[发明专利]一种云桌面的网络访问控制方法

说明书

技术领域

本发明涉及云计算安全领域，更具体地，涉及一种云桌面的网络访问控制方法。

背景技术

本发明中，“云桌面”是指在数据中心通过虚拟化技术生成虚拟计算机运行操作系统和应用软件等，并通过远程控制协议将云端资源发布给各个操作终端的用户界面。“云桌面模板”是虚拟计算机所运行的操作系统及其集合的软件、应用等整体环境，类比于传统计算机安装操作系统所使用的系统安装光盘。

在传统计算机使用中，计算机尝试连接网络或在网络上通信时，由于部分特定需求，我们会采取通过监视计算机的网络内容，来对计算机的网络进行访问控制。访问控制策略按实施的对象分为两类：一类针对访问目标和内容的控制，另一类针对访问者/机器的角色。针对访问目标和内容的控制的实现方法一般是对计算机访问的目标地址进行评估，放行规则允许的访问，屏蔽规则不允许的网络访问。目前，有两种较为流行的针对访问目标的网络访问控制方法：防火墙和修改静态路由表。

防火墙是一种位于内部网络与外部网络之间的网络安全系统，是目前主流的网络访问控制方案。防火墙有多种存在形式。然而，防火墙在应用过程中，存在着以下问题：软件防火墙的设置较为复杂，无法批量修改，灵活性不够，管理难度较大；大部分防火墙需要借助硬件，且无法实现以个体计算机为单位的网络访问控制，只能实现批量计算机的网络访问控制。

修改路由器的静态路由表，也可以达到网络访问控制的目的。但这种办法也存在一些弊端：静态路由表需要手工维护，维护难度大；路由器也如硬件防火墙一样，不能实现以个体计算机为单位的网络访问控制。

针对访问者角色的网络控制，目前的实现主要通过网络准入和使用控制（Network Access Control）来实现。访问者本人通过访问机器界面，出示身份认证。NAC管理系统根据用户身份决定设备网络权限。NAC系统一般和防火墙等一起使用。

但是，通过NAC实现的网络管理策略必须事先确定使用者身份和权限，灵活性不够。不能根据使用者使用的设备和工作需求，调整网络策略。比如一名CIO的权限很高，但是如果该CIO只是通过一个营业厅浏览器提取一般信息，系统本来没有必要开放所有的网络权限。

发明内容

本发明为克服上述现有技术所述的至少一种缺陷（不足），提供一种灵活、高效的云桌面的网络访问控制方法。

为解决上述技术问题，本发明的技术方案如下：

一种云桌面的网络访问控制方法,包括：

S1：在网络访问策略库模块进行网络访问策略的设置，网络访问策略库模块在云桌面管理系统内构建，网络访问策略库模块存储网络访问策略；

S2：云桌面管理系统将网络访问策略通过局域网或互联网发送到目标云桌面；

S3：目标云桌面安装有网络访问控制代理软件，网络访问控制代理软件根据接收到的网络访问策略，对目标云桌面的路由表进行配置。

在一种优选的方案中，步骤S1中，所述在网络访问策略库模块进行网络访问策略的设置，包括：选用已有网络访问策略、修改已有网络访问策略、新建网络访问策略。

在一种优选的方案中，步骤S1中，所述网络访问策略的设置包括：

1）结合云桌面模板，预先确定云桌面实例的角色，并以此为基础配置由此模板创建的云桌面的网络访问策略；

2）管理员手动设置网络访问策略并关联到相关的云桌面列表进行网络访问控制。

在一种优选的方案中，所述网络访问策略包括白名单或黑名单，白名单为允许访问的网络对象地址列表，黑名单为不允许访问的网络对象地址列表，一个网络访问策略不能同时包含白名单和黑名单，只能全由相同属性名单组成；白名单、黑名单定义的访问网络对象按照IP地址范围进行设定，或者按照单个IP地址或域名进行设定。

在一种优选的方案中，如果白或黑名单中包含了域名，则云桌面管理系统自动通过DNS查询，将域名转换成为IP地址。

在一种优选的方案中，步骤S3中，云桌面接收到网络访问策略后，网络访问控制代理软件调用云桌面的路由表配置指令，根据网络访问策略对云桌面的路由表进行配置，并返回路由表配置的操作结果。

在一种优选的方案中，所述的网络访问控制代理软件在云桌面系统内自启动。

在一种优选的方案中，一个云桌面可以对应一个网络访问策略，或者对应多个组成名单属性皆相同的网络访问策略。

在一种优选的方案中，一个云桌面对应一个网络访问策略，或者对应多个组成名单属性皆相同的网络访问策略，云桌面管理系统自动完成网络访问策略的叠加，并发送叠加后的网络访问策略到目标云桌面。