一種雲桌面的網絡訪問控制方法
2023-10-08 22:06:39 4
一種雲桌面的網絡訪問控制方法
【專利摘要】本發明公開一種雲桌面的網絡訪問控制方法,包括:在網絡訪問策略庫模塊進行網絡訪問策略的設置,網絡訪問策略庫模塊在雲桌面管理系統內構建,網絡訪問策略庫模塊存儲網絡訪問策略;雲桌面管理系統將網絡訪問策略通過區域網或網際網路發送到目標雲桌面;目標雲桌面安裝有網絡訪問控制代理軟體,網絡訪問控制代理軟體根據接收到的網絡訪問策略,對目標雲桌面的路由表進行配置。本發明的方法適用於雲桌面的網絡訪問控制,具有靈活、高效的優點。
【專利說明】—種雲桌面的網絡訪問控制方法
【技術領域】
[0001]本發明涉及雲計算安全領域,更具體地,涉及一種雲桌面的網絡訪問控制方法。
【背景技術】
[0002]本發明中,「雲桌面」是指在數據中心通過虛擬化技術生成虛擬計算機運行作業系統和應用軟體等,並通過遠程控制協議將雲端資源發布給各個操作終端的用戶界面。「雲桌面模板」是虛擬計算機所運行的作業系統及其集合的軟體、應用等整體環境,類比於傳統計算機安裝作業系統所使用的系統安裝光碟。
[0003]在傳統計算機使用中,計算機嘗試連接網絡或在網絡上通信時,由於部分特定需求,我們會採取通過監視計算機的網絡內容,來對計算機的網絡進行訪問控制。訪問控制策略按實施的對象分為兩類:一類針對訪問目標和內容的控制,另一類針對訪問者/機器的角色。針對訪問目標和內容的控制的實現方法一般是對計算機訪問的目標地址進行評估,放行規則允許的訪問,屏蔽規則不允許的網絡訪問。目前,有兩種較為流行的針對訪問目標的網絡訪問控制方法:防火牆和修改靜態路由表。
[0004]防火牆是一種位於內部網絡與外部網絡之間的網絡安全系統,是目前主流的網絡訪問控制方案。防火牆有多種存在形式。然而,防火牆在應用過程中,存在著以下問題:軟體防火牆的設置較為複雜,無法批量修改,靈活性不夠,管理難度較大;大部分防火牆需要藉助硬體,且無法實現以個體計算機為單位的網絡訪問控制,只能實現批量計算機的網絡訪問控制。
[0005]修改路由器的靜態路由表,也可以達到網絡訪問控制的目的。但這種辦法也存在一些弊端:靜態路由表需要手工維護,維護難度大;路由器也如硬體防火牆一樣,不能實現以個體計算機為單位的網絡訪問控制。
[0006]針對訪問者角色的網絡控制,目前的實現主要通過網絡準入和使用控制(NetworkAccess Control)來實現。訪問者本人通過訪問機器界面,出示身份認證。NAC管理系統根據用戶身份決定設備網絡權限。NAC系統一般和防火牆等一起使用。
[0007]但是,通過NAC實現的網絡管理策略必須事先確定使用者身份和權限,靈活性不夠。不能根據使用者使用的設備和工作需求,調整網絡策略。比如一名C1的權限很高,但是如果該C1隻是通過一個營業廳瀏覽器提取一般信息,系統本來沒有必要開放所有的網絡權限。
【發明內容】
[0008]本發明為克服上述現有技術所述的至少一種缺陷(不足),提供一種靈活、高效的雲桌面的網絡訪問控制方法。
[0009]為解決上述技術問題,本發明的技術方案如下:
一種雲桌面的網絡訪問控制方法,包括:
S1:在網絡訪問策略庫模塊進行網絡訪問策略的設置,網絡訪問策略庫模塊在雲桌面管理系統內構建,網絡訪問策略庫模塊存儲網絡訪問策略;
52:雲桌面管理系統將網絡訪問策略通過區域網或網際網路發送到目標雲桌面;
53:目標雲桌面安裝有網絡訪問控制代理軟體,網絡訪問控制代理軟體根據接收到的網絡訪問策略,對目標雲桌面的路由表進行配置。
[0010]在一種優選的方案中,步驟SI中,所述在網絡訪問策略庫模塊進行網絡訪問策略的設置,包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略。
[0011]在一種優選的方案中,步驟SI中,所述網絡訪問策略的設置包括:
1)結合雲桌面模板,預先確定雲桌面實例的角色,並以此為基礎配置由此模板創建的雲桌面的網絡訪問策略;
2)管理員手動設置網絡訪問策略並關聯到相關的雲桌面列表進行網絡訪問控制。
[0012]在一種優選的方案中,所述網絡訪問策略包括白名單或黑名單,白名單為允許訪問的網絡對象地址列表,黑名單為不允許訪問的網絡對象地址列表,一個網絡訪問策略不能同時包含白名單和黑名單,只能全由相同屬性名單組成;白名單、黑名單定義的訪問網絡對象按照IP位址範圍進行設定,或者按照單個IP位址或域名進行設定。
[0013]在一種優選的方案中,如果白或黑名單中包含了域名,則雲桌面管理系統自動通過DNS查詢,將域名轉換成為IP位址。
[0014]在一種優選的方案中,步驟S3中,雲桌面接收到網絡訪問策略後,網絡訪問控制代理軟體調用雲桌面的路由表配置指令,根據網絡訪問策略對雲桌面的路由表進行配置,並返迴路由表配置的操作結果。
[0015]在一種優選的方案中,所述的網絡訪問控制代理軟體在雲桌面系統內自啟動。
[0016]在一種優選的方案中,一個雲桌面可以對應一個網絡訪問策略,或者對應多個組成名單屬性皆相同的網絡訪問策略。
[0017]在一種優選的方案中,一個雲桌面對應一個網絡訪問策略,或者對應多個組成名單屬性皆相同的網絡訪問策略,雲桌面管理系統自動完成網絡訪問策略的疊加,並發送疊加後的網絡訪問策略到目標雲桌面。
[0018]在一種優選的方案中,所述目標雲桌面為單個雲桌面或者批量雲桌面。
[0019]與現有技術相比,本發明技術方案的有益效果是:
1、本發明雲桌面的網絡訪問控制方法利用雲桌面管理系統和雲桌面內的網絡訪問控制代理的交互通信,把網絡訪問控制策略傳遞到目標雲桌面,根據網絡訪問控制策略修改目標雲桌面的路由表來完成網絡訪問控制,摒棄了外置硬體網絡控制設備,降低了網絡訪問控制成本,並將網絡訪問控制單位降到了以個體雲桌面為單位,同時,提高了雲桌面網絡訪問控制管理的靈活性,降低了網絡訪問控制管理難度;
2、本發明雲桌面的網絡訪問控制方法,對網絡訪問策略的設置包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略,選用或者修改已有的網絡訪問策略能夠減少管理員工作量,從而提高網絡訪問控制的效率;
3、本發明雲桌面的網絡訪問控制方法,能夠對批量的目標雲桌面進行網絡訪問控制,而且雲桌面管理系統能夠自動通過DNS查詢,將域名轉換成為IP位址,大大減少了雲桌面網絡訪問控制的部署時間、提高了效率。
【專利附圖】
【附圖說明】
[0020]圖1為本發明的功能框架圖。
[0021]圖2為本發明雲桌面的網絡訪問控制方法的流程圖。
【具體實施方式】
[0022]附圖僅用於示例性說明,不能理解為對本專利的限制;
為了更好說明本實施例,附圖某些部件會有省略、放大或縮小,並不代表實際產品的尺寸;
對於本領域技術人員來說,附圖中某些公知結構及其說明可能省略是可以理解的。
[0023]下面結合附圖和實施例對本發明的技術方案做進一步的說明。
[0024]實施例1
如圖1、圖2所示,一種雲桌面的網絡訪問控制方法,包括:
51:在網絡訪問策略庫模塊進行網絡訪問策略的設置,網絡訪問策略庫模塊在雲桌面管理系統內構建,網絡訪問策略庫模塊存儲網絡訪問策略;
52:雲桌面管理系統將網絡訪問策略通過區域網或網際網路發送到目標雲桌面;
53:目標雲桌面安裝有網絡訪問控制代理軟體,網絡訪問控制代理軟體根據接收到的網絡訪問策略,對目標雲桌面的路由表進行配置。
[0025]在具體實施過程中,步驟SI中,所述在網絡訪問策略庫模塊進行網絡訪問策略的設置,包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略。
[0026]在具體實施過程中,步驟SI中,所述網絡訪問策略的設置包括:
1)結合雲桌面模板,預先確定雲桌面實例的角色,並以此為基礎配置由此模板創建的雲桌面的網絡訪問策略;
2)管理員手動設置網絡訪問策略並關聯到相關的雲桌面列表進行網絡訪問控制。
[0027]在具體實施過程中,所述網絡訪問策略包括白名單或黑名單,白名單為允許訪問的網絡對象地址列表,黑名單為不允許訪問的網絡對象地址列表,一個網絡訪問策略不能同時包含白名單和黑名單,只能全由相同屬性名單組成;白名單、黑名單定義的訪問網絡對象按照IP位址範圍進行設定,或者按照單個IP位址或域名進行設定。
[0028]在具體實施過程中,如果白或黑名單中包含了域名,則雲桌面管理系統自動通過DNS查詢,將域名轉換成為IP位址。
[0029]在具體實施過程中,步驟S3中,雲桌面接收到網絡訪問策略後,網絡訪問控制代理軟體調用雲桌面的路由表配置指令,根據網絡訪問策略對雲桌面的路由表進行配置,並返迴路由表配置的操作結果。
[0030]在具體實施過程中,所述的網絡訪問控制代理軟體在雲桌面系統內自啟動。
[0031]在具體實施過程中,一個雲桌面可以對應一個網絡訪問策略,或者對應多個組成名單屬性皆相同的網絡訪問策略。
[0032]在具體實施過程中,一個雲桌面對應一個網絡訪問策略,或者對應多個組成名單屬性皆相同的網絡訪問策略,雲桌面管理系統自動完成網絡訪問策略的疊加,並發送疊加後的網絡訪問策略到目標雲桌面。
[0033]在具體實施過程中,所述目標雲桌面為單個雲桌面或者批量雲桌面。
[0034]本發明雲桌面的網絡訪問控制方法利用雲桌面管理系統和雲桌面內的網絡訪問控制代理的交互通信,把網絡訪問控制策略傳遞到目標雲桌面,根據網絡訪問控制策略修改目標雲桌面的路由表來完成網絡訪問控制,摒棄了外置硬體網絡控制設備,降低了網絡訪問控制成本,並將網絡訪問控制單位降到了以個體雲桌面為單位,同時,提高了雲桌面網絡訪問控制管理的靈活性,降低了網絡訪問控制管理難度;
本發明雲桌面的網絡訪問控制方法,對網絡訪問策略的設置包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略,選用或者修改已有的網絡訪問策略能夠減少管理員工作量,從而提高網絡訪問控制的效率;
本發明雲桌面的網絡訪問控制方法,能夠對批量的目標雲桌面進行網絡訪問控制,而且雲桌面管理系統能夠自動通過DNS查詢,將域名轉換成為IP位址,大大減少了雲桌面網絡訪問控制的部署時間、提高了效率。
[0035]相同或相似的標號對應相同或相似的部件;
附圖中描述位置關係的用語僅用於示例性說明,不能理解為對本專利的限制;
顯然,本發明的上述實施例僅僅是為清楚地說明本發明所作的舉例,而並非是對本發明的實施方式的限定。對於所屬領域的普通技術人員來說,在上述說明的基礎上還可以做出其它不同形式的變化或變動。這裡無需也無法對所有的實施方式予以窮舉。凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發明權利要求的保護範圍之內。
【權利要求】
1.一種雲桌面的網絡訪問控制方法,其特徵在於,包括: S1:在網絡訪問策略庫模塊進行網絡訪問策略的設置,網絡訪問策略庫模塊在雲桌面管理系統內構建,網絡訪問策略庫模塊存儲網絡訪問策略; 52:雲桌面管理系統將網絡訪問策略通過區域網或網際網路發送到目標雲桌面; 53:目標雲桌面安裝有網絡訪問控制代理軟體,網絡訪問控制代理軟體根據接收到的網絡訪問策略,對目標雲桌面的路由表進行配置。
2.根據權利要求1所述的雲桌面的網絡訪問控制方法,其特徵在於,步驟SI中所述,在網絡訪問策略庫模塊進行網絡訪問策略的設置,包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略。
3.根據權利要求1所述的雲桌面的網絡訪問控制方法,其特徵在於,步驟SI中,所述網絡訪問策略的設置包括: 1)結合雲桌面模板,預先確定雲桌面實例的角色,並以此為基礎配置由此模板創建的雲桌面的網絡訪問策略; 2)管理員手動設置網絡訪問策略並關聯到相關的雲桌面列表進行網絡訪問控制。
4.根據權利要求1所述的雲桌面的網絡訪問控制方法,其特徵在於,所述網絡訪問策略包括白名單或黑名單,白名單為允許訪問的網絡對象地址列表,黑名單為不允許訪問的網絡對象地址列表,一個網絡訪問策略不能同時包括白名單和黑名單。
5.根據權利要求5所述的雲桌面的網絡訪問控制方法,其特徵在於,如果白或黑名單中包含了域名,則雲桌面管理系統自動通過DNS查詢,將域名轉換成為IP位址。
6.根據權利要求1所述的雲桌面的網絡訪問控制方法,其特徵在於,步驟S3中,雲桌面接收到網絡訪問策略後,網絡訪問控制代理軟體調用雲桌面的路由表配置指令,根據網絡訪問策略對雲桌面的路由表進行配置,並返迴路由表配置的操作結果。
7.根據權利要求6所述的雲桌面的網絡訪問控制方法,其特徵在於,所述的網絡訪問控制代理軟體在雲桌面作業系統內自啟動。
8.根據權利要求1所述的雲桌面的網絡訪問控制方法,其特徵在於,一個雲桌面可以對應一個網絡訪問策略,或者對應多個組成名單屬性皆相同的網絡訪問策略。
9.根據權利要求8所述的雲桌面的網絡訪問控制方法,其特徵在於,一個雲桌面對應一個網絡訪問策略,或者對應多個組成名單屬性皆相同的網絡訪問策略,雲桌面管理系統自動完成網絡訪問策略的疊加,並發送疊加後的網絡訪問策略到目標雲桌面。
10.根據權利要求1所述的雲桌面的網絡訪問控制方法,其特徵在於,所述目標雲桌面為單個雲桌面或者批量雲桌面。
【文檔編號】H04L29/08GK104283870SQ201410477270
【公開日】2015年1月14日 申請日期:2014年9月18日 優先權日:2014年9月18日
【發明者】溫武少, 溫勁倫, 溫木奇, 秦景輝, 黃超, 梁紹祝 申請人:廣東順德中山大學卡內基梅隆大學國際聯合研究院