[发明专利]一种网络访问控制方法及装置、系统

说明书

本发明提供了一种网络访问控制方法及装置、系统，该方法包括：当前外网网卡接收第一访问指令数据并发送至第一协议解析单元；第一协议解析单元将第一访问指令数据的数据格式转换为专用协议后获得第二访问指令数据，并传输至鉴别单元；鉴别单元对第二访问指令数据中的鉴别数据进行验证，通过后将第二访问指令数据传输至数据访问管控单元；数据访问管控单元判断访问者是否有权限对操作对象执行操作指令指示的操作；如果有，将第二访问指令数据传输至第二协议解析单元；第二协议解析单元将第二访问指令数据的数据格式转换为网络协议获得第三访问指令数据，通过内网网卡发送至内网服务器执行相应操作。从而实现内外网的隔离以及保证访问的安全性。

技术领域

本发明涉及一种电子技术领域，尤其涉及一种网络访问控制方法及装置、系统。

背景技术

在办公环境的内网中，存在大量的文件数据资源，随着计算机网络的不断普及和发展，网络攻击威胁越来越严重，面对各种威胁，传统的网络抵御技术安全效能正在下降，为确保内网的数据安全，需要在内、外网之间建立一个既符合物理隔离安全要求，又能进行数据交换的解决方案。

发明内容

本发明旨在解决上述问题之一。

本发明的主要目的在于提供一种网络访问控制装置。

本发明的另一目的在于提供一种网络访问控制系统。

本发明的另一目的在于提供一种网络访问控制方法。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明一方面提供了一种网络访问控制方法，包括：S1、当前外网网卡接收访问者终端发送的第一访问指令数据，并将所述第一访问指令数据发送至调度单元，其中，所述第一访问指令数据包括：访问者身份、操作指令、操作对象和鉴别数据；S2、所述调度单元接收所述第一访问指令数据，并将所述第一访问指令数据发送至第一协议解析单元；S3、所述第一协议解析单元接收所述第一访问指令数据，对所述第一访问指令数据进行解析获取所述第一访问指令数据中的内容，并将所述第一访问指令数据的网络协议数据格式转换为专用协议的数据格式后获得第二访问指令数据，其中，所述网络协议与所述专用协议不同，所述第二访问指令数据包括所述访问者身份、所述操作指令、所述操作对象和所述鉴别数据；S4、所述第一协议解析单元将所述第二访问指令数据传输至鉴别单元；S5、所述鉴别单元接收所述第二访问指令数据，并对所述第二访问指令数据中的所述鉴别数据进行验证；S6、在验证通过后，所述鉴别单元将所述第二访问指令数据传输至数据访问管控单元；S7、所述数据访问管控单元接收所述第二访问指令数据，获取本地预先设置的访问标记映射表，根据所述访问标记映射表以及所述第二访问指令数据中的所述访问者身份、所述操作指令和所述操作对象判断所述访问者是否有权限对所述操作对象执行所述操作指令指示的操作，其中，所述访问标记映射表指示不同的访问者身份对不同的操作对象是否有权限执行相应的操作指令指示的操作；S8、在所述访问者有权限对所述操作对象执行所述操作指令指示的操作的情况下，所述数据访问管控单元将所述第二访问指令数据传输至第二协议解析单元；S9、所述第二协议解析单元接收所述第二访问指令数据，将所述第二访问指令数据的专用协议的数据格式转换为网络协议的数据格式获得第三访问指令数据，其中，所述第三访问指令数据中的元素包括所述访问者身份、所述操作指令和所述操作对象；S10、所述第二协议解析单元将所述第三访问指令数据发送至内网网卡；S11、所述内网网卡接收所述第三访问指令数据，并将所述第三访问指令数据发送至内网服务器执行所述第三访问指令数据中的操作指令所指示的操作。

可选的，在所述当前外网网卡接收访问者终端发送的第一访问指令数据之前，所述方法还包括：所述调度单元检测到在先外网网卡受到阻塞式攻击，按照预设策略从多个外网网卡中选择所述当前外网网卡，禁用所述在先外网网卡，并切换到所述当前外网网卡，其中，所述在先外网网卡是所述调度单元在所述当前外网网卡之前选择的外网网卡。