体实施方式】。
【附图说明】
[0064]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0065]图1示出了根据本发明实施例1的一种网络连接控制方法的步骤流程图;
[0066]图2示出了根据本发明实施例2的一种网络连接控制方法的步骤流程图;
[0067]图3示出了根据本发明实施例1的一种网络连接控制装置的结构框图;
[0068]图4示出了根据本发明实施例2的一种网络连接控制装置的结构框图。
【具体实施方式】
[0069]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0070]参照图1,示出了根据本发明实施例1的一种网络连接控制方法的步骤流程图,具体可以包括如下步骤:
[0071]步骤101,部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网。
[0072]内网应用于局部区域,包括多台网络设备和至少一台内网服务器,内网服务器用于管理内网数据和控制内网中的网络设备的运行。相对于内网,外网是直接连接到互联网的网络。内网中的网络设备均可通过无线或有线的方式连接到内网或外网。
[0073]网络设备可以是移动终端(如手机、PAD等)、固定终端(如PC)、服务器或工作站等终端设备;也可以是网卡或路由器等可连网的连网设备,可以对终端设备或连网设备进行网络访问控制,以保证网络设备的安全。
[0074]网络访问策略由内网服务器下发至网络设备,可以依据网络访问策略对内网中的网络设备进行网络访问管理。网络访问策略指示是否允许网络设备连接外网,可以是允许连接外网,也可以是不允许连接外网,具体地,当需要通过访问外网获取所需讯息完成任务时,网络访问策略指示允许网络设备连接外网;当避免受到外网病毒攻击,保证内网的网络设备的安全时,网络访问策略指示不允许网络设备连接外网。
[0075]步骤102,启动网络检测线程定期检测所述网络设备是否可以连接外网。
[0076]网络检测线程是预先由内网服务器下发的,安装在网络设备内的线程,可以用于检测所述网络设备能否外网连接。可以定期启动网络检测线程,例如启动线程的频率为Imin/次。
[0077]在实际检测过程中,启动网络检测线程定期检测所述网络设备是否可以连接外网的方法可以有多种,例如向目标网站发送http请求,若在预设时间段内接收到所述目标网站针对所述http请求反馈的数据,则确定所述网络设备可以连接网络,若没有接收到,则确定所述网络设备不可以连接网络;检测方法还可以为,网络设备使用http数据包向私有云服务器发起请求,如果网络设备无法和私有云服务器连接,该请求会被立刻退回,从而可以判断网络设备处于无法连接私有云的环境;还可以是其他适用的检测方法。
[0078]步骤103,若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。
[0079]如果网络检测线程对网络设备是否可以连接外网的检测结果不符合网络访问策略,则依据网络访问策略的指示,断开外网或连接外网,以保证网络设备的正常工作;如果检测结果符合网络访问策略,则保持当前网络连接。
[0080]具体地,当网络访问策略指示不允许网络设备连接外网,网络检测线程对网络设备的外网连接能力的检测结果为可以连接外网时,依据网络访问策略的指示,阻止网络设备连接外网,例如通过关机、重启、切断外网的内网的方式,以保证网络设备的安全。
[0081]当网络访问策略指示允许网络设备连接外网时,若网络检测线程对网络设备是否可以连接外网的检测结果为不可以连接外网,则可以依据网络访问策略的指示,对网络设备进行外网连接;若检测结果为可以连接外网,则需要进一步判断外网的网络地址是否在安全名单内,如果在,则保持外网连接,如果不在,则切断外网。其中,安全名单可以指示安全性高的网络地址,网络设备可以外连安全名单中的网络地址。
[0082]在具体操作中,对所述网络设备进行网络连接控制,在判断网络设备违规连接外网、需要切断外网后,可以在网络设备的页面中生成断网提示,例如可以弹出一会话框,会话框中可以显示断网时间,例如2分钟后切断外网,若2分钟内用户没有切断外网,则强行切断网络设备的外网;还可以显示“断网”按钮和“不断网”按钮,以供用户选择,若用户选择“不断网”按钮,则重新弹出该对话框,阻止用户继续浏览当前页面,直至用户选择“断网”按钮,切断外网。
[0083]本发明实施例中,优选地,所述网络管理策略指示不允许所述网络设备连接外网。
[0084]进一步,所述对所述网络设备进行外网连接控制可以包括:
[0085]断开所述网络设备与所述外网的连接;或,重启所述网络设备。
[0086]具体地,可以通过访问网络驱动接口,将所述外网的网络地址添加至网络访问黑名单,以禁止所述网络设备对所述外网的访问,断开所述网络设备与所述外网的连接。可以向网络设备的操作系统发送重启指示,以关闭网络设备的方式强行切断外网连接。
[0087]本发明实施例中,优选地,所述启动检测线程定期检测所述网络设备是否可以连接网络可以为:
[0088]检测到所述网络设备启动网络访问或运行目标程序时,启动检测线程定期检测所述网络设备是否可以连接网络。
[0089]具体地,可以定期启动检测线程定期检测所述网络设备是否可以连接网络;也可以在检测到网络设备执行某些操作时,启动检测线程检测所述网络设备是否可以连接网络,例如检测到网络设备打开浏览器(例如打开网页)、打开需要连网的程序(例如打开网站客户端等)、运行安全要求较高的程序或危险程序时,判断网络设备此时易受到外网攻击,为了保护网络设备的安全,启动检测线程检测所述网络设备是否可以连接网络,进一步依据检测结果和网络访问策略的比较结果,对网络设备进行网络连接控制。
[0090]依据本发明实施例,启动网络检测线程定期检测所述网络设备是否可以连接外网,并将检测结果与部署于内网的网络设备接收内网服务器下发的网络访问策略进行匹配,若不匹配,则依据网络访问策略对所述网络设备进行网络连接控制,避免内网的网络设备受到外网攻击,保证了内网的的正常工作和内网数据的安全。
[0091]参照图2,示出了根据本发明实施例2的一种网络连接控制方法的步骤流程图,具体可以包括如下步骤:
[0092]步骤201,根据预置的识别规则,从所述网络设备多个信息对象中识别特征信息对象,并将识别结果上传至所述内网服务器。
[0093]信息对象可以为存储于网络设备的文件、安装于网络设备的程序、网络设备浏览的网络网址和其他可检测对象中至少一种,文件可以是各种类型的文档、多个操作系统之间共享文件等。
[0094]特征信息对象可以为具备特殊属性的信息对象,例如机密文件、安全要求较高的程序、危险网络网址等,基于网络设备存在的特征信息对象,需要配置对应相应的网络访问策略,管理网络设备的外网连接,以维护网络设备或是信息对象的安全。
[0095]识别规则可以用于从网络设备多个信息对象中识别特征信息对象。例如,识别规则可以指示特征对象的文件名称或所包含的关键字,可以为包括文件名称或关键字的的正则表达式等,识别结果可以为识别出的特征信息对象和/或识别出的特征信息对象的数目。
[0096]在具体实现中,可以在内网服务器安装一客户端,在客户端设置用于制定识别规则的编辑页面,提供识别规则的设定或是添加入口,以在内网服务器配置识别规则;也可以将预先配置的识别规则存储至内网服务器。
[0097]预执行网络访问策略对网络设备进行网络访问管理时,可以从内网服务器下载所述识别规则,具体地可以向内网服务器发送下载识别规则的指示,内网服务器接收到指示后将识别规则反馈至网络设备;或者,接收内网服务器下发的识别规则,具体地可以在内网服务器预先设置下发识别规则的时间,以实现内网服务器按设定时间下发识别规则。
[0098]本发明实施例中,接收内网服务器发送的识别规则后,可以根据接收的识别规则,从网络设备多个信息对象中识别特征信息对象,并将识别结果上传至内网服务器。
[0099]在具体实现中,识别规则可以指示所述特征信息对象的属性信息中包括的关键字,可以指示按序识别的信息路径、可以指示识别多个信息对象的识别操作的执行时长、待识别的信息对象大小和数目中至少一种、可以指示包括各关键字的信息对象所属特征分类和其他彳g息。
[0100]当识别规则指示所述特征信息对象的属性信息中包括的关键字时,若所述信息对象的属性信息命中所述识别规则指示的至少一个关键字,则确定所述信息对象为特征信息对象。
[0101]具体地,所述识别规则指示的关键字可