本申请涉及通信,尤其涉及一种访问控制方法及装置。
背景技术:
1、随着云计算、物联网、移动办公等互联网技术的兴起,企业资源已不再局限于企业内部,企业员工随时随地接入企业内网的需求越来越普遍,传统的网络防护边界变得越来越模糊,传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题,提供了一种软件定义边界(software defined perimeter,sdp)零信任功能,该功能中,网络设备作为sdp网关与sdp控制器联动,对访问指定应用或api的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。
2、在基于零信任功能进行安全检查时,采用的是静态的合规检查,即,控制器在对用户终端上线成功后,控制器会向用户终端下发安全检查策略,例如,安全检测策略为固定的ip流量阈值、固定的tcp/udp连接个数。这样,用户终端在接收到该安全检查策略后,基于该安全检查策略进行安全检查,并将检查结果发送给控制器。控制器根据接收到的安全检查结果进行综合评分,并根据综合评分结果对用户终端进行风险评估和访问权限的调整;控制器将调整后的访问权限下发给网关设备,以便于网关设备根据调整后的访问权限对用户终端后续进行的应用的访问进行访问控制。
3、上述安全检查方案中,仅进行了用户终端侧的静态的安全检查,即,仅针对用户终端访问应用的业务流量的静态的流量速率或tcp/udp连接个数进行风险评估,但不能对用户访问应用的业务流量进行动态的监控,以及对应用层流量进行检测,导致无法对应用的异常访问进行及时的风险处理。
技术实现思路
1、有鉴于此,本申请提供一种访问控制方法及装置,用以实现对访问应用的业务流量的动态监控,达到应用层流量及时检测的目的。
2、具体地,本申请是通过如下技术方案实现的:
3、根据本申请的第一方面,提供一种访问控制方法,应用于零信任网络中的网关设备中,所述方法,包括:
4、接收用户设备发送的访问应用的业务流量;
5、将所述业务流量的源ip地址与可信ip地址列表进行匹配;
6、当未匹配成功时,将所述业务流量与所述零信任网络中控制器最近下发的所述应用的第一流量阈值进行比对,所述第一流量阈值为当前流量周期内符合正常访问所述应用的阈值;所述第一流量阈值为所述控制器在所述当前流量周期内对所述网关设备按照设定时间间隔统计并上报的访问所述应用的第一流量数据进行流量分析得到的;
7、当所述业务流量高于所述第一流量阈值,则阻断所述用户设备访问所述应用的业务流量;
8、当所述业务流量不高于所述第一流量阈值,则转发所述业务流量。
9、根据本申请的第二方面,提供另一种访问控制方法,应用于零信任网络中的控制器中,所述方法,包括:
10、接收网关设备上报的流量数据,所述流量数据为所述网络设备按照设定时间间隔对用户设备访问应用的业务流量进行统计得到的;
11、对属于当前流量周期内的流量数据进行流量分析处理,得到流量阈值;
12、将所述流量阈值发送给所述零信任网络中的网关设备,以使得所述网关设备根据所述流量阈值对所述用户设备后续访问所述应用的业务流量进行访问控制。
13、根据本申请的第三方面,提供一种访问控制装置,应用于零信任网络中的网关设备中,所述装置,包括:
14、接收单元,用于接收用户设备发送的访问应用的业务流量;
15、匹配单元,用于将所述业务流量的源ip地址与可信ip地址列表进行匹配;
16、比对单元,用于当所述匹配单元未匹配成功时,将所述业务流量与所述零信任网络中控制器最近下发的所述应用的第一流量阈值进行比对,所述第一流量阈值为当前流量周期内符合正常访问所述应用的阈值;所述第一流量阈值为所述控制器在所述当前流量周期内对所述网关设备按照设定时间间隔统计并上报的访问所述应用的第一流量数据进行流量分析得到的;
17、控制单元,用于当所述比对单元的比对结果为所述业务流量高于所述第一流量阈值,则阻断所述用户设备访问所述应用的业务流量;当所述比对单元的比对结果为所述业务流量不高于所述第一流量阈值,则转发所述业务流量。
18、根据本申请的第四方面,提供另一种访问控制装置,应用于零信任网络中的控制器中,所述装置,包括:
19、接收单元,用于接收网关设备上报的流量数据,所述流量数据为所述网络设备按照设定时间间隔对用户设备访问应用的业务流量进行统计得到的;
20、流量分析单元,用于对属于当前流量周期内的流量数据进行流量分析处理,得到流量阈值;
21、发送单元,用于将所述流量阈值发送给所述零信任网络中的网关设备,以使得所述网关设备根据所述流量阈值对所述用户设备后续访问所述应用的业务流量进行访问控制。
22、根据本申请的第五方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面或第二方面所提供的方法。
23、根据本申请的第六方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面或第二方面所提供的方法。
24、本申请实施例的有益效果:
25、本申请实施例提供的访问控制方法及装置,接收用户设备发送的访问应用的业务流量;将所述业务流量的源ip地址与可信ip地址列表进行匹配;当未匹配成功时,将所述业务流量与所述零信任网络中控制器最近下发的所述应用的第一流量阈值进行比对,所述第一流量阈值为当前流量周期内符合正常访问所述应用的阈值;所述第一流量阈值为所述控制器在所述当前流量周期内对所述网关设备按照设定时间间隔统计并上报的访问所述应用的第一流量数据进行流量分析得到的;当所述业务流量高于所述第一流量阈值,则阻断所述用户设备访问所述应用的业务流量;当所述业务流量不高于所述第一流量阈值,则转发所述业务流量。由此,通过网关设备对访问应用的业务流量进行动态监控,并将监控到的流量数据反馈给控制器,由控制器基于该流量数据得到流量阈值,以用于网关设备后续的业务流量的监控,从而实现了对用户设备访问应用的业务流量的动态监控处理,结合网关设备自带的安全识别功能的基础上,在一定程度上达到了阻断ddos攻击产生的瞬时流量的目的。
1.一种访问控制方法,其特征在于,应用于零信任网络中的网关设备中,所述方法,包括:
2.根据权利要求1所述的方法,其特征在于,还包括:
3.根据权利要求1所述的方法,其特征在于,当所述业务流量高于所述第一流量阈值,则阻断所述用户设备访问所述应用的业务流量,包括:
4.根据权利要求1或3所述的方法,其特征在于,在当所述业务流量不高于所述第一流量阈值,则转发所述业务流量之后,还包括:
5.根据权利要求1或3所述的方法,其特征在于,在阻断所述用户设备访问所述应用的业务流量之后,还包括:
6.一种访问控制方法,其特征在于,应用于零信任网络中的控制器中,所述方法,包括:
7.根据权利要求6所述的方法,其特征在于,在接收网关设备上报的流量数据之前,还包括:
8.根据权利要求6所述的方法,其特征在于,还包括:
9.一种访问控制装置,其特征在于,应用于零信任网络中的网关设备中,所述装置,包括:
10.一种访问控制装置,其特征在于,应用于零信任网络中的控制器中,所述装置,包括:
