[发明专利]一种防止非法外联的方法及装置

说明书

本申请提供一种防止非法外联的方法及装置，通过认证设备接收用户主机上的登录认证组件在确认用户主机非法外联时发送的携带用户主机地址和用户名的非法外联消息，登录认证组件是认证设备在用户主机登录内部网络时向用户主机推送的；判断用户主机是否还在访问内部网络，如果是，则将用户主机登录内部网络时本地记录的与用户主机地址和用户名对应的认证信息删除，以断开用户主机与内部网络的连接。因此本申请可以通过登录认证组件来检测用户主机是否进行非法外联，并在确认用户主机非法外联时通知认证设备断开用户主机与内部网络的连接，从而避免用户主机非法外联时导致的内部网络的安全问题，进而提升内部网络的安全性。

技术领域

本申请涉及通信技术领域，尤其涉及一种防止非法外联的方法及装置。

背景技术

一些具有较高安全性的内部网络(如政府部门、军事部门的网络)常常采用与外部网络(如Internet)实施物理隔离的方法来确保其网络的安全性。物理隔离虽然确保了外部网络和内部网络之间不存在任何可能的物理链路，但是由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户还是可以利用电话拨号、即插即用的互联网接入设备，外连互联网进行外部网络的访问操作，导致物理隔离环境被破坏，我们称之为“非法外联”行为。

“非法外联”使原本封闭的内部系统环境与外部网络之间出现隐蔽通道，导致内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁，导致网络结构、服务器部署、安全防护措施等信息被泄露，甚至进行跨安全域、跨网络破坏。

发明内容

有鉴于此，本申请提供一种防止非法外联的方法及装置，来解决内网用户非法外联的问题。

具体地，本申请是通过如下技术方案实现的：

第一方面，本申请提供一种防止非法外联的方法，所述方法应用于认证设备，该方法包括：

接收用户主机上的登录认证组件在确认所述用户主机非法外联时发送的携带用户主机地址和用户名的非法外联消息，所述登录认证组件是所述认证设备在用户主机登录内部网络时向所述用户主机推送的；

判断所述用户主机是否还在访问内部网络，如果是，则将用户主机登录内部网络时本地记录的与所述用户主机地址和用户名对应的认证信息删除，以断开所述用户主机与内部网络的连接。

作为一个实施例，在接收所述非法外联消息之前，所述方法还包括：

在用户主机登录内部网络时，记录主机的地址信息和用户名，向用户主机推送所述登录认证组件，该登录认证组件中预先配置的指定外网地址，以使该登录认证组件通过所述用户主机的浏览器周期性的请求访问所述指定外网地址，在访问所述指定外网地址成功时，确认所述用户主机非法外联。

作为一个实施例，在接收所述非法外联消息之前，所述方法还包括：

预先在所述登录认证组件中配置指定地址，所述指定地址属于内网服务器的地址范围，以使所述登录认证组件在确认所述用户主机非法外联时，根据所述指定地址将所述非法外联消息通过用户主机中的内网服务器的路由转发至所述认证设备。

作为一个实施例，判断所述用户主机是否还在访问内部网络，包括：

判断是否收到所述登录认证组件发送的心跳报文，如果是，则确定所述用户主机还在访问内部网络；如果否，则确定所述用户主机未访问内部网络。

作为一个实施例，接收所述非法外联消息之后，所述方法还包括：

根据所述非法外联消息生成非法外联日志，所述非法外联日志至少包括所述非法外联消息中的用户主机地址和用户名，以及标识用户主机处于非法外联状态的状态信息，将所述非法外联日志存储至内部网络中的日志服务器。

第二方面，本申请提供一种防止非法外联的装置，所述装置应用于认证设备，该装置包括：