本申请涉及互联网
技术领域:
:,特别是涉及一种网络访问控制方法、装置、计算机设备和存储介质。
背景技术:
::随着互联网对人们的生活影响日益加深,对于企业来说,对内部联网设备进行访问控制也变得越来越重要,出现了很多路由器用于控制内部联网设备的网络访问。而目前用于控制不同设备访问网络的路由器只能针对单个设备做出简单的控制,以tp-link商用路由器为例,虽然可以设置网站过滤,从而实现禁止所有使用该网络的用户访问某些网站,比如访问购物网站,导致一部分因工作内容不同,需要访问被禁止的网站时,无法使用该网络进行访问。因此,目前进行网络访问控制的方法定制化程度低。技术实现要素:基于此,有必要针对上述技术问题,提供一种能够提高定制化程度的网络访问控制方法、装置、计算机设备和存储介质。一种网络访问控制方法,所述方法包括:当接收到终端访问目标网站的访问请求时,获取所述访问请求中携带的终端标识;根据所述终端标识,获取与所述终端标识关联的员工标识;根据所述员工的员工标识,获取与所述员工标识关联的网络访问等级;根据所述网络访问等级,匹配对应的访问控制策略,所述访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;将所述访问请求转发到含有所述访问控制策略对应的v2ray监听端口上,使员工访问符合所述网络访问等级的指定网站。在其中一个实施例中,所述方法还包括:实时向员工管理系统获取员工的员工标识、网络访问等级和使用的终端标识,更新员工当前的员工标识、网络访问等级和使用的终端标识。在其中一个实施例中,所述v2ray路由规则的配置方式为:根据各员工的工作内容,确定各所述员工允许访问的网站或不允许访问的网站;根据各所述员工允许访问的网站或不允许访问的网站,按照允许访问的网站相同的员工为一类进行分类,确定员工网站访问类型;根据所述员工网站访问类型对应允许访问的网站或不允许访问的网站,确定对应的网络访问等级;基于v2ray组件定义所述网络访问等级对应的v2ray监听端口;根据所述网络访问等级对应允许访问的网站或不允许访问的网站,设置所述v2ray监听端口的路由规则,对各所述员工访问不同网站的上网控制。在其中一个实施例中,所述根据所述网络访问等级对应允许访问的网站或不允许访问的网站,设置所述v2ray监听端口的路由规则,对各所述员工访问不同网站的上网控制的步骤,包括:根据所述网络访问等级对应允许访问的网站,将允许访问的网站加入到所述v2ray监听端口的白名单中,使所述v2ray监听端口对白名单中的网站进行监控,当监控到访问不是白名单中的网站时,阻止访问;根据所述网络访问等级对应不允许访问的网站,将所述不允许访问的网站加入到所述v2ray监听端口的黑名单中,使所述v2ray监听端口对所述黑名单中的网站进行监控,当监控到访问是黑名单中的网站时,阻止访问。在其中一个实施例中,所述方法还包括:当未获取到与所述终端标识关联的员工标识,或未获取到与所述员工标识关联的网络访问等级时,将所述访问请求转发到默认的v2ray监听端口,通过所述v2ray监听端口阻止所述访问请求访问所述目标网站。一种网络访问控制装置,所述装置包括:请求接收模块,用于当接收到终端访问目标网站的访问请求时,获取所述访问请求中携带的终端标识;员工匹配模块,用于根据所述终端标识,获取与所述终端标识关联的员工标识;网络访问等级获取模块,用于根据所述员工的员工标识,获取与所述员工标识关联的网络访问等级;匹配模块,用于根据所述网络访问等级,匹配对应的访问控制策略,所述访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;网络访问控制模块,用于将所述访问请求转发到含有所述访问控制策略对应的v2ray监听端口上,使员工访问符合所述网络访问等级的指定网站。一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现所述方法的步骤。一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的方法的步骤。上述网络访问控制方法、装置、计算机设备和存储介质,通过当接收到终端访问目标网站的访问请求时,获取所述访问请求中携带的终端标识;根据所述终端标识,获取与所述终端标识关联的员工标识;根据所述员工的员工标识,获取与所述员工标识关联的网络访问等级;根据所述网络访问等级,匹配对应的访问控制策略,所述访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;将所述访问请求转发到含有所述访问控制策略对应的v2ray监听端口上,使员工访问符合所述网络访问等级的指定网站,利用将访问请求转发到基于v2ray的实现的访问控制,实现对于指定设备的访问控制,提高定制化程度。附图说明图1为一个实施例中网络访问控制方法的流程示意图;图2为另一个实施例中网络访问控制方法的流程示意图;图3为一个实施例中网络访问控制装置的结构框图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。本申请提供的网络访问控制方法,可以应用于小型企业网络访问控制的环境中。其中,以openwrt开源路由器为主体,openwrt开源路由器可以由一台双网口的计算机实现,在双网口的计算机中下载并安装openwrt开源路由器操作系统,启动openwrt开源路由器操作系统,并安装v2ray组件,配置v2ray路由规则,openwrt开源路由器通过网络访问控制方法实现对openwrt开源路由器下的所有上网设备进行网络访问控制,其中,openwrt是适合于嵌入式设备的一个linux发行版,提供了一个可添加软件包的可写的文件系统,是一款可定制化程度较高的路由器系统;v2ray是一个流量代理分发软件,并发支持多个入站和出站协议,每个协议可独立工作,入站流量可按配置由不同的出口发出,轻松实现按区域或按域名分流,以达到最优的网络性能。当openwrt开源路由器的流量转发程序接收到终端访问目标网站的访问请求时,获取访问请求中携带的终端标识;openwrt开源路由器的流量转发程序根据终端标识,获取与终端标识关联的员工标识;openwrt开源路由器的流量转发程序根据员工标识,获取与员工标识关联的网络访问等级;openwrt开源路由器的流量转发程序根据网络访问等级,匹配对应的访问控制策略,访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;openwrt开源路由器的流量转发程序将访问请求转发到含有访问控制策略对应的v2ray监听端口上,使员工访问符合网络访问等级的指定网站。在一个实施例中,如图1所示,提供了一种网络访问控制方法,以openwrt开源路由器为执行主体,包括以下步骤:步骤s220,当接收到终端访问目标网站的访问请求时,获取访问请求中携带的终端标识。其中,该终端是在openwrt开源路由器的局域网下的终端。目标网站指访问请求访问的网站,终端标识是用于识别该终端的信息,如ip地址、终端识别码等。步骤s240,根据终端标识,获取与终端标识关联的员工标识。其中,员工的员工标识、网络访问等级和使用的终端标识。通过终端标识可以在数据库中对应搜索到员工的员工标识。在一个实施例中,该网络访问控制方法还包括:实时向员工管理系统获取员工的员工标识、网络访问等级和使用的终端标识,更新员工当前的员工标识、网络访问等级和使用的终端标识。其中,企业的网络管理工作人员通过员工管理系统编辑员工的员工标识,网络访问等级和使用的终端标识,或更新员工的员工标识,网络访问等级和使用的终端标识,openwrt开源路由器实时与员工管理系统进行数据交互,获取到当前员工的员工标识,网络访问等级和使用的终端标识,当有访问请求时,可以准确的对员工的网络访问进行控制。步骤s260,根据员工标识,获取与员工标识关联的网络访问等级。其中,网络访问等级与员工标识相关联,确定了员工标识后,即可根据员工标识获取到关联的网络访问等级。步骤s280,根据网络访问等级,匹配对应的访问控制策略,访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则。其中,不同的网络访问等级,对应了不同的访问控制策略,通过网络访问等级与访问控制策略的对应关系,匹配到对应的访问控制策略。在一个实施例中,v2ray路由规则的配置方式为:根据各员工的工作内容,确定各员工允许访问的网站或不允许访问的网站;根据各员工允许访问的网站或不允许访问的网站,按照允许访问的网站相同的员工为一类进行分类,确定员工网站访问类型;根据员工网站访问类型对应允许访问的网站或不允许访问的网站,确定对应的网络访问等级;基于v2ray组件定义网络访问等级对应的v2ray监听端口;根据网络访问等级对应允许访问的网站或不允许访问的网站,设置v2ray监听端口的路由规则,对各员工访问不同网站的上网控制。在一个实施例中,根据网络访问等级对应允许访问的网站或不允许访问的网站,设置v2ray监听端口的路由规则,对各员工访问不同网站的上网控制的步骤,包括:根据网络访问等级对应允许访问的网站,将允许访问的网站加入到v2ray监听端口的白名单中,使v2ray监听端口对白名单中的网站进行监控,当监控到访问不是白名单中的网站时,阻止访问;根据网络访问等级对应不允许访问的网站,将不允许访问的网站加入到v2ray监听端口的黑名单中,使v2ray监听端口对黑名单中的网站进行监控,当监控到访问是黑名单中的网站时,阻止访问。步骤s300,将访问请求转发到含有访问控制策略对应的v2ray监听端口上,使员工访问符合网络访问等级的指定网站。其中,v2ray监听端口中制定了对应的黑名单或白名单,如果v2ray监听端口制定的是黑名单,则v2ray监听端口通过判断该访问请求访问的目标网站是否为黑名单中的网站,是黑名单中的网站,则阻止访问,不是,则允许访问;如果v2ray监听端口制定的是白名单,则v2ray监听端口通过判断该访问请求访问的目标网站是否为白名单中的网站,是白名单中的网站,则允许访问,不是,则阻止访问。上述网络访问控制方法,通过当接收到终端访问目标网站的访问请求时,获取访问请求中携带的终端标识;根据终端标识,确定使用终端的员工;根据员工的员工标识,获取与员工标识关联的网络访问等级;根据网络访问等级,匹配对应的访问控制策略,访问控制策略是基于v2ray组件预先配置的v2ray路由规则;将访问请求转发到含有访问控制策略对应的v2ray监听端口上,使员工访问符合网络访问等级的指定网站,利用将访问请求转发到基于v2ray的实现的访问控制,实现对于指定设备的访问控制,提高定制化程度。在一个实施例中,该网络访问控制方法还包括:当未获取到与终端标识关联的员工标识,或未获取到与员工标识关联的网络访问等级时,将访问请求转发到默认的v2ray监听端口,通过v2ray监听端口阻止访问请求访问目标网站。其中,默认的v2ray监听端口禁止所有网站的请求访问。为更清楚的描述本申请,以应用于小型企业组网建设,需要对员工上网行为做出精细控制,并且与员工管理系统相集成的场景,提供了一种网络访问控制方法的实施例,步骤如下:在执行网络访问控制方法之前,预先搭建openwrt开源路由器,具体步骤如下:步骤一:采用一台双网口的计算机,下载并安装openwrt开源路由器操作系统。步骤二:启动openwrt开源路由器操作系统,安装v2ray组件,配置v2ray路由规则,完成openwrt开源路由器的搭建。配置v2ray路由规则举例:定义一个v2ray监听端口,如:10011,然后针对该流入该v2ray监听端口的流量(即通过该v2ray监听端口的访问请求)定义一个路由规则,该路由规则定义了从10011v2ray监听端口流入的流量只可以访问网站examplea.com,其他网站禁止访问。这样便有了一条访问控制策略,假定该策略名称为level1。可以根据需要设置更多的访问控制策略,比如设置level2的v2ray监听端口10012,路由规则为exampleb.com,这样便有了一条只可以访问exampleb.com的访问控制策略,可已根据需要定制更多的访问控制策略,上述示例中只配置了一个网站,也可以根据需要配置同时可以访问网站examplea.com和exampleb.com,而其他网站禁止访问。如图2所示,执行网络访问控制方法:利用流量转发程序(流量转发程序是openwrt开源路由器操作系统中的控制程序,是基于iptables实现,通过从企业员工管理系统获取到员工联网设备的ip和权限信息,配置openwrt路由器的iptables实现流量转发)转发流量(即处于openwrt开源路由器的局域网下的终端发送的访问请求),假设员工a的计算机ip地址为192.168.0.101,根据该计算机ip地址确定的网络访问等级只可以访问网站examplea.com,则将该计算机ip地址的流量全部转发到10011,从而实现了员工a只可以访问网站examplea.com;假设员工b的计算机ip地址为192.168.0.102,根据该计算机ip地址确定的网络访问等级只可以访问网站exampleb.com,则将该计算机ip地址的流量全部转发到10012,从而实现了员工b只可以访问网站exampleb.com。流量转发程序实时向员工管理系统获取员工上网权限(员工上网权限包括员工的员工标识、网络访问等级和使用的终端标识),更新员工当前的员工标识、网络访问等级、使用的终端标识以及上网状态。流量转发程序还根据流入的流量确定员工的上网状态,将员工的上网状态报告给员工管理系统,使员工管理系统可以进一步对员工的上网行为的分析,如比如那一台计算机访问上了什么网站,下载了什么文件;以及网络故障原因等分析。上述网络访问控制方法,主要以openwrt开源路由器系统为基础,使用v2ray组件实现针对网站的访问控制策略,从企业员工管理系统读取员工的终端ip地址和上网权限信息,结合iptables将流量转发到基于v2ray组件实现的不同访问控制策略,实现针对设备上网的精细控制,且低成本高度可定制化的小型企业网络访问控制;进一步地,针对员工上网权限的控制,并且与企业的员工管理系统集成,实现了员工上网与员工管理系统的集成,解决了商用路由器无法高度定制和集成的缺点。应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。在一个实施例中,如图3所示,提供了一种网络访问控制装置,包括:请求接收模块410、员工匹配模块420、网络访问等级获取模块430、匹配模块440和网络访问控制模块450。请求接收模块410,用于当接收到终端访问目标网站的访问请求时,获取访问请求中携带的终端标识。员工匹配模块420,用于根据终端标识,获取与终端标识关联的员工标识。网络访问等级获取模块430,用于根据员工的员工标识,获取与员工标识关联的网络访问等级。匹配模块440,用于根据网络访问等级,匹配对应的访问控制策略,访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则。网络访问控制模块450,用于将访问请求转发到含有访问控制策略对应的v2ray监听端口上,使员工访问符合网络访问等级的指定网站。在一个实施例中,网络访问控制装置还包括信息获取模块:用于实时向员工管理系统获取员工的员工标识、网络访问等级和使用的终端标识,更新员工当前的员工标识、网络访问等级和使用的终端标识。在一个实施例中,网络访问控制装置还包括规则配置模块:用于根据各员工的工作内容,确定各员工允许访问的网站或不允许访问的网站;根据各员工允许访问的网站或不允许访问的网站,按照允许访问的网站相同的员工为一类进行分类,确定员工网站访问类型;根据员工网站访问类型对应允许访问的网站或不允许访问的网站,确定对应的网络访问等级;基于v2ray组件定义网络访问等级对应的v2ray监听端口;根据网络访问等级对应允许访问的网站或不允许访问的网站,设置v2ray监听端口的路由规则,对各员工访问不同网站的上网控制。在一个实施例中,规则配置模块还用于:根据网络访问等级对应允许访问的网站,将允许访问的网站加入到v2ray监听端口的白名单中,使v2ray监听端口对白名单中的网站进行监控,当监控到访问不是白名单中的网站时,阻止访问;根据网络访问等级对应不允许访问的网站,将不允许访问的网站加入到v2ray监听端口的黑名单中,使v2ray监听端口对黑名单中的网站进行监控,当监控到访问是黑名单中的网站时,阻止访问。在一个实施例中,网络访问控制模块还用于:当未获取到与终端标识关联的员工标识,或未获取到与员工标识关联的网络访问等级时,将访问请求转发到默认的v2ray监听端口,通过v2ray监听端口阻止访问请求访问目标网站。关于网络访问控制装置的具体限定可以参见上文中对于网络访问控制方法的限定,在此不再赘述。上述网络访问控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。在一个实施例中,提供一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述的网络访问控制方法的步骤。在一个实施例中,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的网络访问控制方法的步骤。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。当前第1页1 2 3 当前第1页1 2 3
技术特征:1.一种网络访问控制方法,其特征在于,所述方法包括:
当接收到终端访问目标网站的访问请求时,获取所述访问请求中携带的终端标识;
根据所述终端标识,获取与所述终端标识关联的员工标识;
根据所述员工标识,获取与所述员工标识关联的网络访问等级;
根据所述网络访问等级,匹配对应的访问控制策略,所述访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;
将所述访问请求转发到含有所述访问控制策略对应的v2ray监听端口上,使员工访问符合所述网络访问等级的指定网站。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
实时向员工管理系统获取员工的员工标识、网络访问等级和使用的终端标识,更新员工当前的员工标识、网络访问等级和使用的终端标识。
3.根据权利要求1所述的方法,其特征在于,所述v2ray路由规则的配置方式为:
根据各员工的工作内容,确定各所述员工允许访问的网站或不允许访问的网站;
根据各所述员工允许访问的网站或不允许访问的网站,按照允许访问的网站相同的员工为一类进行分类,确定员工网站访问类型;
根据所述员工网站访问类型对应允许访问的网站或不允许访问的网站,确定对应的网络访问等级;
基于v2ray组件定义所述网络访问等级对应的v2ray监听端口;
根据所述网络访问等级对应允许访问的网站或不允许访问的网站,设置所述v2ray监听端口的路由规则,对各所述员工访问不同网站的上网控制。
4.根据权利要求3所述的方法,其特征在于,所述根据所述网络访问等级对应允许访问的网站或不允许访问的网站,设置所述v2ray监听端口的路由规则,对各所述员工访问不同网站的上网控制的步骤,包括:
根据所述网络访问等级对应允许访问的网站,将允许访问的网站加入到所述v2ray监听端口的白名单中,使所述v2ray监听端口对白名单中的网站进行监控,当监控到访问不是白名单中的网站时,阻止访问;
根据所述网络访问等级对应不允许访问的网站,将所述不允许访问的网站加入到所述v2ray监听端口的黑名单中,使所述v2ray监听端口对所述黑名单中的网站进行监控,当监控到访问是黑名单中的网站时,阻止访问。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当未获取到与所述终端标识关联的员工标识,或未获取到与所述员工标识关联的网络访问等级时,将所述访问请求转发到默认的v2ray监听端口,通过所述v2ray监听端口阻止所述访问请求访问所述目标网站。
6.一种网络访问控制装置,其特征在于,所述装置包括:
请求接收模块,用于当接收到终端访问目标网站的访问请求时,获取所述访问请求中携带的终端标识;
员工匹配模块,用于根据所述终端标识,获取与所述终端标识关联的员工标识;
网络访问等级获取模块,用于根据所述员工的员工标识,获取与所述员工标识关联的网络访问等级;
匹配模块,用于根据所述网络访问等级,匹配对应的访问控制策略,所述访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;
网络访问控制模块,用于将所述访问请求转发到含有所述访问控制策略对应的v2ray监听端口上,使员工访问符合所述网络访问等级的指定网站。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
技术总结本申请涉及一种网络访问控制方法、装置、计算机设备和存储介质。该方法包括:当接收到终端访问目标网站的访问请求时,获取所述访问请求中携带的终端标识;根据所述终端标识,获取与所述终端标识关联的员工标识;根据所述员工的员工标识,获取与所述员工标识关联的网络访问等级;根据所述网络访问等级,匹配对应的访问控制策略,所述访问控制策略是基于v2ray组件预先根据网络访问等级配置的v2ray路由规则;将所述访问请求转发到含有所述访问控制策略对应的v2ray监听端口上,使员工访问符合所述网络访问等级的指定网站,利用将访问请求转发到基于v2ray的实现的访问控制,实现对于指定设备的访问控制,提高定制化程度。
技术研发人员:赵应旺
受保护的技术使用者:的卢技术有限公司
技术研发日:2021.04.28
技术公布日:2021.08.03
