一種網絡連接控制方法和裝置的制造方法
【技術領域】
[0001]本發明涉及互聯網技術領域,特別是涉及一種網絡連接控制方法和一種網絡連接控制裝置。
【背景技術】
[0002]內網又稱局域網(Local Area Network,LAN),是指在某一區域內由多臺計算機互聯組成的計算機組,常構建于家庭、學校、公司、政府部門或其他小范圍區域。基于局域網可以實現文件管理、應用軟件共享和工作組內的日程安排等功能,使得局域網內的數據和安全要求較高的程序的安全性得到了保證。
[0003]但是,部分用戶在使用局域網中的計算機工作時,常常使用無線網卡或其他連網設備連接外網,訪問網頁或網站等,如果訪問的網頁或網站攜帶病毒,那么該病毒會攻擊當前計算機甚至局域網中計算機的正常運行,威脅程序和數據的安全。
【發明內容】
[0004]鑒于上述問題,提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的網絡連接控制方法和相應的網絡連接控制裝置。
[0005 ]依據本發明的一個方面,提供了一種網絡連接控制方法,包括:
[0006]部署于內網的網絡設備接收內網服務器下發的網絡訪問策略,所述網絡訪問策略指示是否允許所述網絡設備連接外網;
[0007]啟動網絡檢測線程定期檢測所述網絡設備是否可以連接外網;
[0008]若檢測結果不符合所述網絡訪問策略,則對所述網絡設備進行網絡連接控制。
[0009]可選地,所述網絡管理策略指示不允許所述網絡設備連接外網。
[0010]可選地,所述對所述網絡設備進行外網連接控制包括:
[0011]斷開所述網絡設備與所述外網的連接;
[0012]或,重啟所述網絡設備。
[0013]可選地,所述斷開所述網絡設備與所述外網的連接包括:
[0014]通過訪問網絡驅動接口,將所述外網的網絡地址添加至網絡訪問黑名單,以禁止所述網絡設備對所述外網的訪問。
[0015]可選地,所述啟動檢測線程定期檢測所述網絡設備是否可以連接外網為:
[0016]檢測到所述網絡設備啟動網絡訪問或運行目標程序時,啟動檢測線程定期檢測所述網絡設備是否可以連接網絡。
[0017]可選地,所述啟動檢測線程定期檢測所述網絡設備是否可以連接外網包括:
[0018]向目標網站發送http請求;
[0019]若在預設時間段內接收到所述目標網站針對所述http請求反饋的數據,則確定所述網絡設備可以連接外網。
[0020]可選地,在所述部署于內網的網絡設備接收內網服務器下發的網絡訪問策略之前,所述方法還包括:
[0021]根據預置的識別規則,從所述網絡設備多個信息對象中識別特征信息對象,并將識別結果上傳至所述內網服務器。
[0022]可選地,在所述根據預置的識別規則,從網絡設備多個信息對象中識別特征信息對象之前,所述方法還包括:
[0023]獲取所述網絡設備對所述信息對象的歷史操作記錄,從所述歷史操作記錄中提取歷史操作的各個信息對象。
[0024]可選地,所述獲取網絡設備對信息對象的歷史操作記錄包括:
[0025]訪問操作系統的目標注冊表,從所述目標注冊表中讀取對信息對象的歷史訪問記錄和歷史搜索記錄;
[0026]和/或,從共享文件管理程序的關聯位置,讀取對多個操作系統共享信息對象的共享訪問記錄。
[0027]可選地,所述識別規則指示所述特征信息對象的屬性信息中包括的關鍵字,所述根據預置的識別規則,從網絡設備多個信息對象中識別特征信息對象,并將識別結果上傳至所述內網服務器包括:
[0028]若所述信息對象的屬性信息命中所述識別規則指示的至少一個關鍵字,則確定所述信息對象為特征信息對象,所述屬性信息包括所述信息對象的信息名稱、信息類型和信息內容中至少一種;
[0029]將識別的特征信息對象和/或特征信息對象的個數上傳至所述內網服務器。
[0030]可選地,所述識別規則還指示包括各關鍵字的信息對象所屬特征分類;
[0031]在所述根據預置的識別規則,從所述網絡設備多個信息對象中識別特征信息對象后,所述方法還包括:
[0032]根據所述特征信息對象所命中的關鍵字,確定所述特征信息對象所屬特征分類;
[0033]所述部署于內網的網絡設備接收內網服務器下發的網絡訪問策略為,接收所述內網服務器按照識別的特征信息對象所屬特征分類,對所述網絡設備配置的網絡訪問策略。
[0034]根據本發明的另一個方面,提供了一種網絡連接控制裝置,包括:
[0035]網絡訪問策略下發模塊,用于部署于內網的網絡設備接收內網服務器下發的網絡訪問策略,所述網絡訪問策略指示是否允許所述網絡設備連接外網;
[0036]外網檢測模塊,用于啟動網絡檢測線程定期檢測所述網絡設備是否可以連接外網;
[0037]網絡連接控制模塊,用于若檢測結果不符合所述網絡訪問策略,則對所述網絡設備進行網絡連接控制。
[0038]可選地,所述網絡管理策略指示不允許所述網絡設備連接外網。
[0039]可選地,所述網絡連接控制模塊包括:
[0040]連接斷開子模塊,用于斷開所述網絡設備與所述外網的連接;
[0041]或,設備重啟子模塊,用于重啟所述網絡設備。
[0042]可選地,所述連接斷開子模塊,具體用于通過訪問網絡驅動接口,將所述外網的網絡地址添加至網絡訪問黑名單,以禁止所述網絡設備對所述外網的訪問。
[0043]可選地,所述外網檢測模塊,具體用于檢測到所述網絡設備啟動網絡訪問或運行目標程序時,啟動檢測線程定期檢測所述網絡設備是否可以連接外網。
[0044]可選地,所述外網檢測模塊包括:
[0045]http請求發送子模塊,用于向目標網站發送http請求;
[0046]外網連接確定子模塊,用于若在預設時間段內接收到所述目標網站針對所述http請求反饋的數據,則確定所述網絡設備可以連接外網。
[0047]可選地,所述裝置還包括:
[0048]識別結果上傳模塊,用于在所述部署于內網的網絡設備接收內網服務器下發的網絡訪問策略之前,根據預置的識別規則,從所述網絡設備多個信息對象中識別特征信息對象,并將識別結果上傳至所述內網服務器。
[0049]可選地,所述裝置還包括:
[0050]信息對象提取模塊,用于在所述根據預置的識別規則,從網絡設備多個信息對象中識別特征信息對象之前,獲取所述網絡設備對所述信息對象的歷史操作記錄,從所述歷史操作記錄中提取歷史操作的各個信息對象。
[0051 ]可選地,所述信息對象提取模塊包括:
[0052]歷史記錄讀取子模塊,用于訪問操作系統的目標注冊表,從所述目標注冊表中讀取對信息對象的歷史訪問記錄和歷史搜索記錄;
[0053]和/或,共享訪問記錄讀取子模塊,用于從共享文件管理程序的關聯位置,讀取對多個操作系統共享信息對象的共享訪問記錄。
[0054]可選地,所述識別規則指示所述特征信息對象的屬性信息中包括的關鍵字,所述識別結果上傳模塊包括:
[0055]特征信息對象確定子模塊,用于若所述信息對象的屬性信息命中所述識別規則指示的至少一個關鍵字,則確定所述信息對象為特征信息對象,所述屬性信息包括所述信息對象的信息名稱、信息類型和信息內容中至少一種;
[0056]特征信息對象上傳子模塊,用于將識別的特征信息對象和/或特征信息對象的個數上傳至所述內網服務器。
[0057]可選地,所述識別規則還指示包括各關鍵字的信息對象所屬特征分類;
[0058]所述裝置還包括:
[0059]特征分類確定裝置,用于在所述根據預置的識別規則,從所述網絡設備多個信息對象中識別特征信息對象后,根據所述特征信息對象所命中的關鍵字,確定所述特征信息對象所屬特征分類;
[0060]所述網絡訪問策略下發模塊,具體用于接收所述內網服務器按照識別的特征信息對象所屬特征分類,對所述網絡設備配置的網絡訪問策略。
[0061]通過本發明實施例,啟動網絡檢測線程定期檢測所述網絡設備是否可以連接外網,并將檢測結果與部署于內網的網絡設備接收內網服務器下發的網絡訪問策略進行匹配,若不匹配,則依據網絡訪問策略對所述網絡設備進行網絡連接控制,避免內網的網絡設備受到外網攻擊,保證了內網的的正常工作和內網數據的安全。
[0062]并且,根據預置的識別規則,自動檢測終端多個信息對象,從網絡設備多個信息對象中識別特征信息對象,并將識別結果上傳至內網服務器,內網服務器根據上傳的識別結果配置網絡訪問策略,相對于傳統的人工手動設置的網絡訪問策略,依據本發明的方案配置的網絡訪問策略可以更加全面地、有效地防護網絡設備的安全。
[0063]上述說明僅是本發明技術方案的概述,為了能夠更清楚了解本發明的技術手段,而可依照說明書的內容予以實施,并且為了讓本發明的上述和其它目的、特征和優點能夠更明顯易懂,以下特舉本發明的【具