專(zhuān)利名稱(chēng):不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及防火墻領(lǐng)域���,特別涉及一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法�。
背景技術(shù):
當(dāng)使用EZVPN (esay Virtual Private Network,簡(jiǎn)易虛擬專(zhuān)用網(wǎng)絡(luò))進(jìn)行PC客戶(hù)端與網(wǎng)絡(luò)設(shè)備進(jìn)行連接時(shí)����,網(wǎng)絡(luò)設(shè)備可以為帶IPSEC (Internet Protocol Security),協(xié)議安全性)功能的防火墻,對(duì)用戶(hù)的管理無(wú)法達(dá)到動(dòng)態(tài)權(quán)限控制���,只能通過(guò)路由設(shè)置指定IP地址進(jìn)行訪問(wèn)控制��,簡(jiǎn)單可行��,但如果有大量的EZVPN接入需求�,不但在管理上,在安全上也存在一定的隱患���,例如�,使用EZVPN接入后�����,EZVPN用戶(hù)通過(guò)用戶(hù)名密碼驗(yàn)證獲取一個(gè)防火墻分配給用戶(hù)的私有IP地址用來(lái)訪問(wèn)私網(wǎng)設(shè)備��,此時(shí)如果在防火墻上只簡(jiǎn)單的使用IP地址訪問(wèn)控制權(quán)限��,就會(huì)出現(xiàn)安全漏洞��,如果一個(gè)人沒(méi)有通過(guò)xauth (擴(kuò)展驗(yàn)證)的用戶(hù)名密碼認(rèn)證����,只進(jìn)行了 IPSEC隧道的建立,然后通過(guò)此IPSEC隧道����,封裝一個(gè)自己指定的私有IP地址,如果這個(gè)私有IP地址與防火墻上高級(jí)別的私有IP地址相同�,那么此時(shí)這個(gè)人就變相的獲得了高訪問(wèn)權(quán)限,就造成了安全漏洞���。
發(fā)明內(nèi)容
(一)解決的技術(shù)問(wèn)題本發(fā)明解決的技術(shù)問(wèn)題是如何針對(duì)不同用戶(hù)劃分不同訪問(wèn)權(quán)限�����。(二)技術(shù)方案本發(fā)明提出了一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法�,所述方法包括:S1:為不同用戶(hù)設(shè)置不同權(quán)限域,并將xauth認(rèn)證的用戶(hù)名與用戶(hù)權(quán)限進(jìn)行綁定��;S2:當(dāng)用戶(hù)使用外網(wǎng)IP與防火墻IP建立IPSEC隧道時(shí)��,防火墻通過(guò)xauth認(rèn)證判斷所述用戶(hù)權(quán)限��,并將所述用戶(hù)權(quán)限標(biāo)記在所述IPSEC隧道上��;S3:當(dāng)所述用戶(hù)通過(guò)所述IPSEC隧道發(fā)送報(bào)文時(shí)�,防火墻對(duì)所述報(bào)文進(jìn)行解密����;若解密報(bào)文的目的地址在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi),則將所述解密報(bào)文進(jìn)行轉(zhuǎn)發(fā)��;若所述解密報(bào)文的目的地址不在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi)�,則將所述解密報(bào)文丟棄。優(yōu)選地�,步驟SI中具體為:根據(jù)所述不同用戶(hù)的用戶(hù)名設(shè)置不同權(quán)限域����。優(yōu)選地�,設(shè)置權(quán)限域的方法為:設(shè)置訪問(wèn)IP地址。優(yōu)選地����,設(shè)置權(quán)限域的方法為:設(shè)置指定IP地址的指定協(xié)議或指定IP地址的端口號(hào)。優(yōu)選地�����,設(shè)置權(quán)限域的方法為:設(shè)置禁止指定IP地址�、禁止指定IP地址的指定協(xié)議或禁止指定IP地址的端口號(hào)。優(yōu)選地�����,步驟S2還包括防火墻為所述用戶(hù)配置私網(wǎng)地址���。(三)有益效果
本發(fā)明通過(guò)提供一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法���,通過(guò)將訪問(wèn)權(quán)限標(biāo)記在建立的IPSEC隧道上,當(dāng)有用戶(hù)通過(guò)IPSEC隧道訪問(wèn)私網(wǎng)��,都會(huì)根據(jù)解密的IPSEC隧道先進(jìn)行權(quán)限判斷,再根據(jù)權(quán)限配置判斷是否解密后的報(bào)文訪問(wèn)的是有權(quán)限的地址�����,并根據(jù)權(quán)限來(lái)丟棄解密報(bào)文或轉(zhuǎn)發(fā)解密報(bào)文���。使得不同用戶(hù)根據(jù)自身權(quán)限訪問(wèn)私網(wǎng)��。
圖1是本發(fā)明的方法流程圖����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述。本發(fā)明提出了一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法�,將用戶(hù)權(quán)限與xauth認(rèn)證的用戶(hù)名進(jìn)行綁定,當(dāng)用戶(hù)訪問(wèn)私網(wǎng)時(shí)動(dòng)態(tài)的將訪問(wèn)權(quán)限標(biāo)記到動(dòng)態(tài)生成的IPSEC隧道上�����,用戶(hù)通過(guò)ipsec隧道訪問(wèn)私網(wǎng)����,都會(huì)根據(jù)解密的IPSEC隧道先進(jìn)行權(quán)限判斷�,再根據(jù)權(quán)限配置判斷解密報(bào)文訪問(wèn)的地址是否為權(quán)限地址�����,并根據(jù)權(quán)限來(lái)丟棄解密報(bào)文或轉(zhuǎn)發(fā)解密報(bào)文���,如圖1所示�����,所述方法包括:S1:為不同用戶(hù)設(shè)置不同權(quán)限域���,并將xauth認(rèn)證的用戶(hù)名與用戶(hù)權(quán)限進(jìn)行綁定;如:董事長(zhǎng)域(權(quán)限I):用戶(hù)名a密碼a用戶(hù)名b密碼b財(cái)務(wù)域(權(quán)限2):用戶(hù)名c密碼c用戶(hù)名d密碼d研發(fā)域(權(quán)限3):用戶(hù)名e密碼e用戶(hù)名f密碼f為董事長(zhǎng)級(jí)別的用戶(hù)設(shè)置為董事長(zhǎng)域���,具有董事長(zhǎng)域權(quán)限的用戶(hù)可以訪問(wèn)所有設(shè)備�����;為財(cái)務(wù)部門(mén)的用戶(hù)設(shè)置為財(cái)務(wù)域��,具有財(cái)務(wù)域的用戶(hù)只能訪問(wèn)財(cái)務(wù)服務(wù)器IP為1.1.1.111 ;為研發(fā)部的用戶(hù)設(shè)置為研發(fā)域��,具有研發(fā)域的用戶(hù)只能訪問(wèn)研發(fā)服務(wù)器IP為
1.1.1.112,等等,依次類(lèi)推���。用戶(hù)名均經(jīng)過(guò)xauth認(rèn)證,將經(jīng)過(guò)xauth認(rèn)證過(guò)的用戶(hù)名與用戶(hù)名對(duì)應(yīng)的用戶(hù)權(quán)限進(jìn)行綁定���。步驟SI中具體為:根據(jù)所述不同用戶(hù)的用戶(hù)名設(shè)置不同權(quán)限域;設(shè)置權(quán)限域的方法為:為不同用戶(hù)設(shè)置可以訪問(wèn)的IP地址��;設(shè)置權(quán)限域的方法為:為不同用戶(hù)設(shè)置指定IP地址的指定協(xié)議或指定IP地址的
端口號(hào)��;設(shè)置權(quán)限域的方法為:設(shè)置禁止指定IP地址����、禁止指定IP地址的指定協(xié)議或禁止指定IP地址的端口號(hào)。例如���,為研發(fā)域設(shè)置禁止訪問(wèn)財(cái)務(wù)服務(wù)器端口 UDP協(xié)議類(lèi)型的235端口,但可以設(shè)置準(zhǔn)許訪問(wèn)財(cái)務(wù)服務(wù)器的視頻播放端口 TCP協(xié)議的510端口����。S2:當(dāng)用戶(hù)使用外網(wǎng)IP與防火墻IP建立IPSEC隧道時(shí),防火墻通過(guò)xauth認(rèn)證判斷所述用戶(hù)權(quán)限��,并將所述用戶(hù)權(quán)限標(biāo)記在所述IPSEC隧道上�����;若用戶(hù)c通過(guò)外網(wǎng)IP為202.1.1.1通過(guò)EZVPN與防火墻外網(wǎng)IP為202.1.1.100進(jìn)行連接建立IPSEC隧道時(shí),防火墻為用戶(hù)C分配一個(gè)私網(wǎng)IP地址1.1.1.1�����,并判斷用戶(hù)c的用戶(hù)權(quán)限��,當(dāng)判斷出用戶(hù)c的用戶(hù)權(quán)限為財(cái)務(wù)域��,則將財(cái)務(wù)域標(biāo)記在建立的IPSEC隧道202.1.1.1-202.1.1.100 上�。S3:當(dāng)所述用戶(hù)通過(guò)所述IPSEC隧道向私網(wǎng)發(fā)送報(bào)文時(shí),防火墻找到對(duì)應(yīng)的IPSEC隧道202.1.1.1-202.1.1.100并對(duì)所述報(bào)文進(jìn)行解密���,并將解密的目的地址與IPSEC隧道標(biāo)記的所述用戶(hù)權(quán)限記錄的地址進(jìn)行對(duì)比���;若解密報(bào)文的目的地址在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi),則將所述解密報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����;若所述解密報(bào)文的目的地址不在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi)���,則將所述解密報(bào)文丟棄�。以上實(shí)施方式僅用于說(shuō)明本發(fā)明,而并非對(duì)本發(fā)明的限制��,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員���,在不脫離本發(fā)明的精神和范圍的情況下�,還可以做出各種變化和變型����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專(zhuān)利保護(hù)范圍應(yīng)由權(quán)利要求限定�����。
權(quán)利要求
1.一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法�,其特征在于,所述方法包括:51:為不同用戶(hù)設(shè)置不同權(quán)限域�,并將xauth認(rèn)證的用戶(hù)名與用戶(hù)權(quán)限進(jìn)行綁定; 52:當(dāng)用戶(hù)使用外網(wǎng)IP與防火墻IP建立IPSEC隧道時(shí)����,防火墻通過(guò)xauth認(rèn)證判斷所述用戶(hù)權(quán)限����,并將所述用戶(hù)權(quán)限標(biāo)記在所述IPSEC隧道上���;53:當(dāng)所述用戶(hù)通過(guò)所述IPSEC隧道發(fā)送報(bào)文時(shí),防火墻對(duì)所述報(bào)文進(jìn)行解密�����; 若解密報(bào)文的目的地址在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi)�����,則將所述解密報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����; 若所述解密報(bào)文的目的地址不在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi)��,則將所述解密報(bào)文丟棄��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟SI具體為:根據(jù)所述不同用戶(hù)的用戶(hù)名設(shè)置不同權(quán)限域�����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于���,設(shè)置權(quán)限域的方法為:設(shè)置訪問(wèn)IP地址��。
4.根據(jù)權(quán)利要求2所述的方法���,其特征在于,設(shè)置權(quán)限域的方法為:設(shè)置指定IP地址的指定協(xié)議或指定IP地址的端口號(hào)���。
5.根據(jù)權(quán)利要求2所述的方法��,其特征在于���,設(shè)置權(quán)限域的方法為:設(shè)置禁止指定IP地址、禁止指定IP地址的指定協(xié)議或禁止指定IP地址的端口號(hào)�����。
6.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,步驟S2還包括防火墻為所述用戶(hù)配置私網(wǎng)地址。
全文摘要
本發(fā)明提供一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法��,所述方法包括S1為不同用戶(hù)設(shè)置不同權(quán)限域�����,并將xauth認(rèn)證的用戶(hù)名與用戶(hù)權(quán)限進(jìn)行綁定���;S2當(dāng)用戶(hù)使用外網(wǎng)IP與防火墻IP建立IPSEC隧道時(shí)�,防火墻通過(guò)xauth認(rèn)證判斷所述用戶(hù)權(quán)限��,并將所述用戶(hù)權(quán)限標(biāo)記在所述IPSEC隧道上�����;S3當(dāng)所述用戶(hù)通過(guò)所述IPSEC隧道發(fā)送報(bào)文時(shí)���,防火墻對(duì)所述報(bào)文進(jìn)行解密�����;若解密報(bào)文的目的地址在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi)��,則將所述解密報(bào)文進(jìn)行轉(zhuǎn)發(fā)�;若所述解密報(bào)文的目的地址不在所述IPSEC隧道上標(biāo)記的所述用戶(hù)權(quán)限內(nèi),則將所述解密報(bào)文丟棄���。本發(fā)明通過(guò)提供一種不同用戶(hù)劃分不同訪問(wèn)權(quán)限的方法��,使得不同用戶(hù)根據(jù)自身權(quán)限訪問(wèn)私網(wǎng)���。
文檔編號(hào)H04L29/06GK103200188SQ201310090540
公開(kāi)日2013年7月10日 申請(qǐng)日期2013年3月19日 優(yōu)先權(quán)日2013年3月19日
發(fā)明者陳海濱 申請(qǐng)人:漢柏科技有限公司