专利名称:不同用户划分不同访问权限的方法
技术领域:
本发明涉及防火墙领域,特别涉及一种不同用户划分不同访问权限的方法。
背景技术:
当使用EZVPN (esay Virtual Private Network,简易虚拟专用网络)进行PC客户端与网络设备进行连接时,网络设备可以为带IPSEC (Internet Protocol Security),协议安全性)功能的防火墙,对用户的管理无法达到动态权限控制,只能通过路由设置指定IP地址进行访问控制,简单可行,但如果有大量的EZVPN接入需求,不但在管理上,在安全上也存在一定的隐患,例如,使用EZVPN接入后,EZVPN用户通过用户名密码验证获取一个防火墙分配给用户的私有IP地址用来访问私网设备,此时如果在防火墙上只简单的使用IP地址访问控制权限,就会出现安全漏洞,如果一个人没有通过xauth (扩展验证)的用户名密码认证,只进行了 IPSEC隧道的建立,然后通过此IPSEC隧道,封装一个自己指定的私有IP地址,如果这个私有IP地址与防火墙上高级别的私有IP地址相同,那么此时这个人就变相的获得了高访问权限,就造成了安全漏洞。
发明内容
(一)解决的技术问题本发明解决的技术问题是如何针对不同用户划分不同访问权限。(二)技术方案本发明提出了一种不同用户划分不同访问权限的方法,所述方法包括:S1:为不同用户设置不同权限域,并将xauth认证的用户名与用户权限进行绑定;S2:当用户使用外网IP与防火墙IP建立IPSEC隧道时,防火墙通过xauth认证判断所述用户权限,并将所述用户权限标记在所述IPSEC隧道上;S3:当所述用户通过所述IPSEC隧道发送报文时,防火墙对所述报文进行解密;若解密报文的目的地址在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文进行转发;若所述解密报文的目的地址不在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文丢弃。优选地,步骤SI中具体为:根据所述不同用户的用户名设置不同权限域。优选地,设置权限域的方法为:设置访问IP地址。优选地,设置权限域的方法为:设置指定IP地址的指定协议或指定IP地址的端口号。优选地,设置权限域的方法为:设置禁止指定IP地址、禁止指定IP地址的指定协议或禁止指定IP地址的端口号。优选地,步骤S2还包括防火墙为所述用户配置私网地址。(三)有益效果
本发明通过提供一种不同用户划分不同访问权限的方法,通过将访问权限标记在建立的IPSEC隧道上,当有用户通过IPSEC隧道访问私网,都会根据解密的IPSEC隧道先进行权限判断,再根据权限配置判断是否解密后的报文访问的是有权限的地址,并根据权限来丢弃解密报文或转发解密报文。使得不同用户根据自身权限访问私网。
图1是本发明的方法流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。本发明提出了一种不同用户划分不同访问权限的方法,将用户权限与xauth认证的用户名进行绑定,当用户访问私网时动态的将访问权限标记到动态生成的IPSEC隧道上,用户通过ipsec隧道访问私网,都会根据解密的IPSEC隧道先进行权限判断,再根据权限配置判断解密报文访问的地址是否为权限地址,并根据权限来丢弃解密报文或转发解密报文,如图1所示,所述方法包括:S1:为不同用户设置不同权限域,并将xauth认证的用户名与用户权限进行绑定;如:董事长域(权限I):用户名a密码a用户名b密码b财务域(权限2):用户名c密码c用户名d密码d研发域(权限3):用户名e密码e用户名f密码f为董事长级别的用户设置为董事长域,具有董事长域权限的用户可以访问所有设备;为财务部门的用户设置为财务域,具有财务域的用户只能访问财务服务器IP为1.1.1.111 ;为研发部的用户设置为研发域,具有研发域的用户只能访问研发服务器IP为
1.1.1.112,等等,依次类推。用户名均经过xauth认证,将经过xauth认证过的用户名与用户名对应的用户权限进行绑定。步骤SI中具体为:根据所述不同用户的用户名设置不同权限域;设置权限域的方法为:为不同用户设置可以访问的IP地址;设置权限域的方法为:为不同用户设置指定IP地址的指定协议或指定IP地址的
端口号;设置权限域的方法为:设置禁止指定IP地址、禁止指定IP地址的指定协议或禁止指定IP地址的端口号。例如,为研发域设置禁止访问财务服务器端口 UDP协议类型的235端口,但可以设置准许访问财务服务器的视频播放端口 TCP协议的510端口。S2:当用户使用外网IP与防火墙IP建立IPSEC隧道时,防火墙通过xauth认证判断所述用户权限,并将所述用户权限标记在所述IPSEC隧道上;若用户c通过外网IP为202.1.1.1通过EZVPN与防火墙外网IP为202.1.1.100进行连接建立IPSEC隧道时,防火墙为用户C分配一个私网IP地址1.1.1.1,并判断用户c的用户权限,当判断出用户c的用户权限为财务域,则将财务域标记在建立的IPSEC隧道202.1.1.1-202.1.1.100 上。S3:当所述用户通过所述IPSEC隧道向私网发送报文时,防火墙找到对应的IPSEC隧道202.1.1.1-202.1.1.100并对所述报文进行解密,并将解密的目的地址与IPSEC隧道标记的所述用户权限记录的地址进行对比;若解密报文的目的地址在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文进行转发;若所述解密报文的目的地址不在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文丢弃。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种不同用户划分不同访问权限的方法,其特征在于,所述方法包括:51:为不同用户设置不同权限域,并将xauth认证的用户名与用户权限进行绑定; 52:当用户使用外网IP与防火墙IP建立IPSEC隧道时,防火墙通过xauth认证判断所述用户权限,并将所述用户权限标记在所述IPSEC隧道上;53:当所述用户通过所述IPSEC隧道发送报文时,防火墙对所述报文进行解密; 若解密报文的目的地址在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文进行转发; 若所述解密报文的目的地址不在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文丢弃。
2.根据权利要求1所述的方法,其特征在于,步骤SI具体为:根据所述不同用户的用户名设置不同权限域。
3.根据权利要求2所述的方法,其特征在于,设置权限域的方法为:设置访问IP地址。
4.根据权利要求2所述的方法,其特征在于,设置权限域的方法为:设置指定IP地址的指定协议或指定IP地址的端口号。
5.根据权利要求2所述的方法,其特征在于,设置权限域的方法为:设置禁止指定IP地址、禁止指定IP地址的指定协议或禁止指定IP地址的端口号。
6.根据权利要求1所述的方法,其特征在于,步骤S2还包括防火墙为所述用户配置私网地址。
全文摘要
本发明提供一种不同用户划分不同访问权限的方法,所述方法包括S1为不同用户设置不同权限域,并将xauth认证的用户名与用户权限进行绑定;S2当用户使用外网IP与防火墙IP建立IPSEC隧道时,防火墙通过xauth认证判断所述用户权限,并将所述用户权限标记在所述IPSEC隧道上;S3当所述用户通过所述IPSEC隧道发送报文时,防火墙对所述报文进行解密;若解密报文的目的地址在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文进行转发;若所述解密报文的目的地址不在所述IPSEC隧道上标记的所述用户权限内,则将所述解密报文丢弃。本发明通过提供一种不同用户划分不同访问权限的方法,使得不同用户根据自身权限访问私网。
文档编号H04L29/06GK103200188SQ201310090540
公开日2013年7月10日 申请日期2013年3月19日 优先权日2013年3月19日
发明者陈海滨 申请人:汉柏科技有限公司