一种在网关、网桥上实现用户安全接入外网的方法

摘要

本发明涉及了一种在网关、网桥上实现用户安全上网的方法，采用安全网关或网桥连接内网和外网的结构，包括：1.1)用户向安全网关或网桥请求连接外网；1.2)检查安全网关或网桥内是否存在该用户记录，否，若资源为WEB资源，则启动安全扫描，若扫描通过则记录该结果和用户，并指定自动失效时间；1.3)根据所述记录或扫描通过的结果和满足安全网关或网桥对外网资源类型的安全设定来允许所述请求；否则，拒绝所述请求。这种方法，通过用户请求接入外部非信任网络时，由网关、网桥启动对用户设备上的运行软件及其配置的检查，审查通过才允许接入，使得用户在指定软件保护和监控下接入外部网络和互联网，从而获得必要的安全保护，也可受到网络管理人员必要的监控。

说明书

技术领域

本发明涉及计算机及网络安全技术，尤其涉及利用网关、网桥来实现用户安全接入外部不可信或互联网络的方法。

背景技术

随着互联网和信息技术的发展和应用，互联网已经是人们日常工作生活中不可缺少的部分，但随之带来如下问题：

1、互联网上信息良莠不齐并充满黑客、病毒和陷阱等威胁，使用互联网的用户，简称“用户”，随时都会受到来自互联网的侵犯和骚扰。

2、用户使用互联网从事与工作无关的事情，或利用互联网做出违反国家法律法规的事情。

为保证用户不经受来自互联网的侵犯，管理用户或用户网络的安全人员通常会为用户安全提供一系列的安全软件以防范来自互联网的威胁，如：防病毒软件、防黑客软件和防骚扰信息软件等；为保证用户不使用互联网从事与工作无关的事情，不使用互联网做出违反国家法律法规的事情，安全人员会通知用户或直接为用户安装一系列的监控、过滤、记录软件以防止用户发生此类行为。

但上述软件不是用户连接互联网的必要软件，在没有上述软件、配置(或软件信息未升级)的情况下，用户同样可以连接并使用互联网，此时用户将仍会受到来自互联网的威协及骚扰，且还可利用互联网从事与工作无关的事情或违反国家法律法规的非法行为。

发明内容

本发明需要解决的技术问题是，如何确保用户在上网时其设备上运行了恰当软件并作好了正确设置，完全符合网络管理人员的要求。

本发明上述技术问题这样解决，提供一种在网关、网桥上实现用户安全接入外网的方法，采用安全网关或安全网桥连接内部可信网络和外部不可信网络的结构，包括以下步骤：

1.1)请求：用户向安全网关或安全网桥请求连接外部不可信网络的资源；

1.2)安全检查：检查安全网关或安全网桥内是否存在该用户记录，否，若所述资源为WEB资源，则启动对该用户软件环境及配置的安全扫描，若扫描通过则记录该结果和该用户，并指定自动失效时间；

1.3)允许或拒绝请求：根据所述记录或所述扫描通过的结果和满足安全网关或安全网桥对外部不可信网络资源类型的安全设定来允许所述请求；否则，拒绝所述请求。

按照本发明提供的方法，所述安全设定可为允许访问WEB资源，而拦截对其他一部分网络资源的请求。

按照本发明提供的方法，所述内部可信网络内存储用户可访问的WEB安全扫描程序，所述步骤1.1)中资源为WEB资源，所述步骤1.2)中安全扫描使用所述WEB安全扫描程序，包括以下步骤：

1.2.1)重定向用户请求，强制用户访问所述WEB安全扫描程序；

1.2.2)用户自动调用所述WEB安全扫描程序扫描自身设备的软件环境及配置并输出扫描结果；

1.2.3)将所述扫描结果转送给所述安全网关或安全网桥。

按照本发明提供的方法，该方法还包括主动请求安全检查，具体步骤如下：

3.1)用户自行访问所述WEB安全扫描程序对应的WEB页面；

3.2)调用所述WEB安全扫描程序扫描自身设备的软件环境及配置并输出扫描结果；

3.3)将所述扫描结果转送给所述安全网关或安全网桥；

3.4)若扫描通过，则所述安全网关或安全网桥记录该结果和该用户，并指定自动失效时间。

按照本发明提供的方法，所述自动失效时间可以是但不限制是5分钟至一星期。

本发明提供的在网关、网桥上实现用户安全接入外网的方法，通过用户请求接入外部非信任网络时，由网关、网桥启动对用户设备上的运行软件及其配置的检查，审查通过才允许接入，使得用户在指定软件保护和监控下接入外部网络和互联网，从而获得必要的安全保护，也可受到网络管理人员必要的监控。

附图说明

下面结合附图和具体实施例进一步对本发明进行详细说明。

图1是本发明提供的网络连接示意图。

图2是图1中内部网络用户设备访问安全网关另一侧外部网络(不可信区域或互联网)的上网流程示意图。

具体实施方式

本发明思想是在用户可信网络与不可信网络之间，该不可信网络通常是指互联网：Internet，提供一种网络准入规则，即：用户从可信网络访问不可信网络时，需要通过网关、网桥对用户上网的终端，该终端通常是指计算机，做安全扫描以检查网络安全人员对用户上网的终端所设置的安全配置及相关的安全软件是否存在并正常运行，如果用户上网的终端所设置的安全配置及相关的安全软件已经正常运行，则允许该用户连接、使用不可信网络，否则拒绝该用户请求连接、使用不可信网络。

本发明用户安全使用网络的工作原理是：

第一步，在终端用户的内部可信网络与外部不可信网络之间，加入该安全网关、网桥设备，使用户从内部可信网络连接、使用外部不可信网络的数据经过此设备。

第二步，当用户请求连接、使用外部不可信网络时，网关或网桥上网络安全设置需要先通过WEB方式或安全的WEB方式(HTTP协议或HTTPS协议)对用户的上网终端做安全扫描，以确认用户上网终端的配置及软件环境符合网络安全人员设置的条件。如果用户上网终端的配置及软件环境不符合网络安全人员所设置的安全条件，则拒绝该用户连接、使用外部不可信网络，并且安全网关、网桥将此信息报告给网络安全人员，以便网络安全人员进行维护。

第三步，安全网关、网桥使用WEB方式或安全的WEB方式对终端用户的终端设备进行扫描，具体如下：

1)终端用户未通过安全扫描而请求外部不可信网络的WEB资源时，安全网关、网桥拒绝访问但启动安全扫描；若请求外部不可信网络的其他网络资源时，安全网关、网桥拒绝访问且不启动安全扫描。终端用户通过安全扫描而请求连接外部不可信网络的WEB资源时，允许该请求；请求外部不可信网络的其他网络资源时，还须根据安全网关、网桥对外部不可信网络资源类型的具体安全设定来决定是否允许该请求。

2)终端用户未通过安全扫描，具体安全扫描过程是：终端用户请求连接外部不可信网络WEB资源时，被强制重定向至安全网关、网桥对终端设备进行扫描的WEB页面并自动开始扫描，当扫描通过时，允许该用户在一段时间内正常使用、访问外部不可信网络的资源。

3)终端用户客人主动请求安全扫描，具体过程是：终端用户自行访问安全网关、网桥对终端设备进行扫描的WEB页面，并自动开始扫描，当扫描通过时，允许该用户在一段时间内正常使用、访问外部不可信网络的资源。

进一步，本发明具体网络，结构如图1所示，用户终端分布在内部可信网络1中，通过安全网关或网桥2连接外部不可信网络，使用户从内部可信网络连接、使用外部不可信网络(主要指互联网)的数据经过此设备。

本发明内部网络用户设备访问安全网关或安全网桥另一侧外部网络的上网流程，具体如图2所示，包括以下步骤：

201)开始；

202)用户通过用户设备上网，该用户设备试图通过安全网关或安全网桥访问不可信网络，向安全网关或安全网桥发出请求；

203)查询安全网关或安全网桥中的记录，判定该用户是否在一段时间内已通过安全扫描？存在记录，进入步骤2072；不存在记录，进入下一步；

204)重定向用户设备的访问请求，强制用户设备访问安全网关指定的WEB安全扫描程序；

205)使用安全网关指定的WEB程序对用户设备做安全扫描；

206)上述WEB程序自动判定用户设备运行的软件及其配置是否符合管理员所制定的安全策略？是，进入步骤2072；否，进入下一步；

2071)阻止该用户设备的访问请求，拒绝用户上网请求，转入步骤208；

2072)允许该用户设备在指定一段时间内的访问请求，允许用户上网，并在安全网关或安全网桥中记录该用户设备，且设定自动失效时间，该自动失效时间可以是5～30分钟。

208)结束。