專利名稱:一種ssl vpn客戶端安全檢查方法、系統(tǒng)及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,特別是涉及一種SSL VPN客戶端安全檢查方法、系統(tǒng)及其裝置。
背景技術(shù):
SSL(Security Socket Layer,安全套接字層)通過加密方式保護在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性,它可以自動應(yīng)用在每一個瀏覽器上。VPN(Virtua1Private Network,虛擬專用網(wǎng)絡(luò))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò),它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。過去,VPN總是和IPSec(Internet Protocol Security,因特網(wǎng)協(xié)議安全)聯(lián)系在一起,因為它是VPN加密信息實際用到的協(xié)議。IPSec運行于網(wǎng)絡(luò)層,IPSec VPN則多用于連接兩個網(wǎng)絡(luò)或點到點之間的連接。到目前為止,SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN,這是因為SSL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。這一點對于擁有大量機器(包括家用機,工作機和客戶機等等)需要與公司機密信息相連接的用戶至關(guān)重要。
SSL VPN目前實現(xiàn)了對客戶端的安全評估,當(dāng)用戶通過SSL VPN遠程接入訪問內(nèi)部相應(yīng)的網(wǎng)絡(luò)資源時,不安全客戶端接入將有可能造成核心機密的泄漏和網(wǎng)絡(luò)病毒的傳播,對內(nèi)網(wǎng)的網(wǎng)絡(luò)安全和信息安全造成很大威脅。為解決這個問題,現(xiàn)有的SSL VPN產(chǎn)品在普通用戶登錄時可以通過插件對客戶端操作系統(tǒng)版本,注冊表鍵值、客戶端安全軟件的部署等情況進行檢查,對客戶端的安全性進行評估并確認其能夠訪問哪些資源。
其中,該SSL VPN產(chǎn)品具體可以提供檢查的可選項目有操作系統(tǒng)的類型、版本以及安裝的補丁;
瀏覽器的類型、版本以及安裝的補??;防病毒軟件的安裝;防火墻軟件的安裝;是否持有由指定頒發(fā)者頒發(fā)的數(shù)字證書;是否有指定的文件;是否有指定的進程。
以上各項可以任選一項或多項,在選擇后只有選擇的各項都符合條件的用戶才被允許登錄。用戶在登錄過程中,調(diào)用ActiveX插件進行安全檢查;通過一定級別的安全策略檢查后,受到該安全策略保護的資源與用戶所擁有訪問權(quán)限的資源的交集對用戶來說就是可見的,否則用戶無權(quán)登錄和訪問相關(guān)資源。
在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下缺點缺點一現(xiàn)有技術(shù)中的SSL VPN產(chǎn)品所能執(zhí)行的檢查功能有限,無法實現(xiàn)與防病毒軟件和防火墻軟件的強聯(lián)動,無法實現(xiàn)病毒庫自動升級和對病毒感染情況的實時監(jiān)控。缺點二檢查操作系統(tǒng)補丁之后,如果補丁沒有打全無法接入內(nèi)網(wǎng)服務(wù)器,無法實現(xiàn)補丁自動升級。缺點三資源的重復(fù)分配,在用戶所屬的用戶組中資源已經(jīng)被配置;如果要實施安全策略則還需要再配置資源與策略的對應(yīng)關(guān)系,在登錄時再使用兩種資源的交集,配置不便。缺點四目前的ActiveX插件只在用戶登陸的過程中進行一些靜態(tài)檢查,沒有監(jiān)控到用戶上線之后客戶端安全信息的變化,不能做到定時檢查實時監(jiān)控,存在一定的安全隱患。
發(fā)明內(nèi)容
本發(fā)明實施例供一種SSL VPN客戶端安全檢查方法、系統(tǒng)及其裝置,解決現(xiàn)有技術(shù)中SSL VPN產(chǎn)品所能執(zhí)行的檢查功能有限,資源重復(fù)分配和在用戶上線后無法實施監(jiān)控的問題。
為達到上述目的,本發(fā)明實施例一方面提出一種SSL VPN客戶端安全檢查方法,包括以下步驟接入設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求;在所述認證服務(wù)器確認所述客戶端通過身份認證之后,所述接入設(shè)備將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,并通知所述客戶端根據(jù)所述安全檢查項進行安全檢查;判斷所述客戶端是否通過所述安全檢查;如果所述客戶端未通過所述安全檢查,則所述接入設(shè)備針對所述客戶端引用隔離訪問控制表ACL。
其中,在判斷所述客戶端是否通過所述安全檢查之后,還包括以下步驟如果所述客戶端通過所述安全檢查,則所述接入設(shè)備針對所述客戶端引用安全ACL。
其中,所述認證服務(wù)器具體為綜合訪問管理CAMS服務(wù)器,在所述CAMS服務(wù)器確認所述客戶端通過身份認證之后,還包括以下步驟所述CAMS服務(wù)器將所述策略服務(wù)器地址信息發(fā)送給所述客戶端;所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請求。
其中,在所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請求之后,還包括以下步驟所述策略服務(wù)器從所述CAMS服務(wù)器中獲取安全策略;根據(jù)所述安全策略確定所述客戶端的安全檢查項,并下發(fā)給所述接入設(shè)備。
其中,在所述認證服務(wù)器確認所述客戶端通過身份認證之后,還包括以下步驟所述認證服務(wù)器向所述客戶端發(fā)送身份認證回應(yīng)信息;所述客戶端判斷所述身份認證回應(yīng)信息中是否有策略服務(wù)器的地址信息;如果沒有所述策略服務(wù)器的地址信息,則向所述接入設(shè)備發(fā)起安全檢查請求。
其中,在所述客戶端向所述接入設(shè)備發(fā)起安全檢查請求之后,還包括以下步驟所述接入設(shè)備代理所述客戶端向策略服務(wù)器發(fā)起安全檢查請求;所述策略服務(wù)器從所述接入設(shè)備中獲取安全策略;根據(jù)所述安全策略確定所述安全檢查項,并下發(fā)給所述接入設(shè)備。
其中,在所述接入設(shè)備針對所述客戶端引用隔離ACL之后還包括以下步驟提示所述客戶端進行安全升級或下線。
其中,在所述接入設(shè)備針對所述客戶端引用安全ACL之后,還包括以下步驟在所述客戶端在線過程中,定期要求所述客戶端進行安全檢查;如果所述客戶端未通過所述定期的安全檢查,則通知所述客戶端進行安全升級或下線。
其中,在所述接入設(shè)備針對所述客戶端引用隔離ACL之后,還包括以下步驟所述接入設(shè)備將所述隔離ACL轉(zhuǎn)換成對應(yīng)的隔離區(qū)IP資源。
其中,在所述判斷客戶端是否通過所述安全檢查之前,還包括以下步驟所述客戶端根據(jù)安全檢查項目進行安全檢查后將安全檢查結(jié)果發(fā)給所述策略服務(wù)器;所述策略服務(wù)器根據(jù)接收到的所述安全檢查結(jié)果判斷所述客戶端是否通過所述安全檢查,并通知所述接入設(shè)備。
另一方面,本發(fā)明實施例還提供了一種接入設(shè)備,包括身份認證請求處理模塊,安全檢查項下發(fā)模塊,安全檢查判斷模塊和ACL控制模塊,所述身份認證請求處理模塊,用于向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求;所述安全檢查項下發(fā)模塊,用于在所述認證服務(wù)器確認所述客戶端通過身份認證之后,將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,通知所述客戶端根據(jù)所述安全檢查項進行安全檢查;所述安全檢查判斷模塊,用于判斷所述客戶端是否通過所述安全檢查;所述ACL控制模塊,用于在所述安全檢查判斷模塊判斷所述客戶端未通過所述安全檢查時,針對所述客戶端引用隔離訪問控制表ACL。
其中,所述ACL控制模塊進一步還用于在所述安全檢查判斷模塊判斷所述客戶端通過所述安全檢查時,針對所述客戶端引用安全ACL。
其中,還包括配置信息保存模塊,用于保存策略服務(wù)器地址信息、安全策略和安全/隔離ACL號。
其中,還包括客戶端代理模塊,用于在收到所述客戶端的安全檢查請求后,代理所述客戶端向所述策略服務(wù)器請求安全檢查。
其中,還包括定期通知模塊,用于在所述安全檢查判斷模塊判斷所述客戶端通過安全檢查后,定期通知所述客戶端進行安全檢查。
其中,還包括提示模塊,用于在所述安全檢查判斷模塊判斷所述客戶端未通過安全檢查后,提示所述客戶端進行安全升級或下線。
其中,所述ACL控制模塊還包括ACL轉(zhuǎn)換子模塊,用于將所述隔離ACL轉(zhuǎn)換成對應(yīng)的隔離區(qū)IP資源。
再一方面,本發(fā)明實施例還提出一種SSL VPN客戶端安全檢查系統(tǒng),包括客戶端、接入設(shè)備、認證服務(wù)器和策略服務(wù)器,所述客戶端,用于通過所述接入設(shè)備向所述認證服務(wù)器發(fā)起身份認證請求;所述認證服務(wù)器,用于驗證所述客戶端是否通過身份認證,并通知所述接入設(shè)備;所述接入設(shè)備,用于在所述認證服務(wù)器確認所述客戶端通過身份認證之后,將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,通知所述客戶端根據(jù)所述安全檢查項進行安全檢查,并在所述客戶端未通過安全檢查后針對所述客戶端引用隔離訪問控制表ACL;所述策略服務(wù)器,用于根據(jù)安全策略確定所述客戶端的安全檢查項,并將所述安全檢查項下發(fā)給所述接入設(shè)備。
其中,還包括防病毒服務(wù)器和/或補丁服務(wù)器,用于在所述客戶端未通過安全檢查后,供所述客戶端進行安全升級。
本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,通過策略服務(wù)器對客戶端進行安全狀態(tài)檢測,使得只有符合安全標(biāo)準通過安全檢查的客戶端才能夠被允許正常接入,未通過安全檢查的客戶端只能訪問隔離區(qū)內(nèi)的服務(wù)器資源,并通知未通過安全檢查的客戶端利用隔離區(qū)內(nèi)的服務(wù)器資源進行安全升級。本發(fā)明實施例還可以在客戶端通過安全檢查接入網(wǎng)絡(luò)后,繼續(xù)對該客戶端進行監(jiān)控,一旦發(fā)現(xiàn)該客戶端存在安全隱患立刻通知該客戶端進行安全升級或下線。
圖1為本發(fā)明實施例SSL VPN客戶端安全檢查系統(tǒng)結(jié)構(gòu)圖;圖2為本發(fā)明實施例一的SSL VPN客戶端安全檢查方法流程圖;圖3為本發(fā)明實施例二的SSL VPN客戶端安全檢查方法流程圖;圖4為本發(fā)明實施例三的SSL VPN客戶端安全檢查方法流程圖。
具體實施例方式
下面結(jié)合附圖和實施例,對本發(fā)明的具體實施方式
作進一步詳細描述如圖1所示,為本發(fā)明實施例SSL VPN客戶端安全檢查系統(tǒng)結(jié)構(gòu)圖,該SSL VPN客戶端安全檢查系統(tǒng)包括客戶端1、認證服務(wù)器2、接入設(shè)備3和策略服務(wù)器4,其中接入設(shè)備可以是SSL VPN網(wǎng)關(guān)??蛻舳?用于通過接入設(shè)備3向認證服務(wù)器2發(fā)起身份認證請求,客戶端1通過瀏覽器(例如IE瀏覽器)向接入設(shè)備3發(fā)起登錄請求,請求進行身份驗證,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備3,接入設(shè)備3將上述用戶信息轉(zhuǎn)發(fā)給認證服務(wù)器2進行身份認證;認證服務(wù)器2用于驗證客戶端1是否通過身份認證,并將是否通過身份認證的結(jié)果通知接入設(shè)備3;接入設(shè)備3用于在認證服務(wù)器2確認客戶端1通過身份認證之后,將從策略服務(wù)器4中接收的安全檢查項下發(fā)給客戶端1,通知客戶端1根據(jù)該安全檢查項進行安全檢查,并在客戶端1未通過安全檢查后針對該客戶端1引用隔離ACL(access control list,訪問控制表),如果該客戶端1通過安全檢查,則針對該客戶端1引用安全ACL。策略服務(wù)器4用于根據(jù)安全策略確定客戶端1的安全檢查項,并將安全檢查項下發(fā)給接入設(shè)備3,在客戶端1根據(jù)該安全檢查項進行安全檢查后,根據(jù)客戶端1上報的安全檢查結(jié)果確認該客戶端1是否通過安全檢查。
本發(fā)明實施例所述的SSL VPN客戶端安全檢查系統(tǒng)還包括防病毒服務(wù)器5和/或補丁服務(wù)器6,防病毒服務(wù)器5和/或補丁服務(wù)器6用于在策略服務(wù)器4判斷客戶端1未通過安全檢查后,供該客戶端1進行安全升級,例如進行軟件補丁或最新病毒庫的升級。
其中,接入設(shè)備3包括身份認證請求處理模塊31,安全檢查項下發(fā)模塊32,安全檢查判斷模塊33和ACL控制模塊34,身份認證請求處理模塊31用于向認證服務(wù)器2轉(zhuǎn)發(fā)客戶端1的身份認證請求;安全檢查項下發(fā)模塊32用于在認證服務(wù)器2確認客戶端1通過身份認證之后,將從策略服務(wù)器2中接收的安全檢查項下發(fā)給客戶端1,通知客戶端1根據(jù)該安全檢查項進行安全檢查;安全檢查判斷模塊33用于判斷客戶端1是否通過安全檢查;ACL控制模塊34用于在安全檢查判斷模塊33判斷客戶端1未通過安全檢查時,針對客戶端1引用隔離訪問控制表ACL,或在安全檢查判斷模塊33判斷客戶端1通過安全檢查時,針對該客戶端1引用安全訪問控制表ACL。
其中,接入設(shè)備3還包括定期通知模塊37,用于在安全檢查判斷模塊33判斷客戶端1通過安全檢查后,定期通知該客戶端1進行安全檢查。這樣就能夠隨時檢測客戶端1的安全狀態(tài),在客戶端1的安全信息發(fā)生變化不能通過安全檢查時,及時提醒并允許客戶端1進行安全升級或直接下線。
其中,接入設(shè)備3還包括提示模塊38用于在安全檢查判斷模塊33判斷客戶端1未通過安全檢查時,提示客戶端1進行安全升級或直接下線。
其中,ACL控制模塊34還包括ACL轉(zhuǎn)換子模塊341,用于將隔離ACL轉(zhuǎn)換成對應(yīng)的隔離區(qū)IP資源,并提示客戶端1可通過啟動IP Proxy(IP代理)進入隔離區(qū),此時該客戶端1只能訪問隔離區(qū)中的服務(wù)器資源,例如防病毒服務(wù)器5和/或補丁服務(wù)器6,以便客戶端1進行病毒庫升級或補丁升級。
本發(fā)明實施例所示的SSL VPN客戶端安全檢查系統(tǒng)既可用于在CAMS服務(wù)器(Comprehensive Access Management Server,綜合訪問管理服務(wù)器)進行身份認證,也可通過本地服務(wù)器、AD(Active Directory,活動目錄)服務(wù)器、LDAP服務(wù)器(Lightweight Directory Access Protocol,輕量目錄訪問協(xié)議)或其它Radius(遠程鑒別撥號用戶服務(wù))服務(wù)器進行身份認證。因為CAMS服務(wù)器能夠配置安全策略、策略服務(wù)器地址以及隔離/安全ACL,因此CAMS服務(wù)器可以將策略服務(wù)器地址通過Radius報文傳遞給客戶端1。其中CAMS服務(wù)器是一款Radius服務(wù)器,它能夠在Radius報文的私有屬性中增加了一項用來傳遞策略服務(wù)器地址的屬性,因此可以將策略服務(wù)器地址通過Radius報文傳遞給客戶端1。
本發(fā)明實施例提出了一種上述SSL VPN客戶端安全檢查系統(tǒng)采用CAMS服務(wù)器進行身份認證的模式,具體過程如下客戶端1通過瀏覽器(IE)向接入設(shè)備3發(fā)起登陸請求,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備3,該接入設(shè)備3將這些用戶信息轉(zhuǎn)發(fā)給CAMS服務(wù)器進行身份認證。其中,該接入設(shè)備3可以是SSL VPN網(wǎng)關(guān)。CAMS服務(wù)器根據(jù)上述用戶信息判斷該客戶端1通過身份認證后,將策略服務(wù)器的地址信息,例如策略服務(wù)器的IP地址和端口通過接入設(shè)備3發(fā)送給客戶端1??蛻舳?通過瀏覽器(IE)從接入設(shè)備3(SSL VPN網(wǎng)關(guān))自動下載安全檢查軟件進行安全檢查,例如ActiveX控件或Java Applet程序,然而如果該客戶端1之前已經(jīng)下載過相應(yīng)的安全檢查軟件或之前在客戶端1上已經(jīng)預(yù)安裝了該安全檢查軟件,則該客戶端1就不需要從接入設(shè)備3中再次下載。即使通過瀏覽器下載該安全檢查軟件,因為該安全檢查軟件的大小不到1M,所以不會影響網(wǎng)絡(luò)的性能。
客戶端1通過該安全檢查軟件將安全檢查請求發(fā)送給接入設(shè)備3,接入設(shè)備3開放一個特殊的端口接收該客戶端1發(fā)送的安全檢查請求,例如SSL VPN網(wǎng)關(guān)開放的一個沒有被其他服務(wù)占用的端口用來專門和客戶端進行通訊,這個端口不提供其它服務(wù)。并將該請求轉(zhuǎn)發(fā)給策略服務(wù)器4,該接入設(shè)備3透傳客戶端1與策略服務(wù)器4之間的通訊,同樣策略服務(wù)器4返回給客戶端1的報文也要先發(fā)給接入設(shè)備3,再由接入設(shè)備3轉(zhuǎn)發(fā)給客戶端1,這樣斷開了未經(jīng)過安全檢查的客戶端1與策略服務(wù)器4的聯(lián)系,進一步保證了內(nèi)網(wǎng)的安全。策略服務(wù)器4接收到接入設(shè)備3轉(zhuǎn)發(fā)的安全檢查請求后從CAMS服務(wù)器中取得安全策略,并根據(jù)該安全策略獲取客戶端1的安全檢查項,通過接入設(shè)備3將該安全檢查項下發(fā)給客戶端1,并要求該客戶端1根據(jù)該安全檢查項進行安全檢查。該客戶端1按照安全檢查項進行了安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器4,策略服務(wù)器4根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準判斷該客戶端1是否通過了安全檢查,其中,該預(yù)設(shè)的安全標(biāo)準由企業(yè)用戶針對自身的網(wǎng)絡(luò)安全性標(biāo)準制定客戶端1的操作系統(tǒng)及主要應(yīng)用軟件補丁的最低標(biāo)準,或防火墻與殺毒軟件的最低版本,如果不能滿足這些最低標(biāo)準則說明該客戶端1不能滿足網(wǎng)絡(luò)的安全性標(biāo)準,需要進行安全升級,并且該安全標(biāo)準可以在策略服務(wù)器上根據(jù)用戶需要隨時更新。
如果策略代理服務(wù)器4根據(jù)上報的安全檢查結(jié)果判斷該客戶端1通過安全檢查,則策略服務(wù)器4將檢查結(jié)果通知CAMS服務(wù)器,CAMS服務(wù)器在得知該客戶端1通過安全檢查后,通知接入設(shè)備3并將安全ACL號下發(fā)給該接入設(shè)備3,接入設(shè)備3允許客戶端1訪問其擁有的資源,其中,因為接入設(shè)備此時已經(jīng)對訪問權(quán)限進行了限制,因此安全ACL可以使用許可IP。
同樣如果策略服務(wù)器4判斷該客戶端1未通過安全檢查,則CAMS服務(wù)器通知接入設(shè)備3并將隔離ACL號下發(fā)給該接入設(shè)備3,接入設(shè)備3對該客戶端1引用該隔離ACL,該隔離ACL只能允許用戶訪問隔離區(qū)內(nèi)的幾個必要的軟件升級服務(wù)器,例如防病毒服務(wù)器5、補丁服務(wù)器6等。并且由接入設(shè)備將隔離ACL翻譯成對應(yīng)的隔離區(qū)IP資源,提示客戶端可通過啟動IPProxy(IP代理)進入隔離區(qū),此時客戶端1啟動IP Proxy不能訪問正常的IP網(wǎng)絡(luò)資源,只能訪問隔離區(qū)的服務(wù)器資源?;蛘呓尤朐O(shè)備3提示客戶端1進入隔離區(qū)進行安全升級或直接下線。在客戶端1進行了安全升級之后,還可再對該客戶端1進行安全檢查,如果該客戶端能夠通過安全檢查,則為該客戶端1引用安全ACL,如果還未通過安全檢查,則再次要求該客戶端1進行安全升級或直接下線。IP Proxy根據(jù)隔離ACL的內(nèi)容限制用戶僅可以訪問隔離ACL允許的服務(wù)器資源。
如果該客戶端1通過上述安全檢查,進入正常的在線連接,則還需要對該客戶端1進行定期的安全檢查,以隨時了解該客戶端1安全狀態(tài)的變化,在該客戶端1不能滿足安全標(biāo)準要求,不能通過安全檢查后則對該客戶端1進行隔離限制,提示其進行安全升級或直接下線。
本發(fā)明實施例還提出了一種通過本地服務(wù)器、AD服務(wù)器、LDAP服務(wù)器或其它Radius服務(wù)器進行身份認證的模式。因為安全策略、策略代理服務(wù)器地址和安全/隔離ACL號均由CAMS服務(wù)器下發(fā),因此在該模式?jīng)]有CAMS服務(wù)器的情況下,就需要接入設(shè)備3完成上述工作,所以接入設(shè)備3還需要配置以下模塊。
其中,接入設(shè)備3還包括配置信息保存模塊35,用于保存策略服務(wù)器地址信息、安全策略和安全/隔離ACL號,以及需要給策略服務(wù)器提供的在線用戶列表。
其中,接入設(shè)備3還包括客戶端代理模塊36,用于在收到客戶端1的安全檢查請求后,代理客戶端1向策略服務(wù)器4請求安全檢查。因為客戶端1沒有策略服務(wù)器4的地址信息,因此需要由接入設(shè)備3代理客戶端1向策略服務(wù)器4請求安全檢查。
該模式的具體過程如下
客戶端1通過瀏覽器(IE)向接入設(shè)備發(fā)起登陸請求,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備3,該接入設(shè)備3將這些用戶信息轉(zhuǎn)發(fā)給認證服務(wù)器2進行身份認證,其中,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)。認證服務(wù)器2根據(jù)上述用戶信息判斷該客戶端1通過身份認證后,向客戶端1回復(fù)通過認證的認證回應(yīng)信息??蛻舳?通過瀏覽器(IE)從接入設(shè)備(SSLVPN網(wǎng)關(guān))自動下載安全檢查軟件進行安全檢查,例如ActiveX控件或JavaApplet程序,然而如果該客戶端1之前已經(jīng)下載過相應(yīng)的安全檢查軟件或在客戶端1上已經(jīng)預(yù)安裝了該安全檢查軟件,則該客戶端1就不需要從接入設(shè)備3中再次下載。即使通過瀏覽器(IE)下載該安全檢查軟件,因為該安全檢查軟件的大小不到1M,所以因此不會影響網(wǎng)絡(luò)的性能。
客戶端1在發(fā)現(xiàn)在該認證回應(yīng)信息中沒有策略服務(wù)器4的地址信息和端口后,向接入設(shè)備3發(fā)起安全檢查請求,接入設(shè)備3代理客戶端1向策略服務(wù)器4請求安全檢查。策略服務(wù)器4收到安全檢查請求后從接入設(shè)備3中取得安全策略,并根據(jù)該安全策略確定安全檢查項后將該安全檢查項通過接入設(shè)備3下發(fā)給客戶端1,并要求該客戶端1根據(jù)該安全檢查項進行安全檢查。該客戶端1按照安全檢查項進行安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器4,策略服務(wù)器4根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準判斷該客戶端1是否通過了安全檢查。
如果策略代理服務(wù)器4根據(jù)上報的安全檢查結(jié)果判斷該客戶端1通過安全檢查,則策略服務(wù)器4將檢查結(jié)果通知接入設(shè)備3,則接入設(shè)備3對該客戶端1引用安全ACL,因為接入設(shè)備3此時已經(jīng)對訪問權(quán)限進行了限制,因此安全ACL可以使用許可IP。
同樣,如果該客戶端1的安全檢查未通過,策略服務(wù)器4將會通知接入設(shè)備3引用隔離ACL,該隔離ACL只能允許用戶訪問隔離區(qū)內(nèi)的幾個必要的軟件升級服務(wù)器,例如防病毒服務(wù)器5、補丁服務(wù)器6等。并且由接入設(shè)備將隔離ACL翻譯成對應(yīng)的隔離區(qū)IP資源,提示客戶端可通過啟動IP Proxy(IP代理)進入隔離區(qū),此時客戶端1啟動IP Proxy不能訪問正常的IP網(wǎng)絡(luò)資源,只能訪問隔離區(qū)的服務(wù)器資源,或者接入設(shè)備3提示客戶端1進入隔離區(qū)進行安全升級或直接下線。
同樣該模式下也可對在線的客戶端1進行實時的安全監(jiān)控,如果該客戶端1通過上述安全檢查,進入正常的在線連接,則還需要對該客戶端1進行定期的安全檢查,以隨時了解該客戶端1安全狀態(tài)的變化,在該客戶端1不能滿足安全標(biāo)準要求,不能通過安全檢查后則對該客戶端1進行隔離限制,提示其進行安全升級或直接下線。
如圖2所示,本發(fā)明實施例一的SSL VPN客戶端安全檢查方法流程圖,包括以下步驟步驟S201,接入設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證清求。客戶端通過瀏覽器(IE)向接入設(shè)備發(fā)起登陸請求,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備,該接入設(shè)備將這些用戶信息轉(zhuǎn)發(fā)給認證服務(wù)器進行身份認證,其中,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)。
步驟S202,在認證服務(wù)器確認客戶端通過身份認證之后,接入設(shè)備將從策略服務(wù)器中接收的安全檢查項下發(fā)給客戶端,通知客戶端根據(jù)安全檢查項進行安全檢查。本發(fā)明實施例提出了兩種根據(jù)不同認證服務(wù)器進行安全檢查的模式,既可用于在CAMS服務(wù)器進行身份認證,也可通過本地服務(wù)器、AD服務(wù)器、LDAP服務(wù)器或其它Radius服務(wù)器進行身份認證。在認證服務(wù)器確認該客戶端通過身份認證之后,由策略服務(wù)器根據(jù)預(yù)設(shè)的安全標(biāo)準進行安全檢查,將安全檢查項通過接入設(shè)備下發(fā)給客戶端,并要求該客戶端根據(jù)安全檢查項進行安全檢查。
步驟S203,接入設(shè)備判斷客戶端是否通過安全檢查。策略服務(wù)器根據(jù)客戶端上報的安全檢查結(jié)果判斷該客戶端是否通過安全檢查,并將檢查結(jié)果通知接入設(shè)備,接入設(shè)備根據(jù)策略服務(wù)器通知的檢查結(jié)果,并根據(jù)判斷結(jié)果選擇該客戶端是正常訪問網(wǎng)絡(luò)還是進入隔離區(qū)只能訪問隔離區(qū)內(nèi)的服務(wù)器。
步驟S204,如果客戶端未通過安全檢查,則接入設(shè)備針對客戶端引用隔離訪問控制表ACL。該隔離ACL只能允許用戶訪問隔離區(qū)內(nèi)的幾個必要的軟件升級服務(wù)器,例如防病毒服務(wù)器、補丁服務(wù)器等。并且由接入設(shè)備將隔離ACL翻譯成對應(yīng)的隔離區(qū)IP資源,提示客戶端可通過啟動IP Proxy(IP代理)進入隔離區(qū),此時客戶端啟動IP Proxy不能訪問正常的IP網(wǎng)絡(luò)資源,只能訪問隔離區(qū)的服務(wù)器資源?;蛘呓尤朐O(shè)備提示客戶端進入隔離區(qū)進行安全升級或直接下線。在客戶端進行了安全升級之后,接入設(shè)備還可再對該客戶端進行安全檢查,如果該客戶端能夠通過安全檢查,則為該客戶端引用安全ACL,如果還未通過安全檢查,則再次要求該客戶端進行安全升級或直接下線。
步驟S205,如果客戶端通過安全檢查,則接入設(shè)備針對客戶端引用安全ACL。接入設(shè)備允許客戶端訪問其擁有的資源,其中,因為接入設(shè)備此時已經(jīng)對訪問權(quán)限進行了限制,因此安全ACL可以使用許可IP。
步驟S206,在通過安全檢查的客戶端在線過程中,接入設(shè)備定期要求客戶端進行安全檢查,如果客戶端未通過定期的安全檢查,則通知該客戶端進行安全升級或下線。這樣就能夠隨時了解該客戶端安全狀態(tài)的變化,在該客戶端不能滿足安全標(biāo)準要求,不能通過安全檢查后,對該客戶端進行隔離限制,提示其進行安全升級或直接下線。
如圖3所示,為本發(fā)明實施例二的SSL VPN客戶端安全檢查方法流程圖,該實施例采用CAMS服務(wù)器進行身份認證的模式,包括以下步驟步驟S301,接入設(shè)備向CAMS服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求??蛻舳送ㄟ^瀏覽器(IE)向接入設(shè)備發(fā)起登陸請求,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備,該接入設(shè)備將這些用戶信息轉(zhuǎn)發(fā)給CAMS服務(wù)器進行身份認證,其中,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)。
步驟S302,在CAMS服務(wù)器根據(jù)上述用戶信息判斷該客戶端通過身份認證后,則將策略服務(wù)器的地址信息發(fā)送給客戶端,例如將策略服務(wù)器的IP地址和端口通過接入設(shè)備發(fā)送給客戶端。
步驟S303,客戶端通過瀏覽器(IE)從接入設(shè)備(SSL VPN網(wǎng)關(guān))自動下載安全檢查軟件進行安全檢查,例如ActiveX控件或Java Applet程序,然而如果該客戶端之前已經(jīng)下載過相應(yīng)的安全檢查軟件或在客戶端上已經(jīng)預(yù)安裝了該安全檢查軟件,則該客戶端就不需要從接入設(shè)備中再次下載。本發(fā)明實施例提出的安全檢查軟件即使通過瀏覽器下載,由于因為該安全檢查軟件的大小不到1M,因此不會影響網(wǎng)絡(luò)的性能。
步驟S304,客戶端通過該安全檢查軟件將安全檢查請求發(fā)送給接入設(shè)備,因為客戶端有策略服務(wù)器的地址信息,因此接入設(shè)備只需透傳客戶端與策略服務(wù)器的通信即可,即接入設(shè)備開放一個特殊的端口接收該客戶端發(fā)送的安全檢查請求,并將該請求轉(zhuǎn)發(fā)給策略服務(wù)器,該接入設(shè)備透傳客戶端與策略服務(wù)器之間的通訊,同樣,策略服務(wù)器返回給客戶端的報文也要先發(fā)給接入設(shè)備,再由接入設(shè)備轉(zhuǎn)發(fā)給客戶端,這樣斷開了未經(jīng)過安全檢查的客戶端與策略服務(wù)器的聯(lián)系,進一步保證了內(nèi)網(wǎng)的安全。
步驟S305,策略服務(wù)器收到接入設(shè)備轉(zhuǎn)發(fā)的安全檢查請求后從CAMS服務(wù)器中取得安全策略,并根據(jù)該安全策略獲取客戶端的安全檢查項,通過接入設(shè)備將該安全檢查項下發(fā)給客戶端,并要求該客戶端根據(jù)該安全檢查項進行安全檢查。
步驟S306,該客戶端按照安全檢查項進行安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器,策略服務(wù)器根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準判斷該客戶端是否通過了安全檢查,其中,該預(yù)設(shè)的安全標(biāo)準由企業(yè)用戶針對自身的網(wǎng)絡(luò)安全性標(biāo)準制定客戶端的操作系統(tǒng)及主要應(yīng)用軟件補丁的最低標(biāo)準,或防火墻與殺毒軟件的最低版本,如果不能滿足這些最低標(biāo)準則說明該客戶端不能滿足網(wǎng)絡(luò)的安全性標(biāo)準,需要進行安全升級,并且該安全標(biāo)準可以在策略服務(wù)器上根據(jù)用戶需要隨時更新。
步驟S307,如果客戶端未通過安全檢查,則接入設(shè)備針對客戶端引用隔離訪問控制表ACL。該隔離ACL只能允許用戶訪問隔離區(qū)內(nèi)的幾個必要的軟件升級服務(wù)器,例如防病毒服務(wù)器、補丁服務(wù)器等。并且由接入設(shè)備將隔離ACL翻譯成對應(yīng)的隔離區(qū)IP資源,提示客戶端可通過啟動IP Proxy(IP代理)進入隔離區(qū),此時客戶端啟動IP Proxy不能訪問正常的IP網(wǎng)絡(luò)資源,只能訪問隔離區(qū)的服務(wù)器資源,或者接入設(shè)備提示客戶端進入隔離區(qū)進行安全升級或直接下線。在客戶端進行了安全升級之后,接入設(shè)備還可再對該客戶端進行安全檢查,如果該客戶端能夠通過安全檢查,則為該客戶端引用安全ACL,如果還未通過安全檢查,則再次要求該客戶端進行安全升級或直接下線。
步驟S308,如果客戶端通過安全檢查,則接入設(shè)備針對客戶端引用安全訪問控制表ACL。接入設(shè)備允許客戶端訪問其擁有的資源,其中,因為接入設(shè)備此時已經(jīng)對訪問權(quán)限進行了限制,因此該安全ACL可以使用許可IP。
步驟S309,在通過安全檢查的客戶端在線過程中,接入設(shè)備定期要求客戶端進行安全檢查,如果客戶端未通過定期的安全檢查,則通知該客戶端進行安全升級或下線。這樣就能夠以隨時了解該客戶端安全狀態(tài)的變化,在該客戶端不能滿足安全標(biāo)準要求,不能通過安全檢查后,對該客戶端進行隔離限制,提示其進行安全升級或直接下線。
如圖4所示,為本發(fā)明實施例三的SSL VPN客戶端安全檢查方法流程圖,該實施例采用本地服務(wù)器、AD服務(wù)器、LDAP服務(wù)器或其它Radius服務(wù)器進行身份認證的模式,因為安全策略、策略代理服務(wù)器地址和安全/隔離ACL號均由CAMS服務(wù)器下發(fā),因此該模式在沒有CAMS服務(wù)器的情況下,就需要接入設(shè)備完成上述工作,該實施例具體包括以下步驟步驟S401,接入設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求??蛻舳送ㄟ^瀏覽器(IE)向接入設(shè)備發(fā)起登陸請求,并將用戶名、密碼等用戶信息發(fā)給接入設(shè)備,該接入設(shè)備將這些用戶信息轉(zhuǎn)發(fā)給認證服務(wù)器進行身份認證,其中,該接入設(shè)備可以是SSL VPN網(wǎng)關(guān)。
步驟S402,認證服務(wù)器根據(jù)上述用戶信息判斷該客戶端通過身份認證后,向客戶端回復(fù)通過認證的認證回應(yīng)信息。
步驟S403,客戶端通過瀏覽器從接入設(shè)備(SSL VPN網(wǎng)關(guān))自動下載安全檢查軟件進行安全檢查,例如ActiveX控件或Java Applet程序,然而如果該客戶端之前已經(jīng)下載過相應(yīng)的安全檢查軟件或在客戶端上已經(jīng)預(yù)安裝了該安全檢查軟件,則該客戶端就不需要從接入設(shè)備中再次下載。本發(fā)明實施例提出的安全檢查軟件即使通過瀏覽器下載,由于該安全檢查軟件的大小不到1M,因此不會影響網(wǎng)絡(luò)的性能。
步驟S404,客戶端檢測步驟S402中認證服務(wù)器回復(fù)的認證回應(yīng)信息是否有策略服務(wù)器的地址信息??蛻舳嗽诎l(fā)現(xiàn)該認證回應(yīng)信息中沒有策略服務(wù)器的地址信息和端口后,則向接入設(shè)備發(fā)起安全檢查請求,接入設(shè)備代理客戶端向策略服務(wù)器請求安全檢查。
步驟S405,策略服務(wù)器收到安全檢查請求后從接入設(shè)備中取得安全策略,并根據(jù)該安全策略確定安全檢查項后將該安全檢查項通過接入設(shè)備下發(fā)給客戶端,并要求該客戶端根據(jù)該安全檢查項進行安全檢查。該客戶端按照安全檢查項進行了安全檢查后,將安全檢查結(jié)果返回給策略服務(wù)器,策略服務(wù)器根據(jù)安全檢查結(jié)果以預(yù)設(shè)的安全標(biāo)準判斷該客戶端是否通過了安全檢查。
步驟S406,策略代理服務(wù)器根據(jù)上報的安全檢查結(jié)果判斷該客戶端是否通過安全檢查,并將檢查結(jié)果通知接入設(shè)備。
步驟S407,如果該客戶端的安全檢查未通過,則接入設(shè)備對該客戶端引用隔離訪問控制表ACL,該隔離ACL只能允許用戶訪問隔離區(qū)內(nèi)的幾個必要的軟件升級服務(wù)器,例如防病毒服務(wù)器、補丁服務(wù)器等。并且由接入設(shè)備將隔離ACL翻譯成對應(yīng)的隔離區(qū)IP資源,提示客戶端可通過啟動Ip Proxy(IP代理)進入隔離區(qū),此時客戶端啟動IP Proxy不能訪問正常的IP網(wǎng)絡(luò)資源,只能訪問隔離區(qū)的服務(wù)器資源,或者接入設(shè)備提示客戶端進入隔離區(qū)進行安全升級或直接下線。
步驟S408,如果客戶端通過安全檢查,則接入設(shè)備針對客戶端引用安全訪問控制表ACL。接入設(shè)備允許客戶端訪問其擁有的資源,其中,因為接入設(shè)備此時已經(jīng)對訪問權(quán)限進行了限制,因此該安全ACL可以使用許可IP。
步驟S409,在通過安全檢查的客戶端在線過程中,接入設(shè)備定期要求客戶端進行安全檢查,如果客戶端未通過定期的安全檢查,則通知該客戶端進行安全升級或下線。這樣就能夠隨時了解該客戶端安全狀態(tài)的變化,在該客戶端不能滿足安全標(biāo)準的要求,不能通過安全檢查后,對該客戶端進行隔離限制,提示其進行安全升級或直接下線。
本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,通過策略服務(wù)器對客戶端進行安全狀態(tài)檢測,使得只有符合安全標(biāo)準通過安全檢查的客戶端才能夠被允許正常接入,未通過安全檢查的客戶端只能訪問隔離區(qū)內(nèi)的服務(wù)器資源,并通知未通過安全檢查的客戶端利用隔離區(qū)內(nèi)的服務(wù)器資源進行安全升級。本發(fā)明實施例還可以在客戶端通過了安全檢查接入網(wǎng)絡(luò)后,繼續(xù)對該客戶端進行監(jiān)控,一旦發(fā)現(xiàn)該客戶端存在安全隱患立刻通知該客戶端進行安全升級或下線。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。
權(quán)利要求
1.一種SSL VPN客戶端安全檢查方法,其特征在于,包括以下步驟接入設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求;在所述認證服務(wù)器確認所述客戶端通過身份認證之后,所述接入設(shè)備將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,并通知所述客戶端根據(jù)所述安全檢查項進行安全檢查;判斷所述客戶端是否通過所述安全檢查;如果所述客戶端未通過所述安全檢查,則所述接入設(shè)備針對所述客戶端引用隔離訪問控制表ACL。
2.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法,其特征在于,在判斷所述客戶端是否通過所述安全檢查之后,還包括以下步驟如果所述客戶端通過所述安全檢查,則所述接入設(shè)備針對所述客戶端引用安全ACL。
3.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法,其特征在于,所述認證服務(wù)器具體為綜合訪問管理CAMS服務(wù)器,在所述CAMS服務(wù)器確認所述客戶端通過身份認證之后,還包括以下步驟所述CAMS服務(wù)器將所述策略服務(wù)器地址信息發(fā)送給所述客戶端;所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請求。
4.如權(quán)利要求3所述SSL VPN客戶端安全檢查方法,其特征在于,在所述客戶端根據(jù)接收的所述地址信息向所述策略服務(wù)器發(fā)起安全檢查請求之后,還包括以下步驟所述策略服務(wù)器從所述CAMS服務(wù)器中獲取安全策略;根據(jù)所述安全策略確定所述客戶端的安全檢查項,并下發(fā)給所述接入設(shè)備。
5.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法,其特征在于,在所述認證服務(wù)器確認所述客戶端通過身份認證之后,還包括以下步驟所述認證服務(wù)器向所述客戶端發(fā)送身份認證回應(yīng)信息;所述客戶端判斷所述身份認證回應(yīng)信息中是否有策略服務(wù)器的地址信息;如果沒有所述策略服務(wù)器的地址信息,則向所述接入設(shè)備發(fā)起安全檢查請求。
6.如權(quán)利要求5所述SSL VPN客戶端安全檢查方法,其特征在于,在所述客戶端向所述接入設(shè)備發(fā)起安全檢查請求之后,還包括以下步驟所述接入設(shè)備代理所述客戶端向策略服務(wù)器發(fā)起安全檢查請求;所述策略服務(wù)器從所述接入設(shè)備中獲取安全策略;根據(jù)所述安全策略確定所述安全檢查項,并下發(fā)給所述接入設(shè)備。
7.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法,其特征在于,在所述接入設(shè)備針對所述客戶端引用隔離ACL之后還包括以下步驟提示所述客戶端進行安全升級或下線。
8.如權(quán)利要求2所述SSL VPN客戶端安全檢查方法,其特征在于,在所述接入設(shè)備針對所述客戶端引用安全ACL之后,還包括以下步驟在所述客戶端在線過程中,定期要求所述客戶端進行安全檢查;如果所述客戶端未通過所述定期的安全檢查,則通知所述客戶端進行安全升級或下線。
9.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法,其特征在于,在所述接入設(shè)備針對所述客戶端引用隔離ACL之后,還包括以下步驟所述接入設(shè)備將所述隔離ACL轉(zhuǎn)換成對應(yīng)的隔離區(qū)IP資源。
10.如權(quán)利要求1所述SSL VPN客戶端安全檢查方法,其特征在于,在所述判斷客戶端是否通過所述安全檢查之前,還包括以下步驟所述客戶端根據(jù)安全檢查項目進行安全檢查后將安全檢查結(jié)果發(fā)給所述策略服務(wù)器;所述策略服務(wù)器根據(jù)接收到的所述安全檢查結(jié)果判斷所述客戶端是否通過所述安全檢查,并通知所述接入設(shè)備。
11.一種接入設(shè)備,其特征在于,包括身份認證請求處理模塊,安全檢查項下發(fā)模塊,安全檢查判斷模塊和ACL控制模塊,所述身份認證請求處理模塊,用于向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求;所述安全檢查項下發(fā)模塊,用于在所述認證服務(wù)器確認所述客戶端通過身份認證之后,將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,通知所述客戶端根據(jù)所述安全檢查項進行安全檢查;所述安全檢查判斷模塊,用于判斷所述客戶端是否通過所述安全檢查;所述ACL控制模塊,用于在所述安全檢查判斷模塊判斷所述客戶端未通過所述安全檢查時,針對所述客戶端引用隔離訪問控制表ACL。
12.如權(quán)利要求11所述接入設(shè)備,其特征在于,所述ACL控制模塊進一步還用于在所述安全檢查判斷模塊判斷所述客戶端通過所述安全檢查時,針對所述客戶端引用安全ACL。
13.如權(quán)利要求11所述接入設(shè)備,其特征在于,還包括配置信息保存模塊,用于保存策略服務(wù)器地址信息、安全策略和安全、隔離ACL號。
14.如權(quán)利要求13所述接入設(shè)備,其特征在于,還包括客戶端代理模塊,用于在收到所述客戶端的安全檢查請求后,代理所述客戶端向所述策略服務(wù)器請求安全檢查。
15.如權(quán)利要求12或14所述接入設(shè)備,其特征在于,還包括定期通知模塊,用于在所述安全檢查判斷模塊判斷所述客戶端通過安全檢查后,定期通知所述客戶端進行安全檢查。
16.如權(quán)利要求15所述接入設(shè)備,其特征在于,還包括提示模塊,用于在所述安全檢查判斷模塊判斷所述客戶端未通過安全檢查后,提示所述客戶端進行安全升級或下線。
17.如權(quán)利要求11所述接入設(shè)備,其特征在于,所述ACL控制模塊還包括ACL轉(zhuǎn)換子模塊,用于將所述隔離ACL轉(zhuǎn)換成對應(yīng)的隔離區(qū)IP資源。
18.一種SSL VPN客戶端安全檢查系統(tǒng),其特征在于,包括客戶端、接入設(shè)備、認證服務(wù)器和策略服務(wù)器,所述客戶端,用于通過所述接入設(shè)備向所述認證服務(wù)器發(fā)起身份認證請求;所述認證服務(wù)器,用于驗證所述客戶端是否通過身份認證,并通知所述接入設(shè)備;所述接入設(shè)備,用于在所述認證服務(wù)器確認所述客戶端通過身份認證之后,將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,通知所述客戶端根據(jù)所述安全檢查項進行安全檢查,并在所述客戶端未通過安全檢查后針對所述客戶端引用隔離訪問控制表ACL;所述策略服務(wù)器,用于根據(jù)安全策略確定所述客戶端的安全檢查項,并將所述安全檢查項下發(fā)給所述接入設(shè)備。
19.如權(quán)利要求18所述SSL VPN客戶端安全檢查系統(tǒng),其特征在于,還包括防病毒服務(wù)器和/或補丁服務(wù)器,用于在所述客戶端未通過安全檢查后,供所述客戶端進行安全升級。
全文摘要
本發(fā)明公開了一種SSL VPN客戶端安全檢查方法,包括以下步驟接入設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)客戶端的身份認證請求;在所述認證服務(wù)器確認所述客戶端通過身份認證之后,所述接入設(shè)備將從策略服務(wù)器中接收的安全檢查項下發(fā)給所述客戶端,并通知所述客戶端根據(jù)所述安全檢查項進行安全檢查;判斷所述客戶端是否通過所述安全檢查;如果所述客戶端未通過所述安全檢查,則所述接入設(shè)備針對所述客戶端引用隔離訪問控制表ACL。本發(fā)明實施例實現(xiàn)了通過策略服務(wù)器對客戶端進行安全狀態(tài)檢測,使得只有符合安全標(biāo)準通過安全檢查的客戶端才能夠被允許正常接入網(wǎng)絡(luò)。
文檔編號H04L12/46GK101072108SQ20071013024
公開日2007年11月14日 申請日期2007年7月17日 優(yōu)先權(quán)日2007年7月17日
發(fā)明者李紅霞, 李丹 申請人:杭州華三通信技術(shù)有限公司