[发明专利]访问权限控制的方法及装置

说明书

技术领域

本发明属于计算机技术领域，尤其涉及一种访问权限控制的方法及装置。

背景技术

网络安全管理软件安装在服务端之后，还需要在终端设备上安装部署客户端。目前网络安全管理软件的客户端的安装部署，主要是通过终端设备的用户主动发起请求，然后在终端设备上安装部署网络安全管理软件的客户端。

然而，在现有的网络安全管理软件安装部署方式中，需要网络管理员下发相关的链接、网络安全管理软件的安装包等，而且还需要终端设备的用户参与配合，才能够进行网络安全管理软件的客户端的部署。如果终端设备没有安装网络安全管理软件的客户端，网络安全管理软件的服务端就不能管理终端设备的网络访问权限，导致降低整个网络的安全性。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的访问权限控制的方法及装置。

依据本发明的一个方面，提供了一种访问权限控制的方法，适用于第一设备控制位于第二网络中的至少一个第二设备通过网关设备访问第一网络，所述方法包括：当所述第二设备通过所述网关设备访问所述第一网络时，所述第一设备判断所述第二设备是否有访问所述第一网络的权限；如果所述第二设备没有访问所述第一网络的权限时，所述第一设备接收所述网关设备发送的、原本要发送给所述第二设备的数据包；所述第一设备将接收到的数据包中的至少部分内容替换为预设的内容，并将内容替换后的数据包转发给所述第二设备。

可选地，所述第一设备判断所述第二设备是否有访问所述第一网络的权限的步骤包括：所述第一设备根据所述第二设备的准入控制的状态和/或所述第二设备部署预定的应用程序的部署状态，判断所述第二设备是否有访问所述第一网络的权限。

可选地，所述准入控制的状态包括：准入控制已开启、准入控制已关闭和已准入，所述部署状态包括：已部署和未部署；如果所述准入控制的状态为准入控制已开启，且所述部署状态为未部署，所述第二设备没有访问所述第一网络的权限；如果所述准入控制的状态为准入控制已关闭，所述第二设备没有访问所述第一网络的权限；如果所述准入控制的状态为已准入，所述第二设备有访问所述第一网络的权限。

可选地，所述第一设备将接收到的数据包中的至少部分内容替换为预设的内容的步骤之前，所述方法还包括：所述第一设备判断所述准入控制的状态是否为准入控制已开启；如果所述准入控制的状态为准入控制已开启，执行所述第一设备将接收到的数据包中的至少部分内容替换为预设的内容的步骤；如果所述准入控制的状态为准入控制已关闭，所述第一设备向所述第二设备转发禁止其访问第一网络的数据包。

可选地，所述方法还包括：所述第一设备获取所述第二设备的准入控制的状态和所述第二设备部署预定的应用程序的部署状态；将获取的所述准入控制的状态和所述部署状态记录到准入控制数据库。

可选地，当所述第二设备没有访问所述第一网络的权限时，所述方法还包括：所述第一设备将所述网关设备上的所述第二设备的地址由第二地址修改为第一地址，其中所述第二地址为所述第二设备在所述第二网络中的地址，所述第一地址为所述第一设备在所述第二网络中的地址。

可选地，当需要关闭所述第二设备的准入控制时，所述方法还包括：所述第一设备将所述第二设备的准入控制的状态由准入控制已开启修改为准入控制已关闭；所述第一设备将所述网关设备上的所述第二设备的地址由所述第一地址修改为所述第二地址。

可选地，所述第一设备将接收到的数据包中的至少部分内容替换为预设的内容的步骤之前，所述方法还包括：所述第一设备判断所述数据包是来自所述第一网络还是来自所述第二网络；如果所述数据包来自所述第一网络，执行所述第一设备将接收到的数据包中的至少部分内容替换为预设的内容的步骤；如果所述数据包来自所述第二网络，所述第一设备将所述数据包转发给所述第二设备。

可选地，所述第一设备将所述数据包中的至少部分内容替换为预设的内容的步骤包括：所述第一设备将所述数据包中的HTTP内容替换为所述第一设备部署的预定的应用程序的安装包的地址。

可选地，当所述第二设备根据所述安装包的地址安装所述预定的应用程序之后，所述方法还包括：所述第一设备将所述第二设备的部署状态由未部署修改为已部署，将所述第二设备的准入控制的状态由准入控制已开启修改为已准入。