一种网络访问的控制方法和装置
技术领域
本申请涉及计算机领域,尤其涉及一种网络访问的控制方法和装置。
背景技术
在可信计算领域,由可信管理服务器为各个终端配置控制策略来控制终端上的网络数据的访问操作。目前的配置方式是由可信管理服务器针对不同的终端分别逐项选择配置的内容配置给各个终端,这种方式的配置效率较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供了一种网络访问的控制方法和装置,以至少解决相关技术中网络访问策略的配置效率较低的技术问题。
根据本申请实施例的一个方面,提供了一种网络访问的控制方法,包括:
接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,所述目标网络策略用于对所述第一终端上的第一网络数据进行控制,所述目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的第一访问日志进行学习的过程,所述第一访问日志包括对所述第二终端上的第二网络数据所进行的控制操作;
响应所述策略获取指示从所述可信管理服务器获取所述目标网络策略;
向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标网络策略在所述第一终端上确认生效;
执行所述目标网络策略对所述第一终端上的第一网络数据进行控制。
可选地,使用所述目标网络策略对所述第一终端上的第一网络数据进行控制包括:
截获在所述第一终端上的所述第一网络数据;
确定所述第一终端是否处于策略学习模式;
在确定所述第一终端处于策略学习模式的情况下,将所述第一网络数据与所述目标网络策略进行匹配,得到第一匹配结果;
生成所述第一匹配结果对应的第二访问日志;
上报所述第二访问日志,并放行所述第一网络数据。
可选地,确定所述第一终端是否处于策略学习模式包括:
接收启动指示,其中,所述启动指示用于指示所述第一终端启动第二策略学习过程;
响应所述启动指示启动所述第二策略学习过程,并确定所述第一终端处于所述策略学习模式;
在接收到关闭指示的情况下,关闭所述第二策略学习过程,并确定所述第一终端未处于所述策略学习模式。
可选地,在确定所述第一终端是否处于策略学习模式之后,所述方法还包括:
在确定所述第一终端未处于所述策略学习模式下的情况下,将所述第一网络数据与所述目标网络策略进行匹配,得到第二匹配结果;
根据所述第二匹配结果控制所述第一网络数据。
可选地,将所述第一网络数据与所述目标网络策略进行匹配,得到所述第二匹配结果包括:
检测所述目标网络策略中包括的第一传输地址列表中是否包括所述第一网络数据的传输地址,其中,所述第一传输地址列表用于记录允许传输所述第一网络数据的传输地址;
在所述第一传输地址列表中不包括所述第一网络数据的传输地址的情况下,检测所述目标网络策略中包括的第二传输地址列表中是否包括所述第一网络数据的传输地址,其中,所述第二传输地址列表用于记录不允许传输所述第一网络数据的传输地址;
在所述第一传输地址列表中包括所述第一网络数据的传输地址,或者,所述第二传输地址列表中不包括所述第一网络数据的传输地址的情况下,检测所述目标网络策略中包括的传输端口列表中是否包括所述第一网络数据的传输端口,其中,所述传输端口列表用于记录不允许传输所述第一网络数据的传输端口;
在所述第二传输地址列表中包括所述第一网络数据的传输地址,或者,所述传输端口列表中包括所述第一网络数据的传输端口的情况下,将所述第一网络数据的数据标识设置为目标标识,其中,所述目标标识用于指示拦截所述第一网络数据;
在所述传输端口列表中不包括所述第一网络数据的传输端口的情况下,确定不设置所述第一网络数据的数据标识。
可选地,检测所述传输端口列表中是否包括所述第一网络数据的传输端口包括:
检测所述第一网络数据的传输协议;
在所述第一网络数据的传输协议为第一传输协议的情况下,确定所述第一网络数据的传输方式,其中,所述传输方式包括发送所述第一网络数据和接收所述第一网络数据;
在所述第一网络数据的传输方式为发送所述第一网络数据的情况下,确定不设置所述第一网络数据的数据标识;
在所述第一网络数据的传输协议为第二传输协议,或者,所述第一网络数据的传输方式为接收所述第一网络数据的情况下,检测所述传输端口列表中是否包括所述第一网络数据的传输端口。
可选地,根据所述匹配结果控制所述第一网络数据包括:
确定所述第一网络数据是否设置了所述目标标识;
在确定所述第一网络数据设置了所述目标标识的情况下,拦截所述第一网络数据,并生成审计日志;向所述可信管理服务器上报所述审计日志;
在确定所述第一网络数据未设置所述目标标识的情况下,放行所述第一网络数据。
可选地,在接收策略获取指示之前,所述方法还包括:
通过所述可信管理服务器确定一个或者多个终端,其中,所述一个或者多个终端包括所述第一终端;
通过所述可信管理服务器确定所述一个或者多个终端对应的策略模板;
通过所述可信管理服务器使用所述策略模板生成所述目标网络策略;
通过所述可信管理服务器向所述一个或者多个终端发送所述策略获取指示,其中,所述策略获取指示用于指示所述一个或者多个终端从所述可信管理服务器获取所述目标网络策略。
根据本申请实施例的另一方面,还提供了一种网络访问的控制装置,包括:
接收模块,用于接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,所述目标网络策略用于对所述第一终端上的第一网络数据进行控制,所述目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的第一访问日志进行学习的过程,所述第一访问日志包括对所述第二终端上的第二网络数据所进行的控制操作;
获取模块,用于响应所述策略获取指示从所述可信管理服务器获取所述目标网络策略;
第一发送模块,用于向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标网络策略在所述第一终端上确认生效;
第一控制模块,用于执行所述目标网络策略对所述第一终端上的第一网络数据进行控制。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。
根据本申请实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。
在本申请实施例中,采用接收策略获取指示,其中,策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,目标网络策略用于对第一终端上的第一网络数据进行控制,目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,第一策略学习过程为对第二终端上的第一访问日志进行学习的过程,第一访问日志包括对第二终端上的第二网络数据所进行的控制操作;响应策略获取指示从可信管理服务器获取目标网络策略;向可信管理服务器发送策略生效信息,其中,策略生效信息用于指示目标网络策略在第一终端上确认生效;执行目标网络策略对第一终端上的第一网络数据进行控制的方式,通过在第二终端上执行的用于对所述第二终端上的网络控制策略进行学习的第一策略学习过程生成目标网络策略,将目标网络策略配置给第二终端之外的第一终端,使得目标网络策略在第一终端上生效后,第一终端能够通过执行目标网络策略对第一网络数据的操作进行控制,避免了选择控制策略时的重复操作,达到了快速配置网络访问的控制策略的目的,从而实现了提高网络访问策略的配置效率的技术效果,进而解决了相关技术中网络访问策略的配置效率较低的技术问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例的网络访问的控制方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的网络访问的控制方法的流程图;
图3是根据本申请可选的实施方式的一种网络控制策略生效过程的示意图;
图4是根据本申请可选的实施方式的一种网络策略的配置过程的示意图;
图5是根据本申请实施例的一种访问日志的备份过程的示意图;
图6是根据本申请可选的实施方式的一种网络数据包的处理过程的示意图;
图7是根据本申请可选的实施方式的一种策略学习过程的示意图;
图8是根据本申请实施例的一种可选的网络访问的控制装置的示意图;
图9是根据本申请实施例的一种终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
可选地,在本实施例中,图1是根据本申请实施例的网络访问策略的配置方法的硬件环境的示意图,上述网络访问策略的配置方法可以应用于如图1所示的由终端101和服务器103所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的客户端提供服务(如游戏服务、应用服务等),可在服务器上或独立于服务器设置数据库,用于为服务器103提供数据存储服务,上述网络包括但不限于:广域网、城域网或局域网,服务器103可以但不限于作为管理中心用于对终端101上的对象访问控制策略进行管理,包括:配置、删改、启动、关闭等等,终端101并不限定于PC、手机、平板电脑等。本申请实施例的网络访问策略的配置方法可以由服务器103来执行,也可以由终端101来执行,还可以是由服务器103和终端101共同执行。其中,终端101执行本申请实施例的网络访问策略的配置方法也可以是由安装在其上的客户端来执行。
根据本申请实施例的一方面,提供了一种网络访问的控制的方法实施例。图2是根据本申请实施例的一种可选的网络访问的控制方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S202,接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,所述目标网络策略用于对所述第一终端上的第一网络数据进行控制,所述目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的第一访问日志进行学习的过程,所述第一访问日志包括对所述第二终端上的第二网络数据所进行的控制操作;
步骤S204,响应所述策略获取指示从所述可信管理服务器获取所述目标网络策略;
步骤S206,向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标网络策略在所述第一终端上确认生效;
步骤S208,执行所述目标网络策略对所述第一终端上的第一网络数据进行控制。
通过上述步骤S202至步骤S208,通过在第二终端上执行的用于对所述第二终端上的网络控制策略进行学习的第一策略学习过程生成目标网络策略,将目标网络策略配置给第二终端之外的第一终端,使得目标网络策略在第一终端上生效后,第一终端能够通过执行目标网络策略对第一网络数据的操作进行控制,避免了选择控制策略时的重复操作,达到了快速配置网络访问的控制策略的目的,从而实现了提高网络访问策略的配置效率的技术效果,进而解决了相关技术中网络访问策略的配置效率较低的技术问题。
可选地,在本实施例中,上述网络访问策略的配置的方法可以但不限于由上述终端101执行。对于终端101来说,服务器103作为管理中心可以为其提供对象访问控制策略的管理服务,终端101也可以作为服务器为其他终端提供服务,比如:多媒体播放服务,多媒体制作服务,直播服务,游戏服务,购物服务,金融理财服务等等。终端101也可以但不限于包括手机,平板,智能穿戴设备,智能家居设备,PC等等。
在步骤S202提供的技术方案中,目标网络策略用于对第一网络数据进行控制,第一网络数据可以但不限于是第一终端接收的第一网络数据,也可以是第一终端发送的第一网络数据。
可选地,在本实施例中,目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,第一策略学习过程为对第二终端上的第一访问日志进行学习的过程,第一访问日志包括对第二终端上的第二网络数据所进行的控制操作。在第二终端上执行第一策略学习过程来对第二终端上的第一访问日志进行学习时,能够生成第一策略学习过程对应的目标网络策略。生成的目标网络策略能够配置给第二终端之外的其他终端,比如第一终端,使得第一终端能够对访问第一对象的操作进行控制。
可选地,在本实施例中,第一终端可以但不限于通过心跳的方式得到策略获取指示的通知。
在步骤S204提供的技术方案中,第一终端接收到策略获取指示,得知其需要获取的目标网络策略后,可以但不限于以发送请求的方式从可信管理服务器获取目标网络策略。比如:第一终端向可信管理服务器发送请求以向可信管理服务器请求目标网络策略,可信管理服务器响应第一终端的请求向第一终端提供目标网络策略,第一终端从而获取到目标网络策略。
在一个可选的实施方式中,提供了一种网络控制策略在终端上生效的方式,图3是根据本申请可选的实施方式的一种网络控制策略生效过程的示意图,如图3所示,管理中心(相当于上述可信管理服务器)下发网络控制策略(策略包括:黑名单IP、白名单IP、黑名单PORT和白名单PORT)到终端,终端把接收到的网络控制策略等发送到Xbase服务程序,Xbase程序解析策略文件,最后下发策略到终端的内核模块来执行。管理中心可以将策略模板中的策略全部发送到终端,终端进行策略表的整体替换。
在步骤S206提供的技术方案中,第一终端从可信管理服务器获取到目标网络策略后,第一终端向可信管理服务器发送用于指示目标网络策略在第一终端上确认生效的策略生效信息,以使可信管理服务器得知目标网络策略以在第一终端上生效。
可选地,在本实施例中,第一终端上的目标网络策略生效后,还可以将第二访问日志上传至可信管理服务器。
在一个可选的实施方式中,提供了一种网络策略的配置过程,图4是根据本申请可选的实施方式的一种网络策略的配置过程的示意图,如图4所示,在可信管理服务器上选择终端,并输入网络控制内容(可以通过选择模板的方式,也可以通过输入的方式),网络控制内容包括白名单、黑名单和端口列表,可信管理服务器创建策略,并通过心跳通知终端获取策略,响应终端发送的策略获取请求为终端提供策略,终端确认获取到的策略模板并向可信管理服务器确认策略生效,终端上的策略生效后,可信管理服务器接收终端上报的第二访问日志。选择的策略模板和终端上报的第二访问日志均可以被写入到数据库中。
在步骤S208提供的技术方案中,第一终端可以使用目标网络策略对第一网络数据进行控制,第一网络数据可以但不限于包括:第一终端接收的第一网络数据和第一终端发送的第一网络数据等等。
作为一种可选的实施例,使用所述目标网络策略对所述第一终端上的第一网络数据进行控制包括:
S11,截获在所述第一终端上的所述第一网络数据;
S12,确定所述第一终端是否处于策略学习模式;
S13,在确定所述第一终端处于策略学习模式的情况下,将所述第一网络数据与所述目标网络策略进行匹配,得到第一匹配结果;
S14,生成所述第一匹配结果对应的第二访问日志;
S15,上报所述第二访问日志,并放行所述第一网络数据。
可选地,在本实施例中,在第一终端处于不同的模式下,对截获的第一网络数据执行不同的操作,如果第一终端处于策略学习模式,则将第一网络数据与目标网络策略进行匹配,得到第一匹配结果,生成并上报第二访问日志,但第一终端对于截获的第一网络数据不会根据第一匹配结果进行操作控制,而是均执行放行的操作。
可选地,在本实施例中,上述策略学习模式可以但不限于是指网络控制学习模式,终端上执行的学习模式还可以包括:全盘学习模式、访问控制学习模式、白名单学习模式等等。只有确定了第一终端处于网络控制学习模式下,才会对第一网络数据和目标网络策略执行匹配操作,并生成和上报第二访问日志。第一终端在其他的学习模式下可以但不限于执行各自对应的操作,比如:第一终端在全盘学习模式下对第一网络数据直接执行放行操作并生成和上报全盘学习模式的日志。
可选地,在本实施例中,可信管理服务器可以对获取到的第一终端上报的第二访问日志进行备份。图5是根据本申请实施例的一种第二访问日志的备份过程的示意图,如图5所示,读取配置文件获取保留日志文件的天数,在保留期限内每日凌晨备份日志,判断内存空间是否充足,如果充足,则将日志备份到本地sql文件。如果内存空间不充足,则定时检测磁盘空间,发起空间警告提示管理员,由管理员手动处理空间。
作为一种可选的实施例,确定所述第一终端是否处于策略学习模式包括:
S21,接收启动指示,其中,所述启动指示用于指示所述第一终端启动第二策略学习过程;
S22,响应所述启动指示启动所述第二策略学习过程,并确定所述第一终端处于所述策略学习模式;
S23,在接收到关闭指示的情况下,关闭所述第二策略学习过程,并确定所述第一终端未处于所述策略学习模式。
可选地,在本实施例中,第一终端执行第二策略学习过程时相当于第一终端处于策略学习模式。
可选地,在本实施例中,第一终端可以根据可信管理服务器的指示启动或者关闭第二策略学习过程,在第二策略学习过程中产生的第二访问日志会被第一终端上传到可信管理服务器上,可信管理服务器可以利用这些第二访问日志生成策略模板用于为其他终端配置网络控制策略。
可选地,在本实施例中,第二策略学习过程可以但不限于是对目标网络策略进行学习的过程,第一终端在第二策略学习过程中处于网络控制的学习状态,在网络控制的学习状态下,第一终端可以对截获的第一网络数据均执行放行的操作,并根据不同的第一匹配结果来选择是否上报第二访问日志。比如:如果第一匹配结果指示了第一网络数据匹配到了目标网络策略,则放行第一网络数据并生成第二访问日志进行上报,如果第一匹配结果指示了第一网络数据未匹配到目标网络策略,则放行第一网络数据但不生成第二访问日志。
作为一种可选的实施例,在确定所述第一终端是否处于策略学习模式之后,还包括:
S31,在确定所述第一终端未处于所述策略学习模式下的情况下,将所述第一网络数据与所述目标网络策略进行匹配,得到第二匹配结果;
S32,根据所述第二匹配结果控制所述第一网络数据。
可选地,在本实施例中,在目标网络策略生效后,第一终端可以使用目标网络策略对第一终端上的第一网络数据进行控制,对于从第一终端上截获的第一网络数据,将其与目标网络策略进行匹配,根据匹配结果处理第一网络数据,从而实现对第一网络数据的控制。如果第一终端未处于策略学习模式下,则将第一网络数据与目标网络策略进行匹配,得到第二匹配结果,根据第二匹配结果控制第一网络数据,控制方式可以但不限于包括对第一网络数据进行放行或者拦截操作等等。
作为一种可选的实施例,将所述第一网络数据与所述目标网络策略进行匹配,得到所述第二匹配结果包括:
S41,检测所述目标网络策略中包括的第一传输地址列表中是否包括所述第一网络数据的传输地址,其中,所述第一传输地址列表用于记录允许传输所述第一网络数据的传输地址;
S42,在所述第一传输地址列表中不包括所述第一网络数据的传输地址的情况下,检测所述目标网络策略中包括的第二传输地址列表中是否包括所述第一网络数据的传输地址,其中,所述第二传输地址列表用于记录不允许传输所述第一网络数据的传输地址;
S43,在所述第一传输地址列表中包括所述第一网络数据的传输地址,或者,所述第二传输地址列表中不包括所述第一网络数据的传输地址的情况下,检测所述目标网络策略中包括的传输端口列表中是否包括所述第一网络数据的传输端口,其中,所述传输端口列表用于记录不允许传输所述第一网络数据的传输端口;
S44,在所述第二传输地址列表中包括所述第一网络数据的传输地址,或者,所述传输端口列表中包括所述第一网络数据的传输端口的情况下,将所述第一网络数据的数据标识设置为目标标识,其中,所述目标标识用于指示拦截所述第一网络数据;
S45,在所述传输端口列表中不包括所述第一网络数据的传输端口的情况下,确定不设置所述第一网络数据的数据标识。
可选地,在本实施例中,目标网络策略中可以但不限于包括:第一传输地址列表,第二传输地址列表和传输端口列表,第一传输地址列表用于记录允许传输第一网络数据的传输地址,第二传输地址列表用于记录不允许传输第一网络数据的传输地址,传输端口列表用于记录不允许传输第一网络数据的传输端口。
可选地,在本实施例中,第一网络数据与目标网络策略进行匹配的过程可以但不限于是优先匹配第一传输地址列表,确定第一网络数据的传输地址是否是允许传输第一网络数据的传输地址,如果第一传输地址列表中不包括第一网络数据的传输地址,则匹配第二传输地址列表,确定第一网络数据的传输地址是否是不允许传输第一网络数据的传输地址。对于检测出的允许传输第一网络数据的传输地址,和未检测出不允许传输第一网络数据的传输地址均使用第一网络数据的传输端口与传输端口列表进行匹配,来确定是否是允许传输第一网络数据的传输端口。
可选地,在本实施例中,如果第二传输地址列表中包括第一网络数据的传输地址,或者,传输端口列表中包括第一网络数据的传输端口,则认为第一网络数据不允许传输,将第一网络数据的数据标识设置为用于指示拦截第一网络数据的目标标识。如果传输端口列表中不包括第一网络数据的传输端口,则认为第一网络数据允许传输,确定不设置第一网络数据的数据标识。
作为一种可选的实施例,检测所述传输端口列表中是否包括所述第一网络数据的传输端口包括:
S51,检测所述第一网络数据的传输协议;
S52,在所述第一网络数据的传输协议为第一传输协议的情况下,确定所述第一网络数据的传输方式,其中,所述传输方式包括发送所述第一网络数据和接收所述第一网络数据;
S53,在所述第一网络数据的传输方式为发送所述第一网络数据的情况下,确定不设置所述第一网络数据的数据标识;
S54,在所述第一网络数据的传输协议为第二传输协议,或者,所述第一网络数据的传输方式为接收所述第一网络数据的情况下,检测所述传输端口列表中是否包括所述第一网络数据的传输端口。
可选地,在本实施例中,在检测传输端口列表中是否包括第一网络数据的传输端口的过程中,首先对第一网络数据的传输协议进行区分,如果是第一传输协议,则还需要区分第一网络数据的传输方式是发送还是接收,如果是发送,则不设置第一网络数据的数据标识。如果是接收或者第一网络数据的传输协议为第二传输协议,则检测传输端口列表中是否包括第一网络数据的传输端口,根据检测结果设置数据标识。
可选地,在本实施例中,第一传输协议可以但不限于包括TCP协议,第二传输协议可以但不限于包括UDP协议。
可选地,在本实施例中,第一网络数据的传输端口可以但不限于指第一网络数据的本端端口,即第一终端的端口。
作为一种可选的实施例,根据所述匹配结果处理所述第一网络数据包括:
S61,确定所述第一网络数据是否设置了所述目标标识;
S62,在确定所述第一网络数据设置了所述目标标识的情况下,拦截所述第一网络数据;
S63,在确定所述第一网络数据未设置所述目标标识的情况下,放行所述第一网络数据。
可选地,在本实施例中,根据第一网络数据是否设置了目标标识来对第一网络数据进行处理,如果设置了目标标识,则进行拦截处理,否则放行。
可选地,在本实施例中,目标标识又可以称为丢弃标识。设置了目标标识的数据会被执行拦截和丢弃的操作。未设置目标标识的数据会被执行放行的操作。
在一个可选的实施方式中,提供了一种终端对网络数据包的处理过程,终端上配置的控制策略可以但不限于由内核来执行,终端中通过维护访问控制策略库来存储控制策略,内核收到策略后会更新访问控制策略库,如果是删除策略,还可以清空缓存库。图6是根据本申请可选的实施方式的一种网络数据包的处理过程的示意图,如图6所示,内核截获终端上的网络数据包,判断终端当前是否开启学习模式。
如果终端当前未开启学习模式,内核首先对网络数据包的IP进行处理。检查网络数据包的当前IP是否在IP白名单(相当于上述第一传输地址列表)中。如果当前IP在IP白名单中,将跳过判断IP黑名单的处理,即表示一旦当前IP在白名单中,该IP不受黑名单的限制;如果当前IP不在IP白名单中,将判断当前IP是否在IP黑名单(相当于上述第二传输地址列表)限制范围内。如果当前IP在IP黑名单中,将设置数据包丢弃标识(即被拦截),并上报一条阻断类型的审计日志;如果当前IP并不在黑名单限制范围内,将进入对端口策略的判断。
当IP在白名单或者当IP不在白名单且不在黑名单时,都会进入对端口策略的判断。如果网络数据包是UDP协议,检查本端“端口”(相当于上述网络数据的传输端口)是否在下发的黑名单中。是则进行拦截,否则跳过,并上报一条审计日志。如果网络数据包是TCP协议,检查当前数据包流向是处于接收还是发送阶段(即检查程序是发送还是接收状态)。如果当前处理数据包处于接收阶段,检查端口是否在下发的黑名单中。是则进行拦截,否则跳过。如果当前处理的数据包处于发送阶段,则不做任何处理。即针对端口的限制不管是TCP还是UDP协议都是针对本端端口进行核验。
在学习模式下,下发的网络控制策略均无效(不起到任何作用)。学习模式下产生的审计日志信息通过日志模块实时上报至缓冲区中,并设置审计日志类型为“学习”。应用层程序会实时从缓冲区中将产生的审计日志数据上传至审计数据库中。
作为一种可选的实施例,在接收策略获取指示之前,还包括:
S71,通过所述可信管理服务器确定所述第一终端;
S72,通过所述可信管理服务器确定所述第一终端对应的策略模板;
S73,通过所述可信管理服务器使用所述策略模板生成所述目标网络策略;
S74,通过所述可信管理服务器向所述第一终端发送所述策略获取指示,其中,所述策略获取指示用于指示所述第一终端从所述可信管理服务器获取所述目标网络策略。
可选地,在本实施例中,每次配置网络控制策略的终端和策略模板均可以由可信管理服务器来选择。
可选地,在本实施例中,所述目标网络策略包括:传输地址白名单、传输地址黑名单和传输端口黑名单等等。
在一个可选的实施方式中,提供了一种策略学习过程,图7是根据本申请可选的实施方式的一种策略学习过程的示意图,如图7所示,在可信管理服务器上对终端进行选择,可信管理服务器确定终端是否正在学习状态,如果终端不在学习状态,则创建开启学习策略(相当于上述启动指示)并通知终端获取策略,终端开启网络学习模式并向可信管理服务器发送开启确认,在网络学习过程中,终端上报学习过程中产生的日志,可信管理服务器采集终端上报的日志。学习时间结束后,可信管理服务器选择终端并判断终端是否正在学习状态,如果是,则可信管理服务器创建关闭学习策略(相当于上述关闭指示)并通知终端获取策略,终端获取到关闭学习策略,则关闭学习模式并向可信管理服务器进行关闭确认。学习模式关闭后可以在可信管理服务器生成策略模板,生成的策略模板允许进行编辑和修改等操作。
可选地,在本可选的实施方式中,可信管理服务器生成的策略、终端上报确认的学习模式的开启状态和关闭状态、终端上报的日志和生成的策略模板均可以写入数据库进行存储。
可选地,在本可选的实施方式中,终端在学习模式下需要处于在线状态,并且没有执行其他的学习任务,如果正在执行其他学习任务(比如:访问学习任务、白名单学习任务、全盘学习任务等)会提示异常。
可选地,在本可选的实施方式中,可以但不限于通过心跳通知终端获取学习模式策略。终端开启学习模式后,向可信管理服务器发送的日志可以标记出日志状态为学习模式状态。
可选地,在本可选的实施方式中,当前终端在学习模式下被设置为学习模式的关闭按钮可点击。终端确认关闭学习模式后,可多次点击生成策略模板。并且生成的策略模板可在线进行编辑和修改。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述网络访问的控制方法的网络访问的控制装置。图8是根据本申请实施例的一种可选的网络访问的控制装置的示意图,如图8所示,该装置可以包括:
接收模块82,用于接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,所述目标网络策略用于对所述第一终端上的第一网络数据进行控制,所述目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的第一访问日志进行学习的过程,所述第一访问日志包括对所述第二终端上的第二网络数据所进行的控制操作;
获取模块84,用于响应所述策略获取指示从所述可信管理服务器获取所述目标网络策略;
第一发送模块86,用于向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标网络策略在所述第一终端上确认生效;
第一控制模块88,用于执行所述目标网络策略对所述第一终端上的第一网络数据进行控制。
需要说明的是,该实施例中的接收模块82可以用于执行本申请实施例中的步骤S202,该实施例中的获取模块84可以用于执行本申请实施例中的步骤S204,该实施例中的第一发送模块86可以用于执行本申请实施例中的步骤S206,该实施例中的第一控制模块88可以用于执行本申请实施例中的步骤S208。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现。
通过上述模块,通过在第二终端上执行的用于对所述第二终端上的网络控制策略进行学习的第一策略学习过程生成目标网络策略,将目标网络策略配置给第二终端之外的第一终端,使得目标网络策略在第一终端上生效后,第一终端能够通过执行目标网络策略对第一网络数据的操作进行控制,避免了选择控制策略时的重复操作,达到了快速配置网络访问的控制策略的目的,从而实现了提高网络访问策略的配置效率的技术效果,进而解决了相关技术中网络访问策略的配置效率较低的技术问题。
作为一种可选的实施例,所述控制模块包括:
截获单元,用于截获在所述第一终端上的所述第一网络数据;
第一确定单元,用于确定所述第一终端是否处于策略学习模式;
匹配单元,用于在确定所述第一终端处于策略学习模式的情况下,将所述第一网络数据与所述目标网络策略进行匹配,得到第一匹配结果;
生成单元,用于生成所述第一匹配结果对应的第二访问日志;
上报单元,用于上报所述第二访问日志,并放行所述第一网络数据。
作为一种可选的实施例,所述确定单元用于:
接收启动指示,其中,所述启动指示用于指示所述第一终端启动第二策略学习过程;
响应所述启动指示启动所述第二策略学习过程,并确定所述第一终端处于所述策略学习模式;
在接收到关闭指示的情况下,关闭所述第二策略学习过程,并确定所述第一终端未处于所述策略学习模式。
作为一种可选的实施例,所述装置还包括:
匹配模块,用于在确定所述第一终端是否处于策略学习模式之后,在确定所述第一终端未处于所述策略学习模式下的情况下,将所述第一网络数据与所述目标网络策略进行匹配,得到第二匹配结果;
第二控制模块,用于根据所述第二匹配结果控制所述第一网络数据。
作为一种可选的实施例,所述匹配模块包括:
第一检测单元,用于检测所述目标网络策略中包括的第一传输地址列表中是否包括所述第一网络数据的传输地址,其中,所述第一传输地址列表用于记录允许传输所述第一网络数据的传输地址;
第二检测单元,用于在所述第一传输地址列表中不包括所述第一网络数据的传输地址的情况下,检测所述目标网络策略中包括的第二传输地址列表中是否包括所述第一网络数据的传输地址,其中,所述第二传输地址列表用于记录不允许传输所述第一网络数据的传输地址;
第三检测单元,用于在所述第一传输地址列表中包括所述第一网络数据的传输地址,或者,所述第二传输地址列表中不包括所述第一网络数据的传输地址的情况下,检测所述目标网络策略中包括的传输端口列表中是否包括所述第一网络数据的传输端口,其中,所述传输端口列表用于记录不允许传输所述第一网络数据的传输端口;
设置单元,用于在所述第二传输地址列表中包括所述第一网络数据的传输地址,或者,所述传输端口列表中包括所述第一网络数据的传输端口的情况下,将所述第一网络数据的数据标识设置为目标标识,其中,所述目标标识用于指示拦截所述第一网络数据;
第二确定单元,用于在所述传输端口列表中不包括所述第一网络数据的传输端口的情况下,确定不设置所述第一网络数据的数据标识。
作为一种可选的实施例,所述第三检测单元用于:
检测所述第一网络数据的传输协议;
在所述第一网络数据的传输协议为第一传输协议的情况下,确定所述第一网络数据的传输方式,其中,所述传输方式包括发送所述第一网络数据和接收所述第一网络数据;
在所述第一网络数据的传输方式为发送所述第一网络数据的情况下,确定不设置所述第一网络数据的数据标识;
在所述第一网络数据的传输协议为第二传输协议,或者,所述第一网络数据的传输方式为接收所述第一网络数据的情况下,检测所述传输端口列表中是否包括所述第一网络数据的传输端口。
作为一种可选的实施例,所述第二控制模块包括:
第三确定单元,用于确定所述第一网络数据是否设置了所述目标标识;
处理单元,用于在确定所述第一网络数据设置了所述目标标识的情况下,拦截所述第一网络数据,并生成审计日志;向所述可信管理服务器上报所述审计日志;
放行单元,用于在确定所述第一网络数据未设置所述目标标识的情况下,放行所述第一网络数据。
作为一种可选的实施例,所述装置还包括:
第一确定模块,用于在接收策略获取指示之前,通过所述可信管理服务器确定一个或者多个终端,其中,所述一个或者多个终端包括所述第一终端;
第二确定模块,用于通过所述可信管理服务器确定所述一个或者多个终端对应的策略模板;
生成模块,用于通过所述可信管理服务器使用所述策略模板生成所述目标网络策略;
第二发送模块,用于通过所述可信管理服务器向所述一个或者多个终端发送所述策略获取指示,其中,所述策略获取指示用于指示所述一个或者多个终端从所述可信管理服务器获取所述目标网络策略。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本申请实施例的另一个方面,还提供了一种用于实施上述网络访问的控制方法的服务器或终端。
图9是根据本申请实施例的一种终端的结构框图,如图9所示,该终端可以包括:一个或多个(图中仅示出一个)处理器901、存储器903、以及传输装置905,如图9所示,该终端还可以包括输入输出设备907。
其中,存储器903可用于存储软件程序以及模块,如本申请实施例中的网络访问的控制方法和装置对应的程序指令/模块,处理器901通过运行存储在存储器903内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络访问的控制方法。存储器903可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器903可进一步包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置905用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置905包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置905为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器903用于存储应用程序。
处理器901可以通过传输装置905调用存储器903存储的应用程序,以执行下述步骤:
接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,所述目标网络策略用于对所述第一终端上的第一网络数据进行控制,所述目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的第一访问日志进行学习的过程,所述第一访问日志包括对所述第二终端上的第二网络数据所进行的控制操作;
响应所述策略获取指示从所述可信管理服务器获取所述目标网络策略;
向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标网络策略在所述第一终端上确认生效;
执行所述目标网络策略对所述第一终端上的第一网络数据进行控制。
采用本申请实施例,提供了一种网络访问的控制的方案。通过在第二终端上执行的用于对所述第二终端上的网络控制策略进行学习的第一策略学习过程生成目标网络策略,将目标网络策略配置给第二终端之外的第一终端,使得目标网络策略在第一终端上生效后,第一终端能够通过执行目标网络策略对第一网络数据的操作进行控制,避免了选择控制策略时的重复操作,达到了快速配置网络访问的控制策略的目的,从而实现了提高网络访问策略的配置效率的技术效果,进而解决了相关技术中网络访问策略的配置效率较低的技术问题。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图9所示的结构仅为示意,终端可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile InternetDevices,MID)、PAD等终端设备。图9其并不对上述电子装置的结构造成限定。例如,终端还可包括比图9中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图9所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行网络访问的控制方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标网络策略,所述目标网络策略用于对所述第一终端上的第一网络数据进行控制,所述目标网络策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的第一访问日志进行学习的过程,所述第一访问日志包括对所述第二终端上的第二网络数据所进行的控制操作;
响应所述策略获取指示从所述可信管理服务器获取所述目标网络策略;
向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标网络策略在所述第一终端上确认生效;
执行所述目标网络策略对所述第一终端上的第一网络数据进行控制。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
