專利名稱:一種ssl vpn客戶端安全檢查方法���、系統(tǒng)及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域��,特別是涉及一種SSL VPN客戶端安全檢查方法�����、系統(tǒng)及其裝置��。
背景技術(shù):
SSL(Security Socket Layer��,安全套接字層)通過(guò)加密方式保護(hù)在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性�����,它可以自動(dòng)應(yīng)用在每一個(gè)瀏覽器上�。VPN(Virtua1Private Network,虛擬專用網(wǎng)絡(luò))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)���,它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問(wèn)控制功能�����。過(guò)去�����,VPN總是和IPSec(Internet Protocol Security���,因特網(wǎng)協(xié)議安全)聯(lián)系在一起����,因?yàn)樗荲PN加密信息實(shí)際用到的協(xié)議�。IPSec運(yùn)行于網(wǎng)絡(luò)層,IPSec VPN則多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接��。到目前為止��,SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)��。與復(fù)雜的IPSec VPN相比��,SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通���。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN��,這是因?yàn)镾SL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件����。這一點(diǎn)對(duì)于擁有大量機(jī)器(包括家用機(jī)��,工作機(jī)和客戶機(jī)等等)需要與公司機(jī)密信息相連接的用戶至關(guān)重要�����。
SSL VPN目前實(shí)現(xiàn)了對(duì)客戶端的安全評(píng)估�,當(dāng)用戶通過(guò)SSL VPN遠(yuǎn)程接入訪問(wèn)內(nèi)部相應(yīng)的網(wǎng)絡(luò)資源時(shí)���,不安全客戶端接入將有可能造成核心機(jī)密的泄漏和網(wǎng)絡(luò)病毒的傳播��,對(duì)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全和信息安全造成很大威脅���。為解決這個(gè)問(wèn)題,現(xiàn)有的SSL VPN產(chǎn)品在普通用戶登錄時(shí)可以通過(guò)插件對(duì)客戶端操作系統(tǒng)版本���,注冊(cè)表鍵值����、客戶端安全軟件的部署等情況進(jìn)行檢查��,對(duì)客戶端的安全性進(jìn)行評(píng)估并確認(rèn)其能夠訪問(wèn)哪些資源���。
其中�,該SSL VPN產(chǎn)品具體可以提供檢查的可選項(xiàng)目有操作系統(tǒng)的類型、版本以及安裝的補(bǔ)?。?
瀏覽器的類型�����、版本以及安裝的補(bǔ)?���。环啦《拒浖陌惭b�;防火墻軟件的安裝;是否持有由指定頒發(fā)者頒發(fā)的數(shù)字證書�;是否有指定的文件;是否有指定的進(jìn)程�����。
以上各項(xiàng)可以任選一項(xiàng)或多項(xiàng)�����,在選擇后只有選擇的各項(xiàng)都符合條件的用戶才被允許登錄�。用戶在登錄過(guò)程中,調(diào)用ActiveX插件進(jìn)行安全檢查;通過(guò)一定級(jí)別的安全策略檢查后���,受到該安全策略保護(hù)的資源與用戶所擁有訪問(wèn)權(quán)限的資源的交集對(duì)用戶來(lái)說(shuō)就是可見的,否則用戶無(wú)權(quán)登錄和訪問(wèn)相關(guān)資源���。
在實(shí)現(xiàn)本發(fā)明過(guò)程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下缺點(diǎn)缺點(diǎn)一現(xiàn)有技術(shù)中的SSL VPN產(chǎn)品所能執(zhí)行的檢查功能有限��,無(wú)法實(shí)現(xiàn)與防病毒軟件和防火墻軟件的強(qiáng)聯(lián)動(dòng)����,無(wú)法實(shí)現(xiàn)病毒庫(kù)自動(dòng)升級(jí)和對(duì)病毒感染情況的實(shí)時(shí)監(jiān)控����。缺點(diǎn)二檢查操作系統(tǒng)補(bǔ)丁之后,如果補(bǔ)丁沒有打全無(wú)法接入內(nèi)網(wǎng)服務(wù)器�,無(wú)法實(shí)現(xiàn)補(bǔ)丁自動(dòng)升級(jí)。缺點(diǎn)三資源的重復(fù)分配�,在用戶所屬的用戶組中資源已經(jīng)被配置;如果要實(shí)施安全策略則還需要再配置資源與策略的對(duì)應(yīng)關(guān)系���,在登錄時(shí)再使用兩種資源的交集����,配置不便。缺點(diǎn)四目前的ActiveX插件只在用戶登陸的過(guò)程中進(jìn)行一些靜態(tài)檢查����,沒有監(jiān)控到用戶上線之后客戶端安全信息的變化,不能做到定時(shí)檢查實(shí)時(shí)監(jiān)控��,存在一定的安全隱患����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例供一種SSL VPN客戶端安全檢查方法、系統(tǒng)及其裝置���,解決現(xiàn)有技術(shù)中SSL VPN產(chǎn)品所能執(zhí)行的檢查功能有限����,資源重復(fù)分配和在用戶上線后無(wú)法實(shí)施監(jiān)控的問(wèn)題���。
為達(dá)到上述目的�,本發(fā)明實(shí)施例一方面提出一種SSL VPN客戶端安全檢查方法�,包括以下步驟接入設(shè)備向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求�����;在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后�,所述接入設(shè)備將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端��,并通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查;判斷所述客戶端是否通過(guò)所述安全檢查��;如果所述客戶端未通過(guò)所述安全檢查��,則所述接入設(shè)備針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL���。
其中,在判斷所述客戶端是否通過(guò)所述安全檢查之后��,還包括以下步驟如果所述客戶端通過(guò)所述安全檢查���,則所述接入設(shè)備針對(duì)所述客戶端引用安全ACL����。
其中���,所述認(rèn)證服務(wù)器具體為綜合訪問(wèn)管理CAMS服務(wù)器�����,在所述CAMS服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后���,還包括以下步驟所述CAMS服務(wù)器將所述策略服務(wù)器地址信息發(fā)送給所述客戶端��;所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請(qǐng)求���。
其中,在所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請(qǐng)求之后����,還包括以下步驟所述策略服務(wù)器從所述CAMS服務(wù)器中獲取安全策略;根據(jù)所述安全策略確定所述客戶端的安全檢查項(xiàng)���,并下發(fā)給所述接入設(shè)備���。
其中,在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后�����,還包括以下步驟所述認(rèn)證服務(wù)器向所述客戶端發(fā)送身份認(rèn)證回應(yīng)信息����;所述客戶端判斷所述身份認(rèn)證回應(yīng)信息中是否有策略服務(wù)器的地址信息�����;如果沒有所述策略服務(wù)器的地址信息��,則向所述接入設(shè)備發(fā)起安全檢查請(qǐng)求����。
其中�,在所述客戶端向所述接入設(shè)備發(fā)起安全檢查請(qǐng)求之后���,還包括以下步驟所述接入設(shè)備代理所述客戶端向策略服務(wù)器發(fā)起安全檢查請(qǐng)求��;所述策略服務(wù)器從所述接入設(shè)備中獲取安全策略�;根據(jù)所述安全策略確定所述安全檢查項(xiàng)���,并下發(fā)給所述接入設(shè)備��。
其中�,在所述接入設(shè)備針對(duì)所述客戶端引用隔離ACL之后還包括以下步驟提示所述客戶端進(jìn)行安全升級(jí)或下線����。
其中�,在所述接入設(shè)備針對(duì)所述客戶端引用安全ACL之后�����,還包括以下步驟在所述客戶端在線過(guò)程中��,定期要求所述客戶端進(jìn)行安全檢查��;如果所述客戶端未通過(guò)所述定期的安全檢查�����,則通知所述客戶端進(jìn)行安全升級(jí)或下線����。
其中,在所述接入設(shè)備針對(duì)所述客戶端引用隔離ACL之后�,還包括以下步驟所述接入設(shè)備將所述隔離ACL轉(zhuǎn)換成對(duì)應(yīng)的隔離區(qū)IP資源。
其中���,在所述判斷客戶端是否通過(guò)所述安全檢查之前����,還包括以下步驟所述客戶端根據(jù)安全檢查項(xiàng)目進(jìn)行安全檢查后將安全檢查結(jié)果發(fā)給所述策略服務(wù)器;所述策略服務(wù)器根據(jù)接收到的所述安全檢查結(jié)果判斷所述客戶端是否通過(guò)所述安全檢查����,并通知所述接入設(shè)備。
另一方面����,本發(fā)明實(shí)施例還提供了一種接入設(shè)備,包括身份認(rèn)證請(qǐng)求處理模塊����,安全檢查項(xiàng)下發(fā)模塊,安全檢查判斷模塊和ACL控制模塊����,所述身份認(rèn)證請(qǐng)求處理模塊���,用于向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求�����;所述安全檢查項(xiàng)下發(fā)模塊����,用于在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后,將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端�,通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查;所述安全檢查判斷模塊�,用于判斷所述客戶端是否通過(guò)所述安全檢查;所述ACL控制模塊����,用于在所述安全檢查判斷模塊判斷所述客戶端未通過(guò)所述安全檢查時(shí),針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL����。
其中,所述ACL控制模塊進(jìn)一步還用于在所述安全檢查判斷模塊判斷所述客戶端通過(guò)所述安全檢查時(shí)���,針對(duì)所述客戶端引用安全ACL����。
其中��,還包括配置信息保存模塊���,用于保存策略服務(wù)器地址信息���、安全策略和安全/隔離ACL號(hào)���。
其中,還包括客戶端代理模塊�����,用于在收到所述客戶端的安全檢查請(qǐng)求后��,代理所述客戶端向所述策略服務(wù)器請(qǐng)求安全檢查����。
其中,還包括定期通知模塊��,用于在所述安全檢查判斷模塊判斷所述客戶端通過(guò)安全檢查后��,定期通知所述客戶端進(jìn)行安全檢查����。
其中����,還包括提示模塊,用于在所述安全檢查判斷模塊判斷所述客戶端未通過(guò)安全檢查后�,提示所述客戶端進(jìn)行安全升級(jí)或下線����。
其中�,所述ACL控制模塊還包括ACL轉(zhuǎn)換子模塊,用于將所述隔離ACL轉(zhuǎn)換成對(duì)應(yīng)的隔離區(qū)IP資源�����。
再一方面����,本發(fā)明實(shí)施例還提出一種SSL VPN客戶端安全檢查系統(tǒng),包括客戶端�、接入設(shè)備、認(rèn)證服務(wù)器和策略服務(wù)器�����,所述客戶端�,用于通過(guò)所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求;所述認(rèn)證服務(wù)器���,用于驗(yàn)證所述客戶端是否通過(guò)身份認(rèn)證��,并通知所述接入設(shè)備�;所述接入設(shè)備,用于在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后�,將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端,通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查���,并在所述客戶端未通過(guò)安全檢查后針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL�����;所述策略服務(wù)器�,用于根據(jù)安全策略確定所述客戶端的安全檢查項(xiàng)��,并將所述安全檢查項(xiàng)下發(fā)給所述接入設(shè)備��。
其中��,還包括防病毒服務(wù)器和/或補(bǔ)丁服務(wù)器�����,用于在所述客戶端未通過(guò)安全檢查后����,供所述客戶端進(jìn)行安全升級(jí)。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)����,通過(guò)策略服務(wù)器對(duì)客戶端進(jìn)行安全狀態(tài)檢測(cè),使得只有符合安全標(biāo)準(zhǔn)通過(guò)安全檢查的客戶端才能夠被允許正常接入�,未通過(guò)安全檢查的客戶端只能訪問(wèn)隔離區(qū)內(nèi)的服務(wù)器資源,并通知未通過(guò)安全檢查的客戶端利用隔離區(qū)內(nèi)的服務(wù)器資源進(jìn)行安全升級(jí)��。本發(fā)明實(shí)施例還可以在客戶端通過(guò)安全檢查接入網(wǎng)絡(luò)后�����,繼續(xù)對(duì)該客戶端進(jìn)行監(jiān)控��,一旦發(fā)現(xiàn)該客戶端存在安全隱患立刻通知該客戶端進(jìn)行安全升級(jí)或下線���。
圖1為本發(fā)明實(shí)施例SSL VPN客戶端安全檢查系統(tǒng)結(jié)構(gòu)圖�;圖2為本發(fā)明實(shí)施例一的SSL VPN客戶端安全檢查方法流程圖���;圖3為本發(fā)明實(shí)施例二的SSL VPN客戶端安全檢查方法流程圖�;圖4為本發(fā)明實(shí)施例三的SSL VPN客戶端安全檢查方法流程圖����。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例�����,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述如圖1所示���,為本發(fā)明實(shí)施例SSL VPN客戶端安全檢查系統(tǒng)結(jié)構(gòu)圖,該SSL VPN客戶端安全檢查系統(tǒng)包括客戶端1�、認(rèn)證服務(wù)器2、接入設(shè)備3和策略服務(wù)器4��,其中接入設(shè)備可以是SSL VPN網(wǎng)關(guān)�����?�?蛻舳?用于通過(guò)接入設(shè)備3向認(rèn)證服務(wù)器2發(fā)起身份認(rèn)證請(qǐng)求�����,客戶端1通過(guò)瀏覽器(例如IE瀏覽器)向接入設(shè)備3發(fā)起登錄請(qǐng)求����,請(qǐng)求進(jìn)行身份驗(yàn)證,并將用戶名�����、密碼等用戶信息發(fā)給接入設(shè)備3��,接入設(shè)備3將上述用戶信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器2進(jìn)行身份認(rèn)證�����;認(rèn)證服務(wù)器2用于驗(yàn)證客戶端1是否通過(guò)身份認(rèn)證����,并將是否通過(guò)身份認(rèn)證的結(jié)果通知接入設(shè)備3;接入設(shè)備3用于在認(rèn)證服務(wù)器2確認(rèn)客戶端1通過(guò)身份認(rèn)證之后��,將從策略服務(wù)器4中接收的安全檢查項(xiàng)下發(fā)給客戶端1����,通知客戶端1根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查,并在客戶端1未通過(guò)安全檢查后針對(duì)該客戶端1引用隔離ACL(access control list�����,訪問(wèn)控制表)���,如果該客戶端1通過(guò)安全檢查����,則針對(duì)該客戶端1引用安全ACL。策略服務(wù)器4用于根據(jù)安全策略確定客戶端1的安全檢查項(xiàng)�����,并將安全檢查項(xiàng)下發(fā)給接入設(shè)備3����,在客戶端1根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查后,根據(jù)客戶端1上報(bào)的安全檢查結(jié)果確認(rèn)該客戶端1是否通過(guò)安全檢查����。
本發(fā)明實(shí)施例所述的SSL VPN客戶端安全檢查系統(tǒng)還包括防病毒服務(wù)器5和/或補(bǔ)丁服務(wù)器6,防病毒服務(wù)器5和/或補(bǔ)丁服務(wù)器6用于在策略服務(wù)器4判斷客戶端1未通過(guò)安全檢查后���,供該客戶端1進(jìn)行安全升級(jí)�,例如進(jìn)行軟件補(bǔ)丁或最新病毒庫(kù)的升級(jí)����。
其中,接入設(shè)備3包括身份認(rèn)證請(qǐng)求處理模塊31���,安全檢查項(xiàng)下發(fā)模塊32���,安全檢查判斷模塊33和ACL控制模塊34���,身份認(rèn)證請(qǐng)求處理模塊31用于向認(rèn)證服務(wù)器2轉(zhuǎn)發(fā)客戶端1的身份認(rèn)證請(qǐng)求;安全檢查項(xiàng)下發(fā)模塊32用于在認(rèn)證服務(wù)器2確認(rèn)客戶端1通過(guò)身份認(rèn)證之后�,將從策略服務(wù)器2中接收的安全檢查項(xiàng)下發(fā)給客戶端1����,通知客戶端1根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查;安全檢查判斷模塊33用于判斷客戶端1是否通過(guò)安全檢查��;ACL控制模塊34用于在安全檢查判斷模塊33判斷客戶端1未通過(guò)安全檢查時(shí)���,針對(duì)客戶端1引用隔離訪問(wèn)控制表ACL���,或在安全檢查判斷模塊33判斷客戶端1通過(guò)安全檢查時(shí),針對(duì)該客戶端1引用安全訪問(wèn)控制表ACL��。
其中��,接入設(shè)備3還包括定期通知模塊37����,用于在安全檢查判斷模塊33判斷客戶端1通過(guò)安全檢查后���,定期通知該客戶端1進(jìn)行安全檢查。這樣就能夠隨時(shí)檢測(cè)客戶端1的安全狀態(tài)���,在客戶端1的安全信息發(fā)生變化不能通過(guò)安全檢查時(shí)����,及時(shí)提醒并允許客戶端1進(jìn)行安全升級(jí)或直接下線�。
其中,接入設(shè)備3還包括提示模塊38用于在安全檢查判斷模塊33判斷客戶端1未通過(guò)安全檢查時(shí)��,提示客戶端1進(jìn)行安全升級(jí)或直接下線���。
其中��,ACL控制模塊34還包括ACL轉(zhuǎn)換子模塊341����,用于將隔離ACL轉(zhuǎn)換成對(duì)應(yīng)的隔離區(qū)IP資源���,并提示客戶端1可通過(guò)啟動(dòng)IP Proxy(IP代理)進(jìn)入隔離區(qū)�,此時(shí)該客戶端1只能訪問(wèn)隔離區(qū)中的服務(wù)器資源,例如防病毒服務(wù)器5和/或補(bǔ)丁服務(wù)器6��,以便客戶端1進(jìn)行病毒庫(kù)升級(jí)或補(bǔ)丁升級(jí)��。
本發(fā)明實(shí)施例所示的SSL VPN客戶端安全檢查系統(tǒng)既可用于在CAMS服務(wù)器(Comprehensive Access Management Server�����,綜合訪問(wèn)管理服務(wù)器)進(jìn)行身份認(rèn)證��,也可通過(guò)本地服務(wù)器��、AD(Active Directory����,活動(dòng)目錄)服務(wù)器�、LDAP服務(wù)器(Lightweight Directory Access Protocol,輕量目錄訪問(wèn)協(xié)議)或其它Radius(遠(yuǎn)程鑒別撥號(hào)用戶服務(wù))服務(wù)器進(jìn)行身份認(rèn)證�。因?yàn)镃AMS服務(wù)器能夠配置安全策略、策略服務(wù)器地址以及隔離/安全ACL�����,因此CAMS服務(wù)器可以將策略服務(wù)器地址通過(guò)Radius報(bào)文傳遞給客戶端1�。其中CAMS服務(wù)器是一款Radius服務(wù)器,它能夠在Radius報(bào)文的私有屬性中增加了一項(xiàng)用來(lái)傳遞策略服務(wù)器地址的屬性�,因此可以將策略服務(wù)器地址通過(guò)Radius報(bào)文傳遞給客戶端1�����。
本發(fā)明實(shí)施例提出了一種上述SSL VPN客戶端安全檢查系統(tǒng)采用CAMS服務(wù)器進(jìn)行身份認(rèn)證的模式�,具體過(guò)程如下客戶端1通過(guò)瀏覽器(IE)向接入設(shè)備3發(fā)起登陸請(qǐng)求���,并將用戶名�����、密碼等用戶信息發(fā)給接入設(shè)備3�����,該接入設(shè)備3將這些用戶信息轉(zhuǎn)發(fā)給CAMS服務(wù)器進(jìn)行身份認(rèn)證�。其中�����,該接入設(shè)備3可以是SSL VPN網(wǎng)關(guān)����。CAMS服務(wù)器根據(jù)上述用戶信息判斷該客戶端1通過(guò)身份認(rèn)證后,將策略服務(wù)器的地址信息,例如策略服務(wù)器的IP地址和端口通過(guò)接入設(shè)備3發(fā)送給客戶端1����。客戶端1通過(guò)瀏覽器(IE)從接入設(shè)備3(SSL VPN網(wǎng)關(guān))自動(dòng)下載安全檢查軟件進(jìn)行安全檢查����,例如ActiveX控件或Java Applet程序,然而如果該客戶端1之前已經(jīng)下載過(guò)相應(yīng)的安全檢查軟件或之前在客戶端1上已經(jīng)預(yù)安裝了該安全檢查軟件��,則該客戶端1就不需要從接入設(shè)備3中再次下載����。即使通過(guò)瀏覽器下載該安全檢查軟件,因?yàn)樵摪踩珯z查軟件的大小不到1M�����,所以不會(huì)影響網(wǎng)絡(luò)的性能�����。
客戶端1通過(guò)該安全檢查軟件將安全檢查請(qǐng)求發(fā)送給接入設(shè)備3���,接入設(shè)備3開放一個(gè)特殊的端口接收該客戶端1發(fā)送的安全檢查請(qǐng)求,例如SSL VPN網(wǎng)關(guān)開放的一個(gè)沒有被其他服務(wù)占用的端口用來(lái)專門和客戶端進(jìn)行通訊,這個(gè)端口不提供其它服務(wù)�����。并將該請(qǐng)求轉(zhuǎn)發(fā)給策略服務(wù)器4���,該接入設(shè)備3透?jìng)骺蛻舳?與策略服務(wù)器4之間的通訊�����,同樣策略服務(wù)器4返回給客戶端1的報(bào)文也要先發(fā)給接入設(shè)備3��,再由接入設(shè)備3轉(zhuǎn)發(fā)給客戶端1�����,這樣斷開了未經(jīng)過(guò)安全檢查的客戶端1與策略服務(wù)器4的聯(lián)系�����,進(jìn)一步保證了內(nèi)網(wǎng)的安全�。策略服務(wù)器4接收到接入設(shè)備3轉(zhuǎn)發(fā)的安全檢查請(qǐng)求后從CAMS服務(wù)器中取得安全策略���,并根據(jù)該安全策略獲取客戶端1的安全檢查項(xiàng)���,通過(guò)接入設(shè)備3將該安全檢查項(xiàng)下發(fā)給客戶端1����,并要求該客戶端1根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查�。該客戶端1按照安全檢查項(xiàng)進(jìn)行了安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器4�,策略服務(wù)器4根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準(zhǔn)判斷該客戶端1是否通過(guò)了安全檢查,其中����,該預(yù)設(shè)的安全標(biāo)準(zhǔn)由企業(yè)用戶針對(duì)自身的網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)制定客戶端1的操作系統(tǒng)及主要應(yīng)用軟件補(bǔ)丁的最低標(biāo)準(zhǔn),或防火墻與殺毒軟件的最低版本�,如果不能滿足這些最低標(biāo)準(zhǔn)則說(shuō)明該客戶端1不能滿足網(wǎng)絡(luò)的安全性標(biāo)準(zhǔn),需要進(jìn)行安全升級(jí)���,并且該安全標(biāo)準(zhǔn)可以在策略服務(wù)器上根據(jù)用戶需要隨時(shí)更新��。
如果策略代理服務(wù)器4根據(jù)上報(bào)的安全檢查結(jié)果判斷該客戶端1通過(guò)安全檢查���,則策略服務(wù)器4將檢查結(jié)果通知CAMS服務(wù)器�,CAMS服務(wù)器在得知該客戶端1通過(guò)安全檢查后,通知接入設(shè)備3并將安全ACL號(hào)下發(fā)給該接入設(shè)備3��,接入設(shè)備3允許客戶端1訪問(wèn)其擁有的資源,其中����,因?yàn)榻尤朐O(shè)備此時(shí)已經(jīng)對(duì)訪問(wèn)權(quán)限進(jìn)行了限制,因此安全ACL可以使用許可IP���。
同樣如果策略服務(wù)器4判斷該客戶端1未通過(guò)安全檢查��,則CAMS服務(wù)器通知接入設(shè)備3并將隔離ACL號(hào)下發(fā)給該接入設(shè)備3����,接入設(shè)備3對(duì)該客戶端1引用該隔離ACL���,該隔離ACL只能允許用戶訪問(wèn)隔離區(qū)內(nèi)的幾個(gè)必要的軟件升級(jí)服務(wù)器����,例如防病毒服務(wù)器5����、補(bǔ)丁服務(wù)器6等。并且由接入設(shè)備將隔離ACL翻譯成對(duì)應(yīng)的隔離區(qū)IP資源���,提示客戶端可通過(guò)啟動(dòng)IPProxy(IP代理)進(jìn)入隔離區(qū)���,此時(shí)客戶端1啟動(dòng)IP Proxy不能訪問(wèn)正常的IP網(wǎng)絡(luò)資源�,只能訪問(wèn)隔離區(qū)的服務(wù)器資源���?����;蛘呓尤朐O(shè)備3提示客戶端1進(jìn)入隔離區(qū)進(jìn)行安全升級(jí)或直接下線���。在客戶端1進(jìn)行了安全升級(jí)之后,還可再對(duì)該客戶端1進(jìn)行安全檢查��,如果該客戶端能夠通過(guò)安全檢查�����,則為該客戶端1引用安全ACL�,如果還未通過(guò)安全檢查,則再次要求該客戶端1進(jìn)行安全升級(jí)或直接下線����。IP Proxy根據(jù)隔離ACL的內(nèi)容限制用戶僅可以訪問(wèn)隔離ACL允許的服務(wù)器資源���。
如果該客戶端1通過(guò)上述安全檢查�����,進(jìn)入正常的在線連接���,則還需要對(duì)該客戶端1進(jìn)行定期的安全檢查����,以隨時(shí)了解該客戶端1安全狀態(tài)的變化��,在該客戶端1不能滿足安全標(biāo)準(zhǔn)要求���,不能通過(guò)安全檢查后則對(duì)該客戶端1進(jìn)行隔離限制���,提示其進(jìn)行安全升級(jí)或直接下線。
本發(fā)明實(shí)施例還提出了一種通過(guò)本地服務(wù)器���、AD服務(wù)器����、LDAP服務(wù)器或其它Radius服務(wù)器進(jìn)行身份認(rèn)證的模式���。因?yàn)榘踩呗?��、策略代理服?wù)器地址和安全/隔離ACL號(hào)均由CAMS服務(wù)器下發(fā)����,因此在該模式?jīng)]有CAMS服務(wù)器的情況下���,就需要接入設(shè)備3完成上述工作����,所以接入設(shè)備3還需要配置以下模塊�。
其中,接入設(shè)備3還包括配置信息保存模塊35��,用于保存策略服務(wù)器地址信息��、安全策略和安全/隔離ACL號(hào)�����,以及需要給策略服務(wù)器提供的在線用戶列表�����。
其中,接入設(shè)備3還包括客戶端代理模塊36�����,用于在收到客戶端1的安全檢查請(qǐng)求后����,代理客戶端1向策略服務(wù)器4請(qǐng)求安全檢查���。因?yàn)榭蛻舳?沒有策略服務(wù)器4的地址信息���,因此需要由接入設(shè)備3代理客戶端1向策略服務(wù)器4請(qǐng)求安全檢查。
該模式的具體過(guò)程如下
客戶端1通過(guò)瀏覽器(IE)向接入設(shè)備發(fā)起登陸請(qǐng)求����,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備3���,該接入設(shè)備3將這些用戶信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器2進(jìn)行身份認(rèn)證�,其中�,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)。認(rèn)證服務(wù)器2根據(jù)上述用戶信息判斷該客戶端1通過(guò)身份認(rèn)證后,向客戶端1回復(fù)通過(guò)認(rèn)證的認(rèn)證回應(yīng)信息����。客戶端1通過(guò)瀏覽器(IE)從接入設(shè)備(SSLVPN網(wǎng)關(guān))自動(dòng)下載安全檢查軟件進(jìn)行安全檢查����,例如ActiveX控件或JavaApplet程序,然而如果該客戶端1之前已經(jīng)下載過(guò)相應(yīng)的安全檢查軟件或在客戶端1上已經(jīng)預(yù)安裝了該安全檢查軟件��,則該客戶端1就不需要從接入設(shè)備3中再次下載�。即使通過(guò)瀏覽器(IE)下載該安全檢查軟件�,因?yàn)樵摪踩珯z查軟件的大小不到1M,所以因此不會(huì)影響網(wǎng)絡(luò)的性能���。
客戶端1在發(fā)現(xiàn)在該認(rèn)證回應(yīng)信息中沒有策略服務(wù)器4的地址信息和端口后�����,向接入設(shè)備3發(fā)起安全檢查請(qǐng)求�����,接入設(shè)備3代理客戶端1向策略服務(wù)器4請(qǐng)求安全檢查��。策略服務(wù)器4收到安全檢查請(qǐng)求后從接入設(shè)備3中取得安全策略����,并根據(jù)該安全策略確定安全檢查項(xiàng)后將該安全檢查項(xiàng)通過(guò)接入設(shè)備3下發(fā)給客戶端1,并要求該客戶端1根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查���。該客戶端1按照安全檢查項(xiàng)進(jìn)行安全檢查后����,將安全檢查結(jié)果返回給策略服務(wù)器4��,策略服務(wù)器4根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準(zhǔn)判斷該客戶端1是否通過(guò)了安全檢查���。
如果策略代理服務(wù)器4根據(jù)上報(bào)的安全檢查結(jié)果判斷該客戶端1通過(guò)安全檢查,則策略服務(wù)器4將檢查結(jié)果通知接入設(shè)備3��,則接入設(shè)備3對(duì)該客戶端1引用安全ACL�����,因?yàn)榻尤朐O(shè)備3此時(shí)已經(jīng)對(duì)訪問(wèn)權(quán)限進(jìn)行了限制����,因此安全ACL可以使用許可IP。
同樣,如果該客戶端1的安全檢查未通過(guò)���,策略服務(wù)器4將會(huì)通知接入設(shè)備3引用隔離ACL����,該隔離ACL只能允許用戶訪問(wèn)隔離區(qū)內(nèi)的幾個(gè)必要的軟件升級(jí)服務(wù)器���,例如防病毒服務(wù)器5��、補(bǔ)丁服務(wù)器6等��。并且由接入設(shè)備將隔離ACL翻譯成對(duì)應(yīng)的隔離區(qū)IP資源���,提示客戶端可通過(guò)啟動(dòng)IP Proxy(IP代理)進(jìn)入隔離區(qū),此時(shí)客戶端1啟動(dòng)IP Proxy不能訪問(wèn)正常的IP網(wǎng)絡(luò)資源���,只能訪問(wèn)隔離區(qū)的服務(wù)器資源����,或者接入設(shè)備3提示客戶端1進(jìn)入隔離區(qū)進(jìn)行安全升級(jí)或直接下線�����。
同樣該模式下也可對(duì)在線的客戶端1進(jìn)行實(shí)時(shí)的安全監(jiān)控,如果該客戶端1通過(guò)上述安全檢查���,進(jìn)入正常的在線連接���,則還需要對(duì)該客戶端1進(jìn)行定期的安全檢查,以隨時(shí)了解該客戶端1安全狀態(tài)的變化�,在該客戶端1不能滿足安全標(biāo)準(zhǔn)要求,不能通過(guò)安全檢查后則對(duì)該客戶端1進(jìn)行隔離限制����,提示其進(jìn)行安全升級(jí)或直接下線���。
如圖2所示����,本發(fā)明實(shí)施例一的SSL VPN客戶端安全檢查方法流程圖��,包括以下步驟步驟S201�����,接入設(shè)備向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證清求�����。客戶端通過(guò)瀏覽器(IE)向接入設(shè)備發(fā)起登陸請(qǐng)求�,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備���,該接入設(shè)備將這些用戶信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證����,其中�����,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)����。
步驟S202,在認(rèn)證服務(wù)器確認(rèn)客戶端通過(guò)身份認(rèn)證之后�����,接入設(shè)備將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給客戶端��,通知客戶端根據(jù)安全檢查項(xiàng)進(jìn)行安全檢查�����。本發(fā)明實(shí)施例提出了兩種根據(jù)不同認(rèn)證服務(wù)器進(jìn)行安全檢查的模式,既可用于在CAMS服務(wù)器進(jìn)行身份認(rèn)證����,也可通過(guò)本地服務(wù)器、AD服務(wù)器����、LDAP服務(wù)器或其它Radius服務(wù)器進(jìn)行身份認(rèn)證。在認(rèn)證服務(wù)器確認(rèn)該客戶端通過(guò)身份認(rèn)證之后����,由策略服務(wù)器根據(jù)預(yù)設(shè)的安全標(biāo)準(zhǔn)進(jìn)行安全檢查,將安全檢查項(xiàng)通過(guò)接入設(shè)備下發(fā)給客戶端�,并要求該客戶端根據(jù)安全檢查項(xiàng)進(jìn)行安全檢查。
步驟S203�,接入設(shè)備判斷客戶端是否通過(guò)安全檢查�����。策略服務(wù)器根據(jù)客戶端上報(bào)的安全檢查結(jié)果判斷該客戶端是否通過(guò)安全檢查�����,并將檢查結(jié)果通知接入設(shè)備,接入設(shè)備根據(jù)策略服務(wù)器通知的檢查結(jié)果����,并根據(jù)判斷結(jié)果選擇該客戶端是正常訪問(wèn)網(wǎng)絡(luò)還是進(jìn)入隔離區(qū)只能訪問(wèn)隔離區(qū)內(nèi)的服務(wù)器。
步驟S204���,如果客戶端未通過(guò)安全檢查�,則接入設(shè)備針對(duì)客戶端引用隔離訪問(wèn)控制表ACL����。該隔離ACL只能允許用戶訪問(wèn)隔離區(qū)內(nèi)的幾個(gè)必要的軟件升級(jí)服務(wù)器,例如防病毒服務(wù)器�����、補(bǔ)丁服務(wù)器等���。并且由接入設(shè)備將隔離ACL翻譯成對(duì)應(yīng)的隔離區(qū)IP資源��,提示客戶端可通過(guò)啟動(dòng)IP Proxy(IP代理)進(jìn)入隔離區(qū)����,此時(shí)客戶端啟動(dòng)IP Proxy不能訪問(wèn)正常的IP網(wǎng)絡(luò)資源�����,只能訪問(wèn)隔離區(qū)的服務(wù)器資源?��;蛘呓尤朐O(shè)備提示客戶端進(jìn)入隔離區(qū)進(jìn)行安全升級(jí)或直接下線����。在客戶端進(jìn)行了安全升級(jí)之后�,接入設(shè)備還可再對(duì)該客戶端進(jìn)行安全檢查,如果該客戶端能夠通過(guò)安全檢查���,則為該客戶端引用安全ACL���,如果還未通過(guò)安全檢查,則再次要求該客戶端進(jìn)行安全升級(jí)或直接下線�。
步驟S205,如果客戶端通過(guò)安全檢查����,則接入設(shè)備針對(duì)客戶端引用安全ACL���。接入設(shè)備允許客戶端訪問(wèn)其擁有的資源��,其中�����,因?yàn)榻尤朐O(shè)備此時(shí)已經(jīng)對(duì)訪問(wèn)權(quán)限進(jìn)行了限制����,因此安全ACL可以使用許可IP。
步驟S206��,在通過(guò)安全檢查的客戶端在線過(guò)程中����,接入設(shè)備定期要求客戶端進(jìn)行安全檢查,如果客戶端未通過(guò)定期的安全檢查�����,則通知該客戶端進(jìn)行安全升級(jí)或下線�。這樣就能夠隨時(shí)了解該客戶端安全狀態(tài)的變化,在該客戶端不能滿足安全標(biāo)準(zhǔn)要求�,不能通過(guò)安全檢查后,對(duì)該客戶端進(jìn)行隔離限制����,提示其進(jìn)行安全升級(jí)或直接下線�。
如圖3所示�,為本發(fā)明實(shí)施例二的SSL VPN客戶端安全檢查方法流程圖,該實(shí)施例采用CAMS服務(wù)器進(jìn)行身份認(rèn)證的模式�����,包括以下步驟步驟S301�,接入設(shè)備向CAMS服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求?��?蛻舳送ㄟ^(guò)瀏覽器(IE)向接入設(shè)備發(fā)起登陸請(qǐng)求����,并將用戶名�����、密碼等用戶信息發(fā)給接入設(shè)備�����,該接入設(shè)備將這些用戶信息轉(zhuǎn)發(fā)給CAMS服務(wù)器進(jìn)行身份認(rèn)證����,其中,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)��。
步驟S302�����,在CAMS服務(wù)器根據(jù)上述用戶信息判斷該客戶端通過(guò)身份認(rèn)證后�����,則將策略服務(wù)器的地址信息發(fā)送給客戶端�,例如將策略服務(wù)器的IP地址和端口通過(guò)接入設(shè)備發(fā)送給客戶端。
步驟S303�,客戶端通過(guò)瀏覽器(IE)從接入設(shè)備(SSL VPN網(wǎng)關(guān))自動(dòng)下載安全檢查軟件進(jìn)行安全檢查,例如ActiveX控件或Java Applet程序��,然而如果該客戶端之前已經(jīng)下載過(guò)相應(yīng)的安全檢查軟件或在客戶端上已經(jīng)預(yù)安裝了該安全檢查軟件����,則該客戶端就不需要從接入設(shè)備中再次下載。本發(fā)明實(shí)施例提出的安全檢查軟件即使通過(guò)瀏覽器下載�����,由于因?yàn)樵摪踩珯z查軟件的大小不到1M,因此不會(huì)影響網(wǎng)絡(luò)的性能��。
步驟S304�����,客戶端通過(guò)該安全檢查軟件將安全檢查請(qǐng)求發(fā)送給接入設(shè)備�,因?yàn)榭蛻舳擞胁呗苑?wù)器的地址信息,因此接入設(shè)備只需透?jìng)骺蛻舳伺c策略服務(wù)器的通信即可����,即接入設(shè)備開放一個(gè)特殊的端口接收該客戶端發(fā)送的安全檢查請(qǐng)求,并將該請(qǐng)求轉(zhuǎn)發(fā)給策略服務(wù)器�,該接入設(shè)備透?jìng)骺蛻舳伺c策略服務(wù)器之間的通訊,同樣�,策略服務(wù)器返回給客戶端的報(bào)文也要先發(fā)給接入設(shè)備,再由接入設(shè)備轉(zhuǎn)發(fā)給客戶端�����,這樣斷開了未經(jīng)過(guò)安全檢查的客戶端與策略服務(wù)器的聯(lián)系�,進(jìn)一步保證了內(nèi)網(wǎng)的安全。
步驟S305�����,策略服務(wù)器收到接入設(shè)備轉(zhuǎn)發(fā)的安全檢查請(qǐng)求后從CAMS服務(wù)器中取得安全策略,并根據(jù)該安全策略獲取客戶端的安全檢查項(xiàng)��,通過(guò)接入設(shè)備將該安全檢查項(xiàng)下發(fā)給客戶端���,并要求該客戶端根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查。
步驟S306�,該客戶端按照安全檢查項(xiàng)進(jìn)行安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器�,策略服務(wù)器根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準(zhǔn)判斷該客戶端是否通過(guò)了安全檢查,其中����,該預(yù)設(shè)的安全標(biāo)準(zhǔn)由企業(yè)用戶針對(duì)自身的網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)制定客戶端的操作系統(tǒng)及主要應(yīng)用軟件補(bǔ)丁的最低標(biāo)準(zhǔn),或防火墻與殺毒軟件的最低版本���,如果不能滿足這些最低標(biāo)準(zhǔn)則說(shuō)明該客戶端不能滿足網(wǎng)絡(luò)的安全性標(biāo)準(zhǔn)��,需要進(jìn)行安全升級(jí)����,并且該安全標(biāo)準(zhǔn)可以在策略服務(wù)器上根據(jù)用戶需要隨時(shí)更新�。
步驟S307,如果客戶端未通過(guò)安全檢查�����,則接入設(shè)備針對(duì)客戶端引用隔離訪問(wèn)控制表ACL。該隔離ACL只能允許用戶訪問(wèn)隔離區(qū)內(nèi)的幾個(gè)必要的軟件升級(jí)服務(wù)器�����,例如防病毒服務(wù)器���、補(bǔ)丁服務(wù)器等��。并且由接入設(shè)備將隔離ACL翻譯成對(duì)應(yīng)的隔離區(qū)IP資源���,提示客戶端可通過(guò)啟動(dòng)IP Proxy(IP代理)進(jìn)入隔離區(qū),此時(shí)客戶端啟動(dòng)IP Proxy不能訪問(wèn)正常的IP網(wǎng)絡(luò)資源�,只能訪問(wèn)隔離區(qū)的服務(wù)器資源,或者接入設(shè)備提示客戶端進(jìn)入隔離區(qū)進(jìn)行安全升級(jí)或直接下線�����。在客戶端進(jìn)行了安全升級(jí)之后�����,接入設(shè)備還可再對(duì)該客戶端進(jìn)行安全檢查�����,如果該客戶端能夠通過(guò)安全檢查,則為該客戶端引用安全ACL�����,如果還未通過(guò)安全檢查�����,則再次要求該客戶端進(jìn)行安全升級(jí)或直接下線����。
步驟S308���,如果客戶端通過(guò)安全檢查���,則接入設(shè)備針對(duì)客戶端引用安全訪問(wèn)控制表ACL。接入設(shè)備允許客戶端訪問(wèn)其擁有的資源���,其中���,因?yàn)榻尤朐O(shè)備此時(shí)已經(jīng)對(duì)訪問(wèn)權(quán)限進(jìn)行了限制��,因此該安全ACL可以使用許可IP����。
步驟S309�����,在通過(guò)安全檢查的客戶端在線過(guò)程中�,接入設(shè)備定期要求客戶端進(jìn)行安全檢查,如果客戶端未通過(guò)定期的安全檢查�����,則通知該客戶端進(jìn)行安全升級(jí)或下線����。這樣就能夠以隨時(shí)了解該客戶端安全狀態(tài)的變化,在該客戶端不能滿足安全標(biāo)準(zhǔn)要求��,不能通過(guò)安全檢查后�,對(duì)該客戶端進(jìn)行隔離限制,提示其進(jìn)行安全升級(jí)或直接下線�����。
如圖4所示,為本發(fā)明實(shí)施例三的SSL VPN客戶端安全檢查方法流程圖�,該實(shí)施例采用本地服務(wù)器、AD服務(wù)器�、LDAP服務(wù)器或其它Radius服務(wù)器進(jìn)行身份認(rèn)證的模式,因?yàn)榘踩呗?����、策略代理服?wù)器地址和安全/隔離ACL號(hào)均由CAMS服務(wù)器下發(fā)�����,因此該模式在沒有CAMS服務(wù)器的情況下�����,就需要接入設(shè)備完成上述工作��,該實(shí)施例具體包括以下步驟步驟S401���,接入設(shè)備向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求??蛻舳送ㄟ^(guò)瀏覽器(IE)向接入設(shè)備發(fā)起登陸請(qǐng)求,并將用戶名���、密碼等用戶信息發(fā)給接入設(shè)備�,該接入設(shè)備將這些用戶信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證,其中���,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)�。
步驟S402�����,認(rèn)證服務(wù)器根據(jù)上述用戶信息判斷該客戶端通過(guò)身份認(rèn)證后�,向客戶端回復(fù)通過(guò)認(rèn)證的認(rèn)證回應(yīng)信息。
步驟S403��,客戶端通過(guò)瀏覽器從接入設(shè)備(SSL VPN網(wǎng)關(guān))自動(dòng)下載安全檢查軟件進(jìn)行安全檢查���,例如ActiveX控件或Java Applet程序����,然而如果該客戶端之前已經(jīng)下載過(guò)相應(yīng)的安全檢查軟件或在客戶端上已經(jīng)預(yù)安裝了該安全檢查軟件�����,則該客戶端就不需要從接入設(shè)備中再次下載。本發(fā)明實(shí)施例提出的安全檢查軟件即使通過(guò)瀏覽器下載�����,由于該安全檢查軟件的大小不到1M����,因此不會(huì)影響網(wǎng)絡(luò)的性能。
步驟S404�����,客戶端檢測(cè)步驟S402中認(rèn)證服務(wù)器回復(fù)的認(rèn)證回應(yīng)信息是否有策略服務(wù)器的地址信息��??蛻舳嗽诎l(fā)現(xiàn)該認(rèn)證回應(yīng)信息中沒有策略服務(wù)器的地址信息和端口后,則向接入設(shè)備發(fā)起安全檢查請(qǐng)求�����,接入設(shè)備代理客戶端向策略服務(wù)器請(qǐng)求安全檢查����。
步驟S405��,策略服務(wù)器收到安全檢查請(qǐng)求后從接入設(shè)備中取得安全策略,并根據(jù)該安全策略確定安全檢查項(xiàng)后將該安全檢查項(xiàng)通過(guò)接入設(shè)備下發(fā)給客戶端�����,并要求該客戶端根據(jù)該安全檢查項(xiàng)進(jìn)行安全檢查����。該客戶端按照安全檢查項(xiàng)進(jìn)行了安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器��,策略服務(wù)器根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準(zhǔn)判斷該客戶端是否通過(guò)了安全檢查��。
步驟S406��,策略代理服務(wù)器根據(jù)上報(bào)的安全檢查結(jié)果判斷該客戶端是否通過(guò)安全檢查���,并將檢查結(jié)果通知接入設(shè)備����。
步驟S407�����,如果該客戶端的安全檢查未通過(guò)����,則接入設(shè)備對(duì)該客戶端引用隔離訪問(wèn)控制表ACL�����,該隔離ACL只能允許用戶訪問(wèn)隔離區(qū)內(nèi)的幾個(gè)必要的軟件升級(jí)服務(wù)器�����,例如防病毒服務(wù)器�����、補(bǔ)丁服務(wù)器等�。并且由接入設(shè)備將隔離ACL翻譯成對(duì)應(yīng)的隔離區(qū)IP資源�����,提示客戶端可通過(guò)啟動(dòng)Ip Proxy(IP代理)進(jìn)入隔離區(qū)����,此時(shí)客戶端啟動(dòng)IP Proxy不能訪問(wèn)正常的IP網(wǎng)絡(luò)資源,只能訪問(wèn)隔離區(qū)的服務(wù)器資源�,或者接入設(shè)備提示客戶端進(jìn)入隔離區(qū)進(jìn)行安全升級(jí)或直接下線����。
步驟S408����,如果客戶端通過(guò)安全檢查�����,則接入設(shè)備針對(duì)客戶端引用安全訪問(wèn)控制表ACL����。接入設(shè)備允許客戶端訪問(wèn)其擁有的資源,其中��,因?yàn)榻尤朐O(shè)備此時(shí)已經(jīng)對(duì)訪問(wèn)權(quán)限進(jìn)行了限制��,因此該安全ACL可以使用許可IP�。
步驟S409,在通過(guò)安全檢查的客戶端在線過(guò)程中��,接入設(shè)備定期要求客戶端進(jìn)行安全檢查���,如果客戶端未通過(guò)定期的安全檢查���,則通知該客戶端進(jìn)行安全升級(jí)或下線���。這樣就能夠隨時(shí)了解該客戶端安全狀態(tài)的變化,在該客戶端不能滿足安全標(biāo)準(zhǔn)的要求���,不能通過(guò)安全檢查后��,對(duì)該客戶端進(jìn)行隔離限制���,提示其進(jìn)行安全升級(jí)或直接下線。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn)��,通過(guò)策略服務(wù)器對(duì)客戶端進(jìn)行安全狀態(tài)檢測(cè)�,使得只有符合安全標(biāo)準(zhǔn)通過(guò)安全檢查的客戶端才能夠被允許正常接入,未通過(guò)安全檢查的客戶端只能訪問(wèn)隔離區(qū)內(nèi)的服務(wù)器資源�����,并通知未通過(guò)安全檢查的客戶端利用隔離區(qū)內(nèi)的服務(wù)器資源進(jìn)行安全升級(jí)���。本發(fā)明實(shí)施例還可以在客戶端通過(guò)了安全檢查接入網(wǎng)絡(luò)后��,繼續(xù)對(duì)該客戶端進(jìn)行監(jiān)控����,一旦發(fā)現(xiàn)該客戶端存在安全隱患立刻通知該客戶端進(jìn)行安全升級(jí)或下線。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出�����,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍���。
權(quán)利要求
1.一種SSL VPN客戶端安全檢查方法�,其特征在于����,包括以下步驟接入設(shè)備向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求;在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后�����,所述接入設(shè)備將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端,并通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查���;判斷所述客戶端是否通過(guò)所述安全檢查�;如果所述客戶端未通過(guò)所述安全檢查�����,則所述接入設(shè)備針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL�����。
2.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法�,其特征在于,在判斷所述客戶端是否通過(guò)所述安全檢查之后�����,還包括以下步驟如果所述客戶端通過(guò)所述安全檢查�,則所述接入設(shè)備針對(duì)所述客戶端引用安全ACL。
3.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法���,其特征在于���,所述認(rèn)證服務(wù)器具體為綜合訪問(wèn)管理CAMS服務(wù)器���,在所述CAMS服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后,還包括以下步驟所述CAMS服務(wù)器將所述策略服務(wù)器地址信息發(fā)送給所述客戶端�;所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請(qǐng)求。
4.如權(quán)利要求3所述SSL VPN客戶端安全檢查方法����,其特征在于��,在所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請(qǐng)求之后���,還包括以下步驟所述策略服務(wù)器從所述CAMS服務(wù)器中獲取安全策略;根據(jù)所述安全策略確定所述客戶端的安全檢查項(xiàng)����,并下發(fā)給所述接入設(shè)備。
5.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法�,其特征在于,在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后��,還包括以下步驟所述認(rèn)證服務(wù)器向所述客戶端發(fā)送身份認(rèn)證回應(yīng)信息���;所述客戶端判斷所述身份認(rèn)證回應(yīng)信息中是否有策略服務(wù)器的地址信息��;如果沒有所述策略服務(wù)器的地址信息��,則向所述接入設(shè)備發(fā)起安全檢查請(qǐng)求�����。
6.如權(quán)利要求5所述SSL VPN客戶端安全檢查方法���,其特征在于�����,在所述客戶端向所述接入設(shè)備發(fā)起安全檢查請(qǐng)求之后����,還包括以下步驟所述接入設(shè)備代理所述客戶端向策略服務(wù)器發(fā)起安全檢查請(qǐng)求�;所述策略服務(wù)器從所述接入設(shè)備中獲取安全策略;根據(jù)所述安全策略確定所述安全檢查項(xiàng)����,并下發(fā)給所述接入設(shè)備。
7.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法��,其特征在于,在所述接入設(shè)備針對(duì)所述客戶端引用隔離ACL之后還包括以下步驟提示所述客戶端進(jìn)行安全升級(jí)或下線����。
8.如權(quán)利要求2所述SSL VPN客戶端安全檢查方法,其特征在于�����,在所述接入設(shè)備針對(duì)所述客戶端引用安全ACL之后�����,還包括以下步驟在所述客戶端在線過(guò)程中�,定期要求所述客戶端進(jìn)行安全檢查�����;如果所述客戶端未通過(guò)所述定期的安全檢查���,則通知所述客戶端進(jìn)行安全升級(jí)或下線��。
9.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法�����,其特征在于��,在所述接入設(shè)備針對(duì)所述客戶端引用隔離ACL之后��,還包括以下步驟所述接入設(shè)備將所述隔離ACL轉(zhuǎn)換成對(duì)應(yīng)的隔離區(qū)IP資源���。
10.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法���,其特征在于,在所述判斷客戶端是否通過(guò)所述安全檢查之前����,還包括以下步驟所述客戶端根據(jù)安全檢查項(xiàng)目進(jìn)行安全檢查后將安全檢查結(jié)果發(fā)給所述策略服務(wù)器���;所述策略服務(wù)器根據(jù)接收到的所述安全檢查結(jié)果判斷所述客戶端是否通過(guò)所述安全檢查���,并通知所述接入設(shè)備。
11.一種接入設(shè)備�,其特征在于,包括身份認(rèn)證請(qǐng)求處理模塊�,安全檢查項(xiàng)下發(fā)模塊,安全檢查判斷模塊和ACL控制模塊����,所述身份認(rèn)證請(qǐng)求處理模塊�,用于向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求�����;所述安全檢查項(xiàng)下發(fā)模塊���,用于在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后,將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端���,通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查�;所述安全檢查判斷模塊,用于判斷所述客戶端是否通過(guò)所述安全檢查�;所述ACL控制模塊,用于在所述安全檢查判斷模塊判斷所述客戶端未通過(guò)所述安全檢查時(shí)�����,針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL�����。
12.如權(quán)利要求11所述接入設(shè)備,其特征在于�,所述ACL控制模塊進(jìn)一步還用于在所述安全檢查判斷模塊判斷所述客戶端通過(guò)所述安全檢查時(shí),針對(duì)所述客戶端引用安全ACL��。
13.如權(quán)利要求11所述接入設(shè)備�,其特征在于,還包括配置信息保存模塊�,用于保存策略服務(wù)器地址信息、安全策略和安全�、隔離ACL號(hào)����。
14.如權(quán)利要求13所述接入設(shè)備,其特征在于�,還包括客戶端代理模塊�,用于在收到所述客戶端的安全檢查請(qǐng)求后,代理所述客戶端向所述策略服務(wù)器請(qǐng)求安全檢查�����。
15.如權(quán)利要求12或14所述接入設(shè)備���,其特征在于�,還包括定期通知模塊����,用于在所述安全檢查判斷模塊判斷所述客戶端通過(guò)安全檢查后,定期通知所述客戶端進(jìn)行安全檢查��。
16.如權(quán)利要求15所述接入設(shè)備���,其特征在于����,還包括提示模塊����,用于在所述安全檢查判斷模塊判斷所述客戶端未通過(guò)安全檢查后,提示所述客戶端進(jìn)行安全升級(jí)或下線�����。
17.如權(quán)利要求11所述接入設(shè)備�����,其特征在于���,所述ACL控制模塊還包括ACL轉(zhuǎn)換子模塊,用于將所述隔離ACL轉(zhuǎn)換成對(duì)應(yīng)的隔離區(qū)IP資源�。
18.一種SSL VPN客戶端安全檢查系統(tǒng),其特征在于���,包括客戶端�、接入設(shè)備����、認(rèn)證服務(wù)器和策略服務(wù)器,所述客戶端����,用于通過(guò)所述接入設(shè)備向所述認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求;所述認(rèn)證服務(wù)器�,用于驗(yàn)證所述客戶端是否通過(guò)身份認(rèn)證,并通知所述接入設(shè)備��;所述接入設(shè)備�,用于在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后,將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端����,通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查��,并在所述客戶端未通過(guò)安全檢查后針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL��;所述策略服務(wù)器,用于根據(jù)安全策略確定所述客戶端的安全檢查項(xiàng)�����,并將所述安全檢查項(xiàng)下發(fā)給所述接入設(shè)備��。
19.如權(quán)利要求18所述SSL VPN客戶端安全檢查系統(tǒng)�����,其特征在于�,還包括防病毒服務(wù)器和/或補(bǔ)丁服務(wù)器,用于在所述客戶端未通過(guò)安全檢查后����,供所述客戶端進(jìn)行安全升級(jí)。
全文摘要
本發(fā)明公開了一種SSL VPN客戶端安全檢查方法����,包括以下步驟接入設(shè)備向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認(rèn)證請(qǐng)求��;在所述認(rèn)證服務(wù)器確認(rèn)所述客戶端通過(guò)身份認(rèn)證之后,所述接入設(shè)備將從策略服務(wù)器中接收的安全檢查項(xiàng)下發(fā)給所述客戶端����,并通知所述客戶端根據(jù)所述安全檢查項(xiàng)進(jìn)行安全檢查;判斷所述客戶端是否通過(guò)所述安全檢查����;如果所述客戶端未通過(guò)所述安全檢查,則所述接入設(shè)備針對(duì)所述客戶端引用隔離訪問(wèn)控制表ACL���。本發(fā)明實(shí)施例實(shí)現(xiàn)了通過(guò)策略服務(wù)器對(duì)客戶端進(jìn)行安全狀態(tài)檢測(cè)�,使得只有符合安全標(biāo)準(zhǔn)通過(guò)安全檢查的客戶端才能夠被允許正常接入網(wǎng)絡(luò)����。
文檔編號(hào)H04L12/46GK101072108SQ20071013024
公開日2007年11月14日 申請(qǐng)日期2007年7月17日 優(yōu)先權(quán)日2007年7月17日
發(fā)明者李紅霞, 李丹 申請(qǐng)人:杭州華三通信技術(shù)有限公司