[发明专利]零信任中保护应用流量的方法、装置及计算设备

说明书

本发明实施例涉及计算机技术领域，公开了一种零信任中保护应用流量的方法、装置及计算设备，该方法包括：终端侧的代理接收到应用流量数据时，获取流量主机地址；判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中；根据判断结果对应用流量进行区分和分流。通过上述方式，本发明实施例能够正确识别保护和非保护应用流量并进行分流，算法简单。

技术领域

本发明实施例涉及计算机技术领域，具体涉及一种零信任中保护应用流量的方法、装置及计算设备。

背景技术

在零信任网络运行场景下，通常会同时使用公共应用和受零信任保护的应用，比如说同时使用百度网站与自己的办公自动化(Office Automation，OA)系统，而且可能在同一浏览器中，也可能在不同应用软件上，那么如何区分流量并且实现保护成为需要解决的问题。区分流量很简单，因为它们的地址不一样，或者说域名不一样，难点在于如何把受保护的应用流量和非受保护流量分开实现保护应用流量安全进入接入网关，公众应用流量直接走本机出口。

现有技术中可以通过修改主机hosts，因为在设备访问网络的过程中首先在hosts里找到命名主机对应的IP进行访问的。只要在这里进行重定向，就可以把对应受保护的流量指向需要流向的主机。这种方法缺陷很多，特别不适用于零信任网络。首先，在零信任网络中，虽然受保护流量能被重定向，但是这个流量无法被封装加密，被中间劫持怎么办，所以它无法解决中间人攻击问题。其次，很多杀毒软件会禁止软件改这个的。还有应该最主要的问题，如果该主机是通过代理上网的，这样做将无法上网。因此，这种方法无法在零信任环境中顺利使用。

现有技术中也可以是修改DNS，就是把主机的DNS改成特定的DNS服务器，然后这个DNS进行受保护和非受保护的流量的主机解析，这种方法效果等同于第一种。这种方法基本上等同于前一种，不过比前一种的好处是杀毒软件不会提拦截修改DNS的。

发明内容

鉴于上述问题，本发明实施例提供了一种零信任中保护应用流量的方法、装置及计算设备，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种零信任中保护应用流量的方法，所述方法包括：终端侧的代理接收到应用流量数据时，获取流量主机地址；判断所述流量主机地址是否存在于预存的保护应用虚拟地址表中；根据判断结果对应用流量进行区分和分流。

在一种可选的方式中，所述接收到应用流量数据时，获取流量主机地址之前，包括：在终端侧设置一个代理，支持socks5和http代理协议，设定所述代理的本机地址和端口；所述代理开机时，从所述零信任网关获取受保护的虚拟地址信息，形成所述保护应用虚拟地址表，并保存到内存中。

在一种可选的方式中，所述获取流量主机地址，包括：根据代理协议从代理的指令中获取所述流量主机地址。

在一种可选的方式中，所述根据判断结果对应用流量进行区分和分流，包括：如果存在于所述保护应用虚拟地址表，则将受保护的应用流量放入零信任网关，并通过所述零信任网关与应用服务器进行流量交互；如果不存在于所述保护应用虚拟地址表，则控制所述应用流量走原有通道进行流量交互。

在一种可选的方式中，所述将受保护的应用流量放入零信任网关，包括：建立代理与所述零信任网关之间的流量通道；应用所述流量通道将受保护的所述应用流量放入所述零信任网关。

根据本发明实施例的另一个方面，提供了一种零信任中保护应用流量的方法，包括：零信任网关接收从终端侧传输的受保护的应用流量；确定所述应用流量的流量主机地址是否在预存的保护应用虚拟地址表中；如果是，则根据所述保护应用虚拟地址表找到应用的真实地址；根据所述真实地址建立所述零信任网关与应用服务器之间的流量通道以进行流量交互。