专利名称:管理用户上网行为的方法、客户端、服务器和系统的制作方法
技术领域:
本发明涉及网络访问技术,尤指一种管理用户上网行为的方法、内网外 联客户端、内网外联服务器和一种管理用户上网行为的系统。
背景技术:
为了更加高效的进行工作,交换各工作中所需要的资料,企业、事业单 位及政府机关通过会建立自己的内部网络,用来支撑单位正常业务的运作。 在使用内部网络时,由于实际业务的需要内部网络的用户可能会通过调制解
调器、非对称数字用户线环路(ADSL)、码分多址(CDMA)等接入方式, 直接将内部的用户终端接入互联网,实现与外部网络的信息交换。这种内网 外联的行为虽说可以方便与外部网络进行交互,但是在目前实际的使用中, 更多存在的是非法使用内网外联的用户终端。非法内网外联的用户终端通常 是被不具备接入外部网络权限的用户所使用,或者是保存了机密信息的用户 终端。这种行为不仅浪费企业带宽资源、同时也给企业信息安全带来了严重 安全隐患。
为了管理内网外联的行为,目前主要采取的措施包括将企业内网同外 网物理隔离、设置企业防火墙以及对用户终端使用域统一管理。其中,在使 用将企业内网同外网物理隔离的方案时,由于对因工作需要必须访问外网的 用户终端,开通其网络访问权限的操作非常复杂,因此由于将内网与外网进 行了物理隔离,导致在需要接入外部网络时效率不高,不利于管理。设置企 业防火墙以及对用户终端使用域统一管理的方案,虽然可以采用 一定的策略 对用户终端内网外联的行为进行适当控制,但是并不能杜绝用户终端非法内 网外jf关的行为。例如,用户终端采用拨号方式接入外网。
因此目前这些方案均不能有效的对用户终端的内网外联行为,进行有效 管理。
发明内容
有鉴于此,本发明提供了一种管理用户上网行为的方法,该方法能够有 效的对用户终端的上网行为进行管理。
为达到上述目的,本发明的技术方案是这样实现的 一种管理用户上网行为的方法,用于安装内网外联客户端的用户终端, 该方法包括
在所述内网外联客户端启动后,截获所述用户终端发送的网络报文,根 据设置的访问控制策略对截获的网络报文进行过滤,发送符合所述访问控制 策略的网络报文,丢弃不符合所述访问控制策略的网络报文。
本发明又提供了一种管理用户上网行为的内网外联客户端,该客户端能 够有效的对用户终端的上网行为进行管理。
一种管理用户上网行为的内网外联客户端,该内网外联客户端安装在用 户终端上,包括截获单元和处理单元;
所述截获单元截获所述用户终端发送的网络报文,并发送至所述处理单
元;
所述处理单元接收所述截获单元发送的网络报文,根据设置的访问控制 策略对截获的网络报文进行过滤,发送符合所述访问控制策略的网络报文, 丢弃不符合所述访问控制策略的网络报文。
本发明再提供了一种管理用户上网行为的内网外联服务器,该服务器能 够有效的对用户终端的上网行为进行管理。
一种管理用户上网行为的内网外联服务器,该内网外联服务器包括策略 控制单元和策略存储单元;
所述策略控制单元接受用户终端中内网外联客户端的访问,从所述策略 存储单元中取出访问控制策略,并发送给所述内网外联客户端;所述策略存储单元存储访问控制策略。
本发明还提供了 一种管理用户上网行为的系统,该系统能够有效的对用 户终端的上网行为进行管理。
一种管理用户上网行为的系统,该系统包括内网外联服务器和至少 一个 内网外联客户端;
所述内网外联客户端安装在用户终端上,在所述内往外联客户端启动 后,访问所述内网外联服务器,接收所述内网外联服务器返回的访问控制策
略;截获所述用户终端发送的网络报文,根据设置的访问控制策略对截获的
网络报文进行过滤,发送符合所述访问控制策略的网络报文,丢弃不符合所
述访问控制策略的网络报文;
所述内网外联服务器接受所述内网外联客户端的访问,将设置的访问控 制策略发送给所述内网外联客户端。
本发明所提供的一种管理用户上网行为的技术方案,用于安装了内网外 联客户端的用户终端;当内网外联客户端启动后,内网外联客户端根据访问 控制策略对用户终端发送的网络报文进行过滤,实现对了用户上网行为的管 理。在本发明的技术方案中,由于内网外联客户端是安装在用户终端上,因
行为进行监控,因此能够很好的阻止用户终端的非法行为,实现了对用户上 网行为的管理。
图1为本发明实施例方法的示例性流程图; 图2为本发明实施例系统的示例性结构图; 图3为本发明较佳实施例方法的流程图; 图4为本发明内网外联客户端的结构图; 图5为本发明内网外联服务器的结构图。
具体实施例方式
在本部分的详细描述中,仅通过对实施本发明的发明者所预期的最佳方 式的示例,示出并描述了本发明的较佳实施例。应意识到,可以在不背离本 发明的前提下,就各个显而易见的方面对其进行修改。相应地,附图和说明 书应被视为在本质上是示例性的,而不是限制性的。
通过前述对现有方案的介绍可知,在现有技术中,管理内网外联行为的 方案要么将内部网络与外部网络进行物理隔离;要么使用一台集中管理服务
器进行管理,即防火墙和用于对用户终端使用域统一管理的服务器;前者由
于将内部网络与外部网络进行物理隔离,其必定会导致开通外部访问权限过
程复杂的问题;而后者,由于其基于管理服务器的集中管理,因此必定也不 能完全控制用户终端个体非法内网外联的行为。
因此,在本发明中采用访问控制策略对用户终端的上网行为进行管理; 同时,为了避免用户终端个体的非法内网外联行为,在用户终端上安装内网 外联客户端,直接对用户终端发送的网络报文进行监控,发送符合访问控制 策略的网络报文,丢弃不符合访问控制策略的网络报文。
参见图l,图1为本发明实施例管理用户上网行为方法的示例性流程图, 该方法可用于安装内网外联客户端的用户终端,执行以下步骤在步骤101 中,在内网外联客户端启动后,截获用户终端发送的网络报文;在步骤102 中,根据设置的访问控制策略对截获的网络报文进行过滤,发送符合访问控 制策略的网络报文,丢弃不符合访问控制策略的网络报文。
在本发明的技术方案中,可以在内网外联客户端中预先设置适合于该客 户端使用的访问控制策略;也可以在内部网络中,设置一台保存访问控制策 略的内网外联服务器,用于向网络中的各内网外联客户端提供访问控制策 略。当在网络中设置了 一台专门用于保存访问控制策略的内网外联服务器 时,就可以在该服务器中对访问控制策略进行更新,并且方便的发送至各用 户终端上安装的内网外联客户端上。本发明的技术方案中所提及的用户终端 可以是便携式电脑、台式机以及其他形式上能够上网的用户终端。
参见图2,图2为本发明实施例管理用户上网行为系统的示例性结构图,
该系统包括内网外联服务器和至少一个内网外联客户端。每个内网外联客户
端可以位于一台用户终端上。
其中,内网外联客户端安装在用户终端上,当内网外联客户端启动后,
访问内网外联服务器,接收内网外联服务器返回的访问控制策略;截获用户
终端发送的网络报文,根据设置的访问控制策略对截获的网络报文进行过 滤,发送符合访问控制策略的网络报文,丢弃不符合访问控制策略的网络报 文。
内网外联服务器接受内网外联客户端的访问,将设置的访问控制策略发 送给内网外联客户端。
在本发明技术方案中,内网外联客户端安装在用户终端上,可以随着用 户终端的启动而启动,因此更能够有效地对用户终端的上网行为进行控制。 为了防止使用用户终端的用户恶意删除用户终端上安装的内网外联客户端、 或者在运行过程关闭内网外联客户端,可以在用户终端上安装不可卸载的内 网外联客户端,即内网外联客户端检测到卸载内网外联客户端的操作、或者 在用户终端运行过程中关闭内网外联客户端的操作时,阻止操作。同时,也 可以进一步在用户删除安装的内网外联客户端、或者在运行过程中关闭内网 外联客户端时,发送报警信息至内网外联服务器,使内网外联服务器知晓该 情况,并进行相应处理。
在本发明的技术方案中,内网外联客户端连接内网外联服务器的方法可 以借助所在用户终端的上网方式,通过预先保存的内网外联服务器的访问地 址,访问内网外联服务器。例如,拨号上网方式、无线上网方式。
同时,内网外联服务器中保存的访问控制策略可以针对用户进行设置。 在内网外联服务器中保存用户的用户帐号及对应的密码信息,根据用户帐号 和密码信息对用户进行认证后,将用户帐号对应的访问控制策略发送至对应 的内网外联客户端,以便实现基于用户角色的、统一的集中管理。 为了更加清楚的描述本发明的技术方案,现列举较佳实施例对本发明的 技术方案进行详细说明。
在用户终端上安装不可卸载的内网外联客户端,在内部网络中设置对应 的内网外联服务器,其中保存各授权用户的用户帐号和对应的密码信息,以 及该授权用户的访问控制策略。由于内网外联服务器中所保存的访问控制策 略是针对用户的,因此可以根据不同的用户设置不同的访问控制策略。
参见图3,图3为本发明较佳实施例方法的流程图,包括以下步骤 在步骤301中,用户终端启动时,启动内网外联客户端。 也就是在用户终端一开机时,就启动内网外联客户端。 在步骤302中,内网外联客户端启动后,可以通过提示界面提示使用当 前用户终端输入用户帐号和对应的密码信息,将收到的用户帐号和密码信息 发送至内网外联服务器,请求访问控制策略。
在步骤303中,内网外联服务器收到内网外联客户端发送的用户帐号和 密码信息,根据自身保存的授权用户的用户帐号和密码信息,对用户进行认 证。在认证通过后,根据用户帐号查找到对应的访问控制策略,向当前内网 外联客户端下发该访问控制策略;如果认证未通过,则证明当前用户为非授 权用户,不具备上网的条件,则返回失败消息。
在步骤304中,内网外联客户端接收内网外联服务器返回的访问控制策 略,截获用户终端发送的网络报文,根据收到的访问控制策略对截获的网络 报文进行过滤,发送符合访问控制策略的报文,丢弃不符合访问控制策略的 报文。其中,具体截获网络报文可以使用现有的相关技术手段,在此不再详 述。
访问控制策略可以设置为允许外联的介质访问控制(MAC)地址及IP 地址段,也可以是针对报文设置的包括目的IP、目的端口、协议类型、时间 段等信息的访问控制列表(ACL)控制策略,也可以是各种策略的组合,例 如可以包括上网地点、上网时间段和用户组等信息。
在内网外联客户端启动之后,除了在启动时向内网外联服务器请求访问
控制策略之外,还可以主动尝试访问内网外联服务器,以更新自身所使用的 访问控制策略,保证自身所使用的访问控制策略总是最新的。
对在收到访问控制策略之前,内网外联客户端截获到的用户终端发送的
网络报文,为了防止直接可以采用直接丢弃的方式;或者预先在内网外联客
户端保存初始访问控制策略,按照初始访问控制策略进行过滤。
同时,参见图4,图4为本较佳实施例提供的管理用户上网行为的内网 外联客户端的结构图,该内网外联客户端安装在用户终端上,具体包括截获 单元和处理单元。其中,截获单元截获用户终端发送的网络报文,并发送至 处理单元。处理单元接收截获单元发送的网络报文,根据设置的访问控制策 略对截获的网络报文进行过滤,发送符合访问控制策略的网络报文,丟弃不 符合访问控制策略的网络报文。
另外,内网外联客户端进一步包括触发单元。触发单元用于在所在用 户终端启动时,触发截获单元截获用户终端发送的网络报文。
另外,内网外联客户端进一步包括阻止单元。阻止单元内网外联客户 端检测到卸载内网外联客户端的操作、或者在用户终端运行过程中关闭内网 外联客户端的操作时,阻止操作。
具体的,处理单元包括控制单元和存储单元。其中,控制单元访问预先 设置的内网外联服务器,获取其中保存的访问控制策略,并将获取的访问控 制策略发送至存储单元;接收截获单元发送的网络报文,并根据存储单元存 储的访问控制策略对网络报文进行过滤。存储单元保存控制单元发送的访问 控制策略。
另外,触发单元还可以用于在所在用户终端启动时,触发控制单元获取 访问控制策略。相应的,控制单元被触发后,向预先设置的内网外联服务器 发送使用当前用户终端用户的用户帐号和密码信息,接收内网外联服务器经 认证后,返回的与用户帐号对应的访问控制策略。
另外,参见图5,图5为本较佳实施例提供的管理用户上网行为的内网
外联服务器的结构图,该内网外联服务器包括策略控制单元和策略存储单
元。
其中,策略控制单元接受用户终端中内网外联客户端的访问,从策略存 储单元中取出访问控制策略,并发送给内网外联客户端。策略存储单元存储 访问控制策略。
另外,策略存储单元还可以保存授权用户的用户帐号和对应的密码信 息,并按照用户帐号存储对应的访问控制策略。相应的,策略控制单元接收 内网外联客户端发送当前用户终端使用的用户帐号和密码信息,根据策略存 储单元保存的授权用户的用户帐号和密码信息对用户进行认证,在认证通过 后,根据用户帐号在策略存储单元中取出对应的访问控制策略,并发送给内 网外联客户端。
本发明所提供的技术方案,不但能够有效的管理用户内网外联的行为, 同时由于内网外联客户端安装在用户终端上,无论用户终端是在企业内部还 是在宾馆、家中,网络访问均严格受控,因此还可以有效管理用户的上网行 为。
另外,由于访问控制策略由内网外联服务器集中管理,因此,降低了网 络维护工作量,能够方便网络管理员进行管理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在 本发明的保护范围之内。
权利要求
1、一种管理用户上网行为的方法,用于安装内网外联客户端的用户终端,其特征在于,该方法包括在所述内网外联客户端启动后,截获所述用户终端发送的网络报文,根据设置的访问控制策略对截获的网络报文进行过滤,发送符合所述访问控制策略的网络报文,丢弃不符合所述访问控制策略的网络报文。
2、 根据权利要求1所述的方法,其特征在于,在所述用户终端启动时,启 动所述内网外联客户端。
3、 根据权利要求1所述的方法,其特征在于,该方法进一步包括所述内 网外联客户端^r测到卸载所述内网外联客户端的操作、或者在用户终端运行过程中关闭所述内网外联客户端的操作时,阻止所述操作。
4、 根据权利要求l、 2或3所述的方法,其特征在于, 该方法进一步包括在所述内网外联客户端启动后,访问预先设置的内网外联服务器,获取其中保存的访问控制策略;所述内网外联客户端根据设置的访问控制策略对截获的网络报文进行过滤 为根据从内网外联服务器获取的访问控制策略对截获的网络报文进行过滤。
5、 根据权利要求4所述的方法,其特征在于,所述内网外联客户端访问预先设置的内网外联服务器,获取其中保存的访 问控制策略包括所述内网外联客户端向所述内网外联服务器发送使用当前用户终端用户的 用户帐号和密码信息;所述内网外联服务器根据收到的用户帐号和密码信息对使用当前用户终端 的用户进行认证,认证通过后向所述内网外联客户端发送所述用户账号对应的 访问控制策略;所述内网外联客户端接收所述内网外联服务器发送的访问控制策略。
6、 一种管理用户上网行为的内网外联客户端,其特征在于,该内网外联客 户端安装在用户终端上,包括截获单元和处理单元;所述截获单元截获所述用户终端发送的网络报文,并发送至所述处理单元; 所述处理单元接收所述截获单元发送的网络报文,根据设置的访问控制策略对截获的网络报文进行过滤,发送符合所述访问控制策略的网络报文,丢弃不符合所述访问控制策略的网络报文。
7、 根据权利要求6所述的内网外联客户端,其特征在于,所述内网外联客 户端进一步包括触发单元;所述触发单元用于在所在用户终端启动时,触发所述截获单元截获所述用 户终端发送的网络报文。
8、 根据权利要求6所述的内网外联客户端,其特征在于,所述内网外联客 户端进一步包括阻止单元;所述阻止单元所述内网外联客户端检测到卸载所述内网外联客户端的操 作、或者在用户终端运行过程中关闭所述内网外联客户端的操作时,阻止所述 操作。
9、 根据权利要求6、 7或8所述的内网外联客户端,其特征在于,所述处 理单元包括控制单元和存储单元;所述控制单元访问预先设置的内网外联服务器,获取其中保存的访问控制 策略,并将获取的访问控制策略发送至所述存储单元;接收截获单元发送的网 络报文,并根据存储单元存储的访问控制策略对所述网络报文进行过滤;所述存储单元保存所述控制单元发送的访问控制策略。
10、 根据权利要求9所述的内网外联客户端,其特征在于, 所述触发单元用于在所在用户终端启动时,触发所述控制单元获取访问控制策略;所述控制单元被触发后,向所述预先设置的内网外联服务器发送使用当前 用户终端用户的用户帐号和密码信息,接收所述内网外联服务器经认证后,返 回的与所述用户帐号对应的访问控制策略。
11、 一种管理用户上网行为的内网外联服务器,其特征在于,该内网外联服务器包括策略控制单元和策略存储单元;所述策略控制单元接受用户终端中内网外联客户端的访问,从所述策略存储单元中取出访问控制策略,并发送给所述内网外联客户端; 所述策略存储单元存储访问控制策略。
12、 根据权利要求11所述的内网外联服务器,其特征在于, 所述策略存储单元保存授权用户的用户帐号和对应的密码信息,并按照用户帐号存储对应的访问控制策略;所述策略控制单元接收所述内网外联客户端发送使用当前用户终端用户的 用户帐号和密码信息,根据所述策略存储单元保存的授权用户的用户帐号和密 码信息对所述用户进行认证,在认证通过后,根据用户帐号在所述策略存储单 元中取出对应的访问控制策略,并发送给所述内网外联客户端。
13、 一种管理用户上网行为的系统,其特征在于,该系统包括内网外联服 务器和至少一个内网外联客户端;所述内网外联客户端安装在用户终端上,在所述内往外联客户端启动后, 访问所述内网外联服务器,接收所述内网外联服务器返回的访问控制策略;截 获所述用户终端发送的网络报文,根据设置的访问控制策略对截获的网络报文 进行过滤,发送符合所述访问控制策略的网络报文,丢弃不符合所述访问控制 策略的网络报文;所述内网外联服务器接受所述内网外联客户端的访问,将设置的访问控制 策略发送给所述内网外联客户端。
全文摘要
本发明公开了一种管理用户上网行为的技术方案,用于安装了内网外联客户端的用户终端,包括内网外联客户端启动后,内网外联客户端根据访问控制策略对用户终端发送的网络报文进行过滤,实现对了用户上网行为的管理。在本发明的技术方案中,由于内网外联客户端是安装在用户终端上,因此只要用户终端运行,内网外联客户端就会依据访问控制策略对用户终端的行为进行监控,进而能够很好的阻止用户终端的非法行为,实现了对用户上网行为的管理。
文档编号H04L12/56GK101188557SQ20071017901
公开日2008年5月28日 申请日期2007年12月7日 优先权日2007年12月7日
发明者刘恒胜 申请人:杭州华三通信技术有限公司