[发明专利]一种基于操作系统桌面的VPN连接分离方法

说明书

技术领域

本发明涉及一种计算机网络安全管理方法，特别是关于一种基于操作系统桌面的VPN连接分离方法。

背景技术

VPN(Virtual Private Network，虚拟私有网)为企业员工在出差或在家中访问企业内网资源提供了极大的便捷，但同时也给企业机密资料及内网安全带来了极大的隐患。在外出差的员工可能通过酒店或客户的电脑访问企业敏感资料，并把资料下载到客户端，如果此员工在使用完毕之后没有从电脑上清除这些敏感资料，就有可能造成信息泄漏，给企业的业务和信息安全造成潜在的威胁。

通过Symantec(赛门铁克)的虚拟桌面可以限制客户只能在其虚拟桌面内发起VPN连接，同时对在虚拟桌面内生成的文件加密，并且在虚拟桌面退出之后清除这些文件。但由于四层VPN运行于操作系统层，而Symantec的虚拟桌面运行在应用程序层，当用户在虚拟桌面内建立了VPN连接后，运行于真实桌面内的应用程序也可以通过VPN访问企业内网，这就造成了非常严重的安全漏洞。

发明内容

针对上述问题，本发明的目的是提出一种基于操作系统桌面的VPN连接分离方法，使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源。

为实现上述目的，本发明采取以下技术方案：一种基于操作系统桌面的VPN连接分离方法，其包括以下步骤：1)在企业内网前端设置一个安全代理设备，客户机通过互联网先连接到安全代理设备，安全代理设备再连接到企业内网；2)当客户机上的某个应用程序要访问VPN连接时，客户机先从安全代理设备下载VPN代理程序，然后通过VPN代理程序与安全代理设备建立起VPN连接；3)VPN代理程序在接收到访问请求后，先追溯发起该访问的应用程序，然后枚举该应用程序的运行窗口，再根据窗口找到其对应的桌面；4)VPN代理程序对该桌面是否为虚拟桌面进行判断；5)如果该应用程序所运行的桌面为虚拟桌面，则VPN代理程序允许该应用程序访问VPN连接；如果该应用程序所运行的桌面为真实桌面，则VPN代理程序拒绝该应用程序访问VPN连接。

所述安全代理设备可以通过预先配置clientapp winredir sdsseparation{on|off}命令来决定是否启用VPN连接分离方法，若配置为on，则表示启用VPN连接分离方法，安全代理设备就会执行步骤2～5；若配置为off，则不做任何判断，直接允许所有访问端的应用程序访问VPN连接。

本发明由于采取以上技术方案，其具有以下优点：本发明由于在企业内网前端设置了一个安全代理设备，该设备使只有在Symantec虚拟桌面里运行的应用程序才可以通过VPN连接访问企业内部网络资源，而对于运行在操作系统的真实桌面内的其它应用程序，如恶意木马程序，当其试图访问VPN连接时将被禁止，这样就可以达到保护企业敏感资料的目的。

附图说明

图1是本发明的一个应用场景示意图

具体实施方式

下面结合附图和实例对本发明进行详细的描述。

如图1所示，本发明方法包括以下步骤：

1、在企业内网前端设置一个安全代理设备，它是一个VPN接入网关设备，客户机通过互联网先连接到安全代理设备，安全代理设备再连接到企业内网。

2、当客户机上的某个应用程序要访问VPN连接时，客户机先从安全代理设备下载VPN代理程序，然后通过VPN代理程序与安全代理设备建立起VPN连接。

3、VPN代理程序在接收到访问请求后，会追溯发起该访问端的应用程序，然后枚举该应用程序的运行窗口，根据窗口找到其对应的桌面。

4、VPN代理程序对该桌面是否为虚拟桌面进行判断：若桌面名称为default(系统默认值)，则为真实桌面；若桌面名称为Symantec，则为虚拟桌面。

5、如果该应用程序所运行的桌面为虚拟桌面，则VPN代理程序允许该应用程序访问VPN连接；如果该应用程序所运行的桌面为真实桌面，则VPN代理程序拒绝该应用程序访问VPN连接。

安全代理设备可以通过clientapp winredir sdsseparation{on|off}这条命令来配置是否启用本发明方法。若配置为on，则表示启用本发明方法，安全代理设备就会执行步骤2～5；若配置为off，则不做任何判断，直接允许所有访问端的应用程序访问VPN连接。