【技术实现步骤摘要】
本专利技术涉及数据处理,特别涉及一种对内网资源进行访问控制的处理系统。
技术介绍
1、对内网资源进行访问控制的技术方案常用于远程办公。这种技术方案常规都是通过虚拟专用网络(vi rtua l pr ivate network,vpn)技术实现的,具体就是为远程客户配置一个vpn客户端、并在内/外网出口上架设一个vpn服务器,并通过vpn客户端与vpn服务器之间专用网络的加密数据通道实现远程用户对内网资源的访问使用。我们在实际应用中发现,虽然vpn客户端与vpn服务器之间的加密数据通道可以保证数据传输的安全性,但却缺乏足够的访问控制能力:1)每次提交申请都需携带原始用户登录名和登录密码,对隐私信息缺乏能力;2)不能对应用层面违反操作公司规定的做法进行防范,诸如,已离职员工通过远程办公方式获取公司信息、员工违反公司规定将vpn客户端安装在多个设备上等;3)不能对应用层面的安全事件进行识别与预警,诸如,非公司人员使用vpn通道试图接入公司内部职员的未知人员接入事件、超出正常接入量的频繁接入事件、在非工作时段接入量异常的异常时段接入事件、超出正常下载量的单日大数据下载事件、对公司内部敏感资源的访问次数超出正常访问量的敏感资源多次访问事件等。
技术实现思路
1、本专利技术的目的,就是针对现有技术的缺陷,提供一种对内网资源进行访问控制的处理系统,该系统包括:openldap服务器、vpn服务器、vpn日志服务器、内网路由设备、日志分析服务器和预警网关;其中,openldap服务器用于配置与访问
2、为实现上述目的,本专利技术实施例提供了一种对内网资源进行访问控制的处理系统,所述系统包括:openldap服务器、vpn服务器、vpn日志服务器、内网路由设备、日志分析服务器和预警网关;
3、所述openldap服务器分别与所述vpn服务器和所述日志分析服务器连接;所述openldap服务器用于配置客户端目录对象、mac白名单目录对象、mac黑名单目录对象、登录令牌目录对象、部门目录对象、内网资源目录对象、预警事件目录对象和监控客户端目录对象;
4、所述vpn服务器与外网的各个vpn客户端分别连接,还与所述vpn日志服务器连接,还通过所述内网路由设备与内网的各个内网资源服务器连接;
5、所述vpn服务器用于接收所述vpn客户端发送的第一登录请求;并根据所述第一登录请求、所述客户端目录对象、所述mac白名单目录对象、所述mac黑名单目录对象、所述部门目录对象和所述登录令牌目录对象进行多步验证、员工令牌分发和客户端回执反馈处理并在处理过程中基于每步操作生成对应的第一操作日志存入vpn日志服务器;其中,所述第一登录请求包括第一请求时间戳、第一客户端标识、第一客户端mac地址、第一客户端登录用户名和第一客户端登录口令;
6、所述vpn服务器还用于接收所述vpn客户端发送的第一服务请求;并根据所述第一服务请求、所述客户端目录对象、所述mac白名单目录对象、所述mac黑名单目录对象、所述登录令牌目录对象、所述部门目录对象和所述内网资源目录对象进行多步验证、内网请求转发和客户端回执反馈处理并在处理过程中基于每步操作生成对应的所述第一操作日志存入vpn日志服务器;其中,所述第一服务请求包括第二请求时间戳、第二客户端标识、第二客户端mac地址、第二员工令牌、第一资源服务器地址、第一服务器接口地址和第一接口参数;
7、所述vpn日志服务器与所述日志分析服务器连接;所述vpn日志服务器用于存储多个所述第一操作日志;所述第一操作日志包括第三请求时间戳、第三客户端标识、第三客户端mac地址、第一员工工号、第一员工姓名、第一请求类型、第一请求原文、第一操作步骤、第一操作状态和第一操作反馈数据大小;所述第一请求类型包括登录请求和服务请求;所述第一请求原文为对应的所述第一登录请求或所述第一服务请求;所述第一操作步骤包括客户端-mac绑定关系验证步骤、mac黑白名单验证步骤、员工身份验证步骤、员工令牌分发步骤、员工令牌验证步骤、员工权限验证步骤和内网请求转发步骤;所述第一操作状态包括成功状态和失败状态;
8、所述日志分析服务器与所述预警网关连接;所述日志分析服务器用于定期根据所述预警事件目录对象和所述vpn日志服务器上的操作日志进行预警事件识别得到对应的第一预警事件报告;并在所述第一预警事件报告不为空时,调用所述预警网关将所述第一预警事件报告向所述监控客户端目录对象指定的一个或多个远程监控客户端发送。
9、优选的,所述客户端目录对象的对象属性包括多个客户端对象;所述客户端对象的对象属性包括客户端标识和绑定的客户端mac地址;
10、所述mac白名单目录对象的对象属性包括多个白名单mac地址;
11、所述mac黑名单目录对象的对象属性包括多个黑名单mac地址;
12、所述登录令牌目录对象的对象属性包括多个登录令牌对象;所述登录令牌对象包括员工令牌、令牌有效期和令牌员工工号;
13、所述部门目录对象的对象属性包括部门名称和多个员工对象;所述员工对象的对象属性包括所述员工工号、员工姓名、登录用户名、登录口令、员工等级、在离职状态和内网资源列表;所述员工等级包括多个等级级别;所述在离职状态包括在职状态、预离职状态和离职状态;所述内网资源列表包括一个或多个可用资源服务器地址;
14、所述内网资源目录对象的对象属性包括多个内网资源对象;所述内网资源对象与所述内网资源服务器一一对应;所述内网资源对象的对象属性包括资源服务器名称、资源服务器地址、服务器接口列表对象、员工等级策略对象和员工状态权限策略对象;所述服务器接口列表对象的对象属性包括多个服务器接口地址;所述员工等级策略对象的对象属本文档来自技高网...
【技术保护点】
1.一种对内网资源进行访问控制的处理系统,其特征在于,所述系统包括:OpenLDAP服务器、VPN服务器、VPN日志服务器、内网路由设备、日志分析服务器和预警网关;
2.根据权利要求1所述的对内网资源进行访问控制的处理系统,其特征在于,
3.根据权利要求2所述的对内网资源进行访问控制的处理系统,其特征在于,
4.根据权利要求2所述的对内网资源进行访问控制的处理系统,其特征在于,
5.根据权利要求3-4任一项所述的对内网资源进行访问控制的处理系统,其特征在于,
6.根据权利要求3所述的对内网资源进行访问控制的处理系统,其特征在于,
7.根据权利要求3所述的对内网资源进行访问控制的处理系统,其特征在于,
8.根据权利要求4所述的对内网资源进行访问控制的处理系统,其特征在于,
9.根据权利要求4所述的对内网资源进行访问控制的处理系统,其特征在于,
10.根据权利要求2所述的对内网资源进行访问控制的处理系统,其特征在于,
【技术特征摘要】
1.一种对内网资源进行访问控制的处理系统,其特征在于,所述系统包括:openldap服务器、vpn服务器、vpn日志服务器、内网路由设备、日志分析服务器和预警网关;
2.根据权利要求1所述的对内网资源进行访问控制的处理系统,其特征在于,
3.根据权利要求2所述的对内网资源进行访问控制的处理系统,其特征在于,
4.根据权利要求2所述的对内网资源进行访问控制的处理系统,其特征在于,
5.根据权利要求3-4任一项所述的对...
【专利技术属性】
技术研发人员:管海鹏,秦红兵,傅宇晨,
申请(专利权)人:广东树米科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。