規(guī)則中,首先為每一個(gè)內(nèi)網(wǎng)用戶(hù)添加用戶(hù)名和密碼�����,然后直接配置每個(gè)用戶(hù)可訪問(wèn)的目的地址和服務(wù)����,并設(shè)置每個(gè)用戶(hù)限制的最大連接數(shù)���;[2]在防火墻系統(tǒng)中創(chuàng)建一張用戶(hù)安全策略表�,并在狀態(tài)表中增加用戶(hù)認(rèn)證標(biāo)記選項(xiàng)���,用戶(hù)認(rèn)證標(biāo)記選項(xiàng)表示發(fā)起此訪問(wèn)連接的用戶(hù)是否已經(jīng)通過(guò)安全認(rèn)證����;數(shù)據(jù)包處理過(guò)程的步驟是[3]網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)包到達(dá)安全網(wǎng)關(guān)時(shí)�����,首先判斷數(shù)據(jù)包的類(lèi)型,如果是TCP協(xié)議的狀態(tài)為SYN的數(shù)據(jù)包��,則按[3-1]的步驟處理�����;如果不是TCP協(xié)議的狀態(tài)為SYN的數(shù)據(jù)包��,則按[3-2]的步驟處理[3-1]用該數(shù)據(jù)包的源IP地址作為索引�,查找用戶(hù)安全策略表,如果查找到表項(xiàng)����,且該表項(xiàng)的用戶(hù)狀態(tài)為正常登錄,則按[3-1-1]步驟處理�����;如果沒(méi)有查到表項(xiàng)����,或者查到表項(xiàng)的用戶(hù)狀態(tài)不是正常登錄,則按[3-1-2]步驟處理[3-1-1]用該數(shù)據(jù)包的目的地址��、協(xié)議和端口信息和用戶(hù)安全策略表項(xiàng)的可訪問(wèn)的目的地址和可訪問(wèn)服務(wù)進(jìn)行比較,并用當(dāng)前總連接數(shù)和用戶(hù)最大連接數(shù)比較�,如果符合用戶(hù)策略,則用該數(shù)據(jù)包的源IP地址�����、目的IP地址����、協(xié)議、源端口�����、目的端口為索引���,新加一個(gè)狀態(tài)表表項(xiàng),并設(shè)置該狀態(tài)表表項(xiàng)的標(biāo)志為用戶(hù)認(rèn)證已通過(guò)��,然后轉(zhuǎn)發(fā)該數(shù)據(jù)包到去往目的地址的所在接口�����;如果不符合用戶(hù)策略�,則直接丟棄該數(shù)據(jù)包,并記錄用戶(hù)日志,記錄該用戶(hù)曾試圖訪問(wèn)某不合法資源被拒絕���;[3-1-2]如果沒(méi)有查到用戶(hù)安全策略表���,則將該訪問(wèn)外網(wǎng)連接的請(qǐng)求,重定向到防火墻內(nèi)部的用戶(hù)認(rèn)證系統(tǒng)頁(yè)面�,給用戶(hù)終端瀏覽器返回登錄提示頁(yè)面;正確輸入用戶(hù)名��,密碼和WEB提示的校驗(yàn)碼后��,增加一個(gè)用戶(hù)IP地址為該數(shù)據(jù)包源IP的用戶(hù)安全策略表項(xiàng)���;并新增加一個(gè)狀態(tài)表項(xiàng)��,將設(shè)置該狀態(tài)表表項(xiàng)的標(biāo)志為用戶(hù)認(rèn)證已通過(guò)��;[3-2]用該數(shù)據(jù)包的源IP地址���、目的IP地址、協(xié)議�、源端口、目的端口為索引查找狀態(tài)表��,如果查找到配置的狀態(tài)表,則按照[3-2-1]的步驟處理���;如果沒(méi)有匹配的狀態(tài)表�����,則按照[3-2-2]步驟處理��;[3-2-1]對(duì)于匹配到狀態(tài)表的情況����,檢查狀態(tài)表項(xiàng)中的標(biāo)記為用戶(hù)認(rèn)證已通過(guò)��,且符合TCP�、UDP或ICMP協(xié)議的狀態(tài),則直接轉(zhuǎn)發(fā)該數(shù)據(jù)包到去往目的地址的所在接口���;否則,其他情況下都直接丟棄該數(shù)據(jù)包�;[3-2-2]對(duì)于沒(méi)有匹配到狀態(tài)表的情況,用該數(shù)據(jù)包的源IP地址為索引查找用戶(hù)安全策略表���,如果查找到表項(xiàng)����,且該表項(xiàng)的用戶(hù)狀態(tài)為正常登錄,也按[3-1-1]步驟處理�;如果沒(méi)有查到表項(xiàng),或者查到表項(xiàng)的用戶(hù)狀態(tài)不是正常登錄����,也按[3-1-2]步驟處理。
2.根據(jù)權(quán)利要求1所述的防火墻中進(jìn)行用戶(hù)策略處理的方法�,其特征在于在安全管理員配置時(shí),直接配置用戶(hù)的安全規(guī)則����,防火墻系統(tǒng)自動(dòng)實(shí)現(xiàn)用戶(hù)的認(rèn)證和IP地址與用戶(hù)的關(guān)聯(lián)。
3.一種適用于上述基于用戶(hù)的安全訪問(wèn)控制方法的裝置����,它包括數(shù)據(jù)包接收模塊(1)、狀態(tài)表處理模塊(2)����、用戶(hù)安全策略表處理模塊(3)和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊(4),其特征在于該裝置還包括一個(gè)用戶(hù)WEB認(rèn)證系統(tǒng)模塊(5)�,它與用戶(hù)安全策略表處理模塊(3)連接,在用戶(hù)首次訪問(wèn)外網(wǎng)時(shí)���,用戶(hù)安全策略表處理模塊會(huì)將用戶(hù)訪問(wèn)請(qǐng)求重定向到該模塊���,用戶(hù)登錄認(rèn)證通過(guò)后�����,用戶(hù)WEB認(rèn)證系統(tǒng)模塊(5)能在用戶(hù)安全策略表中自動(dòng)設(shè)置IP地址和用戶(hù)的關(guān)聯(lián)�,認(rèn)證通過(guò)的后續(xù)連接只需要通過(guò)狀態(tài)表處理模塊(2)和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊(4)�����。
全文摘要
本發(fā)明是一種基于用戶(hù)的安全訪問(wèn)控制的方法及裝置���,通過(guò)擴(kuò)展防火墻的狀態(tài)表����,在防火墻系統(tǒng)中增加了用戶(hù)策略表項(xiàng)�,用戶(hù)安全策略表中記錄用戶(hù)相關(guān)信息。防火墻在接收到數(shù)據(jù)包后��,增加根據(jù)源IP地址查找用戶(hù)安全策略表����,然后在根據(jù)查找結(jié)果進(jìn)行相應(yīng)的自動(dòng)關(guān)聯(lián)處理和用戶(hù)安全策略處理,實(shí)現(xiàn)更安全的訪問(wèn)控制�。本發(fā)明在無(wú)需終端計(jì)算機(jī)安裝客戶(hù)端軟件的情況下解決了用戶(hù)和IP地址的動(dòng)態(tài)自動(dòng)關(guān)聯(lián)問(wèn)題,對(duì)于用戶(hù)訪問(wèn)外網(wǎng)行為增加了基于WEB方式的用戶(hù)名和密碼鑒權(quán)����,提高了防火墻系統(tǒng)的易用性、安全性和管理的方便性���,達(dá)到了使得防火墻系統(tǒng)能夠更方便對(duì)于內(nèi)網(wǎng)用戶(hù)的細(xì)粒度權(quán)限管理和安全事件的事后追蹤的目的��。
文檔編號(hào)H04L12/46GK101087187SQ20071010316
公開(kāi)日2007年12月12日 申請(qǐng)日期2007年5月22日 優(yōu)先權(quán)日2007年5月22日
發(fā)明者倪縣樂(lè), 劉建鋒, 王剛, 肖為劍, 宋斌 申請(qǐng)人:網(wǎng)御神州科技(北京)有限公司