[发明专利]一种安全网关及其创建方法、用户访问内部服务的方法、电子设备及存储介质

说明书

本发明提出一种安全网关及其创建方法、用户访问内部服务的方法、电子设备及存储介质，属于访问控制技术领域。包括隐身网关、统一认证中心和应用网关；所述隐身网关用于检测客户端的硬件设备特征合法性；所述统一认证中心用于验证用户身份，确定用户访问的系统；所述应用网关用于为用户提供服务；通过对防火墙动态添加和删除规则，实现对客户的动态授权，在默认情况下不信任任何人员和设备，对用户的每一次访问请求进行评估，只有当用户的信息符合所配置的安全策略时才可对指定用户开放访问权限，实现了边界的动态授权，解决了现有技术中存在的防火墙的边界安全防护能力不足的技术问题。

技术领域

本申请涉及一种安全网关，尤其涉及一种安全网关及其创建方法、用户访问内部服务的方法、电子设备及存储介质，属于访问控制技术领域。

背景技术

针对网络边界的防护，传统的方法是使用网络安全设备，包括防火墙、IDS/IPS等，实现对外部传入连接的访问控制，其缺点在于需要检测传入的数据包，且对边界外部具有一定的暴露面，导致攻击者可能根据边界对外暴露的信息进行漏洞扫描、资产侦查，对资产造成威胁。

此外，来自网络内部的安全威胁同样不可忽视，攻击者可能通过病毒、钓鱼邮件在网络内部潜伏；同时，内部成员的误操作导致一些信息被配置成了对外网开放，对整个网络带来巨大的安全挑战。

发明内容

在下文中给出了关于本发明的简要概述，以便提供关于本发明的某些方面的基本理解。应当理解，这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分，也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念，以此作为稍后论述的更详细描述的前序。

鉴于此，为解决现有技术中存在的防火墙的边界安全防护能力不足的技术问题，本发明提供一种安全网关及其创建方法、用户访问内部服务的方法、电子设备及存储介质。

方案一：一种安全网关，其特征在于，包括隐身网关、统一认证中心和应用网关；

所述隐身网关用于检测客户端的硬件设备特征合法性；

所述统一认证中心用于验证用户身份，确定用户访问的系统；

所述应用网关用于为用户提供服务。

方案二：一种创建安全网关的方法，包括以下步骤:

S1.构建隐身网关；

S2.配置统一认证中心。

优选的，所述构建隐身网关的方法具体包括以下步骤：

S11.为iptables防火墙配置默认拒绝策略，丢弃所有传入的数据包；

S12.在端口敲击服务器上安装Fwknop客户端，并开放端口敲击接口，调用所述接口令服务器向网关发送端口敲击包；

S13.在隐身网关安装Fwknop服务端，令iptables的INPUT链的第一条规则为FWKNOP_INPUT链；

S14.在浏览器上安装插件，所述插件添加监听事件，监听到用户访问指定URL，向端口敲击服务器发送端口敲击包。

优选的，所述配置统一认证中心的具体方法是，包括以下步骤：

S21.编写Sa-client处理逻辑，用于处理用户的访问请求；

S22.编写Sa-server处理逻辑，完成用户登录功能；

S23.配置Nginx服务器，作为身份认证与访问控制的基础，并提供Web应用服务；

优选的，所述配置默认拒绝策略的方法具体为，在隐身网关上执行两条命令以在iptables的INPUT链上添加规则；所述规则包括：