专利名称:一种基于用户的安全访问控制的方法及装置的制作方法
技术领域:
本发明是一种基于用户的安全访问控制的方法及装置,属于网络信息安全技术领域。
背景技术:
防火墙是放置于网络数据通路中间,隔离企业内网和外网的安全访问控制设备,防火墙从网络接口接收数据包,根据数据包的源、目的地址、协议类型和协议端口,查找安全规则,符合安全规则允许策略的数据包被转发,其他不允许的数据包被丢弃,从而保证网络的安全。随着各行各业的日常生产和管理流程的信息化、网络化的普及,以及不断出现的网络漏洞,攻击等安全事件的发生,对于防火墙的安全规则管理配置的易用性,安全功能的扩展性以及安全事件的可追踪性都提出了新的需求。目前的防火墙设备普遍采用数据包协议状态检测过滤技术,需要安全管理员配置安全规则,设置允许通过的源、目的地址、协议类型和协议端口信息,但该方法存在以下缺陷这种基于数据包地址和协议、端口的安全规则配置需要安全管理员理解专业的网络术语,易用性较差。
这种安全规则的设置和过滤方法,访问控制的对象是网络数据包的IP地址等信息,不能和实际使用网络的内网用户-人很好的关联起来,从而不能设置细粒度的权限管理和安全事件的事后追踪。
简单的将IP地址和用户,或用户计算机硬件MAC地址静态绑定的方法,在实际使用中,由于用户可以不受防火墙控制的更改自己的IP地址,或者用户更换计算机等,带来安全管理的不方便性。
现有防火墙扩展的用户认证技术,需要在每个内网用户的终端计算机上安全客户端软件,使用起来不方便。
发明内容
本发明正是针对现有技术中存在的缺陷而提出了一种基于用户的安全访问控制的方法及装置,本发明技术方案的目的有两个一个是提供一种无需在终端计算机上安装客户端软件,就能实现自动将内网用户和数据包的IP地址等信息关联,并且可以根据用户来设置安全规则及其扩展安全策略的方法,该方法实现了提高了防火墙易用性和网络管理的更安全性的目的,方便对于内网用户的细粒度权限管理和安全事件的事后追踪,而且能够很好的扩展支持基于用户的连接数限制和流量限制。另一个目的是提供一种适用于上述基于用户的安全访问控制方法的装置,该装置可以通过维护一张用户策略表和扩展防火墙状态表,在内网用户访问外网时自动实现IP关联,安全策略匹配和安全事件追踪。
本发明的目的是通过以下措施来实现的该种基于用户的安全访问控制方法,通过扩展防火墙的状态表,在防火墙系统中增加了用户策略表项,用户安全策略表中记录用户相关信息,用户名称、用户状态、用户当前IP地址、用户当前总连接数、登录时间、可访问的目的地址、可访问的服务、最大限制连接数、超时时间等,防火墙在接收到数据包后,增加根据源IP地址查找用户安全策略表,然后在根据查找结果进行相应的自动关联处理和用户安全策略处理,实现更安全的访问控制。
本发明扩展了防火墙系统的状态表项,增加一个标志位,用于动态记录该连接是否已经通过用户认证。当用户第一次访问外网时,防火墙系统在用户安全策略表中的没有查找到该源IP地址相关的用户信息,然后防火墙系统自动将该访问重定向为系统内部的WEB认证系统页面,在用户终端的浏览器上显示登录提示,只有用户正确输入用户名,密码和WEB页面提示的校验码后,防火墙系统将自动记录该用户的IP地址,登录时间,设置用户状态为正常登录。之后,用户将在安全管理员预先设定的用户安全策略允许范围内,访问外网资源。如果一段时间内,用户没有访问,防火墙系统内部将用户状态超时,删除用户表项,下次再进行访问时,需要重新输入用户名,密码和WEB页面提示的校验码。从而保证了基于用户的设置安全策略,和基于用户的动态IP地址关联,还可以扩展支持基于用户的连接限制等。
该种基于用户的安全访问控制方法,该方法的步骤分为配置和数据包处理先后两个过程,其中配置过程的步骤是[1]在安全规则中,首先为每一个内网用户添加用户名和密码,然后直接配置每个用户可访问的目的地址和服务,并设置每个用户限制的最大连接数; 在防火墙系统中创建一张用户安全策略表,并在状态表中增加用户认证标记选项,用户认证标记选项表示发起此访问连接的用户是否已经通过安全认证;数据包处理过程的步骤是[3]网络访问数据包到达安全网关时,首先判断数据包的类型,如果是TCP协议的状态为SYN的数据包,则按[3-1]的步骤处理;如果不是TCP协议的状态为SYN的数据包,则按[3-2]的步骤处理[3-1]用该数据包的源IP地址作为索引,查找用户安全策略表,如果查找到表项,且该表项的用户状态为正常登录,则按[3-1-1]步骤处理;如果没有查到表项,或者查到表项的用户状态不是正常登录,则按[3-1-2]步骤处理[3-1-1]用该数据包的目的地址、协议和端口信息和用户安全策略表项的可访问的目的地址和可访问服务进行比较,并用当前总连接数和用户最大连接数比较,如果符合用户策略,则用该数据包的源IP地址、目的IP地址、协议、源端口、目的端口为索引,新加一个状态表表项,并设置该状态表表项的标志为用户认证已通过,然后转发该数据包到去往目的地址的所在接口;如果不符合用户策略,则直接丢弃该数据包,并记录用户日志,记录该用户曾试图访问某不合法资源被拒绝;[3-1-2]如果没有查到用户安全策略表,则将该访问外网连接的请求,重定向到防火墙内部的用户认证系统页面,给用户终端浏览器返回登录提示页面;正确输入用户名,密码和WEB提示的校验码后,增加一个用户IP地址为该数据包源IP的用户安全策略表项;并新增加一个状态表项,将设置该状态表表项的标志为用户认证已通过;[3-2]用该数据包的源IP地址、目的IP地址、协议、源端口、目的端口为索引查找状态表,如果查找到配置的状态表,则按照[3-2-1]的步骤处理;如果没有匹配的状态表,则按照[3-2-2]步骤处理;[3-2-1]对于匹配到状态表的情况,检查状态表项中的标记为用户认证已通过,且符合TCP、UDP或ICMP协议的状态,则直接转发该数据包到去往目的地址的所在接口;否则,其他情况下都直接丢弃该数据包;[3-2-2]对于没有匹配到状态表的情况,用该数据包的源IP地址为索引查找用户安全策略表,如果查找到表项,且该表项的用户状态为正常登录,也按[3-1-1]步骤处理;如果没有查到表项,或者查到表项的用户状态不是正常登录,也按[3-1-2]步骤处理。
在安全管理员配置时,直接配置用户的安全规则,防火墙系统自动实现用户的认证和IP地址与用户的关联。
适用于上述基于用户的安全访问控制方法的装置,它包括数据包接收模块、状态表处理模块、用户安全策略表处理模块和数据包转发模块,其特征在于该装置还包括一个用户WEB认证系统模块,它与用户安全策略表处理模块连接,在用户首次访问外网时,用户安全策略表处理模块会将用户访问请求重定向到该模块,用户登录认证通过后,用户WEB认证系统模块能在用户安全策略表中自动设置IP地址和用户的关联,认证通过的后续连接只需要通过状态表处理模块和数据包转发模块。
图1是本发明技术方案中数据包处理的计算机软件的流程2是本发明技术方案装置的结构示意图具体实施方式
以下将结合附图和实施例对本发明技术方案作进一步地详述参见附图1所示,该种基于用户的安全访问控制的方法是通过编程来实现的,编程实现的软件运行在具有多个网络接口的工控防火墙平台上,该装置一般串接安装在企业网络和公共互联网的连接位置,在保护外部不能非法入侵的同时,对内部用户的对外访问进行严格的访问权限控制。
该方法的步骤分为配置和数据包处理先后两个过程,其中配置过程的步骤是[1]在安全规则中,首先为每一个内网用户添加用户名和密码,然后直接配置每个用户可访问的目的地址和服务,并设置每个用户限制的最大连接数;[2]在防火墙系统中创建一张用户安全策略表,并在状态表中增加用户认证标记选项,用户认证标记选项表示发起此访问连接的用户是否已经通过安全认证;数据包处理过程的步骤是[3]网络访问数据包到达安全网关时,首先判断数据包的类型,如果是TCP协议的状态为SYN的数据包,则按[3-1]的步骤处理;如果不是TCP协议的状态为SYN的数据包,则按[3-2]的步骤处理 用该数据包的源IP地址作为索引,查找用户安全策略表,如果查找到表项,且该表项的用户状态为正常登录,则按[3-1-1]步骤处理;如果没有查到表项,或者查到表项的用户状态不是正常登录,则按[3-1-2]步骤处理[3-1-1]用该数据包的目的地址、协议和端口信息和用户安全策略表项的可访问的目的地址和可访问服务进行比较,并用当前总连接数和用户最大连接数比较,如果符合用户策略,则用该数据包的源IP地址、目的IP地址、协议、源端口、目的端口为索引,新加一个状态表表项,并设置该状态表表项的标志为用户认证已通过,然后转发该数据包到去往目的地址的所在接口;如果不符合用户策略,则直接丢弃该数据包,并记录用户日志,记录该用户曾试图访问某不合法资源被拒绝;[3-1-2]如果没有查到用户安全策略表,则将该访问外网连接的请求,重定向到防火墙内部的用户认证系统页面,给用户终端浏览器返回登录提示页面;正确输入用户名,密码和WEB提示的校验码后,增加一个用户IP地址为该数据包源IP的用户安全策略表项;并新增加一个状态表项,将设置该状态表表项的标志为用户认证已通过;[3-2]用该数据包的源IP地址、目的IP地址、协议、源端口、目的端口为索引查找状态表,如果查找到配置的状态表,则按照[3-2-1]的步骤处理;如果没有匹配的状态表,则按照[3-2-2]步骤处理;[3-2-1]对于匹配到状态表的情况,检查状态表项中的标记为用户认证已通过,且符合TCP、UDP或ICMP协议的状态,则直接转发该数据包到去往目的地址的所在接口;否则,其他情况下都直接丢弃该数据包;[3-2-2]对于没有匹配到状态表的情况,用该数据包的源IP地址为索引查找用户安全策略表,如果查找到表项,且该表项的用户状态为正常登录,也按[3-1-1]步骤处理;如果没有查到表项,或者查到表项的用户状态不是正常登录,也按[3-1-2]步骤处理。
在安全管理员配置时,直接配置用户的安全规则,防火墙系统自动实现用户的认证和IP地址与用户的关联。
参见附图1~2所示,该种适用于上述基于用户的安全访问控制方法的装置是通过编程来实现的,它包括数据包接收模块1、状态表处理模块2、用户安全策略表处理模块3和数据包转发模块4,其特征在于该装置还包括一个用户WEB认证系统模块5,它与用户安全策略表处理模块3连接,在用户首次访问外网时,用户安全策略表处理模块会将用户访问请求重定向到该模块,用户登录认证通过后,用户WEB认证系统模块5能在用户安全策略表中自动设置IP地址和用户的关联,认证通过的后续连接只需要通过状态表处理模块2和数据包转发模块4。
首先数据包接收模块1负责接收网络数据包,然后交给状态表处理模块2,对于第一次访问的数据包会再先后经过用户安全策略表处理模块3和用户WEB认证系统模块5,最后由数据包转发模块4发送出去;对于后续访问的数据包,则直接经过状态表处理模块2后,交给数据包转发模块4发送出去。
本发明在无需终端计算机安装客户端软件的情况下解决了用户和IP地址的动态自动关联问题,对于用户访问外网行为增加了基于WEB方式的用户名和密码鉴权,提高了防火墙系统的易用性、安全性和管理的方便性,达到了使得防火墙系统能够更方便对于内网用户的细粒度权限管理和安全事件的事后追踪的目的。
权利要求
1.一种基于用户的安全访问控制的方法,其特征在于该方法的步骤分为配置和数据包处理先后两个过程,其中配置过程的步骤是[1]在安全规则中,首先为每一个内网用户添加用户名和密码,然后直接配置每个用户可访问的目的地址和服务,并设置每个用户限制的最大连接数;[2]在防火墙系统中创建一张用户安全策略表,并在状态表中增加用户认证标记选项,用户认证标记选项表示发起此访问连接的用户是否已经通过安全认证;数据包处理过程的步骤是[3]网络访问数据包到达安全网关时,首先判断数据包的类型,如果是TCP协议的状态为SYN的数据包,则按[3-1]的步骤处理;如果不是TCP协议的状态为SYN的数据包,则按[3-2]的步骤处理[3-1]用该数据包的源IP地址作为索引,查找用户安全策略表,如果查找到表项,且该表项的用户状态为正常登录,则按[3-1-1]步骤处理;如果没有查到表项,或者查到表项的用户状态不是正常登录,则按[3-1-2]步骤处理[3-1-1]用该数据包的目的地址、协议和端口信息和用户安全策略表项的可访问的目的地址和可访问服务进行比较,并用当前总连接数和用户最大连接数比较,如果符合用户策略,则用该数据包的源IP地址、目的IP地址、协议、源端口、目的端口为索引,新加一个状态表表项,并设置该状态表表项的标志为用户认证已通过,然后转发该数据包到去往目的地址的所在接口;如果不符合用户策略,则直接丢弃该数据包,并记录用户日志,记录该用户曾试图访问某不合法资源被拒绝;[3-1-2]如果没有查到用户安全策略表,则将该访问外网连接的请求,重定向到防火墙内部的用户认证系统页面,给用户终端浏览器返回登录提示页面;正确输入用户名,密码和WEB提示的校验码后,增加一个用户IP地址为该数据包源IP的用户安全策略表项;并新增加一个状态表项,将设置该状态表表项的标志为用户认证已通过;[3-2]用该数据包的源IP地址、目的IP地址、协议、源端口、目的端口为索引查找状态表,如果查找到配置的状态表,则按照[3-2-1]的步骤处理;如果没有匹配的状态表,则按照[3-2-2]步骤处理;[3-2-1]对于匹配到状态表的情况,检查状态表项中的标记为用户认证已通过,且符合TCP、UDP或ICMP协议的状态,则直接转发该数据包到去往目的地址的所在接口;否则,其他情况下都直接丢弃该数据包;[3-2-2]对于没有匹配到状态表的情况,用该数据包的源IP地址为索引查找用户安全策略表,如果查找到表项,且该表项的用户状态为正常登录,也按[3-1-1]步骤处理;如果没有查到表项,或者查到表项的用户状态不是正常登录,也按[3-1-2]步骤处理。
2.根据权利要求1所述的防火墙中进行用户策略处理的方法,其特征在于在安全管理员配置时,直接配置用户的安全规则,防火墙系统自动实现用户的认证和IP地址与用户的关联。
3.一种适用于上述基于用户的安全访问控制方法的装置,它包括数据包接收模块(1)、状态表处理模块(2)、用户安全策略表处理模块(3)和数据包转发模块(4),其特征在于该装置还包括一个用户WEB认证系统模块(5),它与用户安全策略表处理模块(3)连接,在用户首次访问外网时,用户安全策略表处理模块会将用户访问请求重定向到该模块,用户登录认证通过后,用户WEB认证系统模块(5)能在用户安全策略表中自动设置IP地址和用户的关联,认证通过的后续连接只需要通过状态表处理模块(2)和数据包转发模块(4)。
全文摘要
本发明是一种基于用户的安全访问控制的方法及装置,通过扩展防火墙的状态表,在防火墙系统中增加了用户策略表项,用户安全策略表中记录用户相关信息。防火墙在接收到数据包后,增加根据源IP地址查找用户安全策略表,然后在根据查找结果进行相应的自动关联处理和用户安全策略处理,实现更安全的访问控制。本发明在无需终端计算机安装客户端软件的情况下解决了用户和IP地址的动态自动关联问题,对于用户访问外网行为增加了基于WEB方式的用户名和密码鉴权,提高了防火墙系统的易用性、安全性和管理的方便性,达到了使得防火墙系统能够更方便对于内网用户的细粒度权限管理和安全事件的事后追踪的目的。
文档编号H04L12/46GK101087187SQ20071010316
公开日2007年12月12日 申请日期2007年5月22日 优先权日2007年5月22日
发明者倪县乐, 刘建锋, 王刚, 肖为剑, 宋斌 申请人:网御神州科技(北京)有限公司