本发明涉及网络安全技术领域,特别是涉及一种局域网内网资源的访问控制方法、装置及网关设备。
背景技术:
sslvpn指的是基于ssl(securitysocketlayer,安全套接层)协议建立远程安全访问通道的vpn(virtualprivatenetwork,虚拟专用网络)技术。ssl协议运行在传输层,只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密。在使用ssl协议的通信中,每一个应用是一个安全的独立体,可在nat(networkaddresstranslation,网络地址转换)代理装置上以透明模式工作。
服务器与客户端一次ssl连接中,双方可以进行身份验证,通过非对称密钥算法实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密,因此根据解密是否成功,就可以判断发送者的身份,ssl利用pki(publickeyinfrastructure,公钥基础设施)提供的机制保证公钥的真实性。在企业网应用时可以通过openssl(opensecuritysocketlayer,开放式安全套接层)协议提供的工具建立本单位的证书体系,通过根证书创建服务器和多个客户的私钥及证书,在客户端发起接入请求时确保了用户的真实性和唯一性。
sslvpn网络扩展是指运用ssl协议将广域网中分散的用户通过构建虚拟局域网联系在一起。
如图1所示,sslvpn网络扩展用户、网关设备和内部资源的关系示意图。用户通过客户端向网关设备发起请求加入局域网,在建立连接时网关设备作为服务器侧对用户进行身份认证,如果认证成功就从地址池中获取可用的虚拟局域网内网地址给用户;接着,用户侧通过运行的客户端程序将分配的地址配置到本地的虚拟以太网设备(这里简称tun设备)中,同时网关设备会向 用户推送内网可访问的网络路由;最后,客户端在收到可访问的网络路由后加入到本机路由表中,到此用户成功加入虚拟局域网。
根据用户访问不同的网络找到对应的路由条目。如果是访问虚拟局域网或网关设备内部网络资源,会通过tun设备进行发送;在数据发送给tun设备后,客户端将发送到tun设备的数据进行加密,加密完成后客户端程序将加密数据封装成指定端口号,如1194,的tcp(transmissioncontrolprotocol传输控制协议)或udp(userdatagramprotocol,用户数据报协议)报文从真实的物理网口发送给网关设备;网关设备收到数据后判断tcp或udp的端口号是否为1194;如果是,则将此端口号的数据包发送到网关设备的vpn模块进行解密,解密成功的数据再发送给网关设备的以太网tun设备,此时发送到tun设备的数据已是明文,如同发送给普通的以太网设备一样收包随后进入协议栈处理。
在实际的应用中,发现对于企业来说内部网络的资源存在不同的秘密等级,需要对用户进行安全访问控制,特定的资源需要特定的权限才允许访问。而现有技术在进行安全访问控制时,用户发起对某一次资源访问后,获取到访问权限等级,根据等级判断是否具有访问权限。此方法访问资源效率低,且每次都需要向所请求的资源发起连接,浪费内部网络资源。
另外,在用户请求资源时,网关设备端检查用户访问资源的合法性时,网关设备需要根据用户报文信息对发起资源请求的用户进行复杂的合法性检查,而且一旦建立资源连接后,资源动态变更权限等级时,已经建立好的连接无法得到及时权限关系更新,存在安全隐患。
技术实现要素:
本发明的目的在于提供一种局域网内网资源的访问控制方法、装置及网关设备,用于解决现有技术中用户访问局域网内部资源时,资源访问效率低且资源动态变更权限时存在安全隐患的问题。
为了实现上述目的,本发明实施例提供的一种局域网内网资源的访问控制方法,包括:
获取向网关设备发起资源连接请求消息的第一客户端的用户权限级别以 及资源权限等级;
在预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述第一客户端的用户权限级别对应的资源权限等级,向目标服务器转发所述第一客户端的资源连接请求消息。
其中,获取向网关设备发起资源连接请求消息的客户端的第一用户权限级别的步骤包括:
接收所述第一客户端向网关设备发起的访问连接请求,并从所述访问连接请求中获取所述第一客户端的用户权限级别。
其中,从所述访问连接请求中获取所述第一客户端的用户权限级别的步骤包括:
通过安全套接层协议ssl的身份验证机制获取所述第一客户端的用户通用名,并根据所述用户通用名对应的数字证书对所述第一客户端进行身份验证;
在所述第一客户端的身份验证通过时,将内网ip地址分配给所述第一客户端,完成与所述第一客户端的访问连接;
根据所述访问连接请求中所述用户通用名,查找用户权限列表获取所述第一客户端的用户权限级别。
其中,获取向网关设备发起资源连接请求消息的第一客户端的资源权限等级的步骤包括:
获取所述第一客户端通过安全套接协议虚拟专用网络sslvpn发送的资源连接请求消息;
根据所述资源连接请求消息,获取所述资源连接请求消息对应的资源权限等级。
其中,根据所述资源连接请求消息,获取所述资源连接请求消息对应的资源权限等级的步骤包括:
解析所述资源连接请求消息中的报文内容,获取待连接的资源为第一资源;
查找资源权限列表获取所述第一资源对应的资源权限等级。
其中,向目标服务器转发所述第一客户端的资源连接请求消息的步骤后,还包括:
在所述第一客户端根据所述资源连接请求消息,连接到所述目标服务器为 所述资源权限等级分配的第一资源时,将所述第一客户端的属性信息保存到第一资源的用户访问列表中。
其中,还包括:
在所述第一客户端断开与所述第一资源的连接后,将所述第一客户端的属性信息从所述第一资源的用户访问列表中删除。
其中,所述方法还包括:
根据所述资源权限等级或所述用户权限级别的变更,进行用户访问列表更新。
其中,根据所述资源权限等级的变更,进行用户访问列表更新的步骤,包括:
在所述资源权限等级变更后,查找已被变更资源权限等级的资源的用户访问列表,获取正在访问所述已被变更资源权限等级的资源的客户端的属性信息;
在所述预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述客户端的用户权限级别与变更后的资源权限等级不对应时,向所述客户端发送第一重置消息,并将所述客户端的属性信息从所述用户访问列表中删除。
其中,根据所述用户权限级别的变更,进行用户访问列表更新的步骤,包括:
在所述用户权限级别降低后,若所已被降低用户权限级别的客户端的属性信息位于用户权限级别降低前对应的资源的用户访问列表中,向所述已被降低用户权限级别的客户端发送第二重置消息,并将所述已被降低用户权限级别客户端的属性信息从所述用户访问列表中删除。
本发明实施例还提供一种局域网内网资源的访问控制装置,包括:
获取模块,用于获取向网关设备发起资源连接请求消息的第一客户端的用户权限级别以及资源权限等级;
执行处理模块,用于在预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述第一客户端的用户权限级别对应的资源权限等级,向目标服务器转发所述第一客户端的资源连接请求消息。
本发明实施例还提供一种网关设备,包括:如上述实施例所述的局域网内网资源的访问控制装置。
本发明的上述技术方案的有益效果如下:
本发明的上述方案中,通过直接在网关设备上根据用户权限级别对应的资源权限等级对访问局域网内部资源的客户端进行资源访问权限的判断,并在该客户端具有资源访问权限时,将资源连接请求转发至目标服务器,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源;而且通过对权限变更的用户或资源的资源连接的立即复位,保证了资源动态变更权限时,局域网内部网络资源的数据安全。
附图说明
图1为本发明实施例的sslvpn网络扩展用户、网关设备和内部资源的关系示意图;
图2为本发明实施例的局域网内网资源的访问控制方法的基本步骤示意图;
图3为本发明实施例的局域网内网资源的访问控制装置的组成结构示意图;
图4为本发明实施例的局域网内网资源的访问控制方法的具体流程示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有技术中用户访问局域网内部资源时,资源访问效率低且资源动态变更权限时存在安全隐患的问题,提供一种局域网内网资源的访问控制方法,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源而且保证了资源动态变更权限时,局域网内部网络资源的数据安全。
第一实施例
如图2所示,本发明实施例提供一种局域网内网资源的访问控制方法,包括:
步骤11,获取向网关设备发起资源连接请求消息的第一客户端的用户权限级别以及资源权限等级;
这里需要说明的是,用户权限级别为操作客户端的用户的权限级别,一个用户对应一个客户端。
步骤12,在预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述第一客户端的用户权限级别对应的资源权限等级,向目标服务器转发所述第一客户端的资源连接请求消息。
本发明实施例的局域网内网资源的访问控制方法,通过直接在网关设备上根据用户权限级别对应的资源权限等级对访问局域网内部资源的客户端进行资源访问权限的判断,并在该客户端具有资源访问权限时,将资源连接请求转发至目标服务器,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源。
优选地,本发明实施例所述步骤11中获取向网关设备发起资源连接请求消息的第一客户端的用户权限级别的步骤,可进一步包括:
步骤111,接收所述第一客户端向网关设备发起的访问连接请求,并从所述访问连接请求中获取所述第一客户端的用户权限级别。
这里需要说明的是,第一客户端可为sslvpn网络扩展客户端,网关设备可为虚拟专用网络vpn网关设备。
这里,所述步骤111还可更进一步包括:
步骤1111,通过安全套接层ssl协议的身份验证机制获取所述第一客户端的用户通用名,并根据所述用户通用名对应的数字证书对所述第一客户端进行身份验证;
这里需要说明的是,用户通用名是客户端在向网关设备管理员申请账号时唯一标识该客户端的用户标识。
用户通用名对应的数字证书可通过开放式安全套接层协议openssl提供的方法获取,当然该用户通用名对应的私钥也可通过此方法获取,这里数字证书中包括有客户端的个人身份信息。
步骤1112,在所述第一客户端的身份验证通过时,将内网ip地址分配给所述第一客户端,完成与所述第一客户端的访问连接;
这里,在所述第一客户端的身份验证通过时,将内网ip地址分配给所述第一客户端后,网关设备会将用户通用名存储于数据区。
需说明的是,若第一客户端的身份验证未通过,则网关设备直接拒绝该第一客户端发起的访问连接。这样,无需目标服务器额外处理对待访问的客户端的身份验证,节省了内部网络资源,也降低了非法客户端获取服务器内部数据的可能性。
步骤1113,根据所述访问连接请求中所述用户通用名,查找用户权限列表获取所述第一客户端的用户权限级别。
这里需说明的是,用户权限列表预先存储于网关设备中,其中存储有可访问内网资源的不同用户的用户权限级别。
优选地,本发明实施例所述步骤11中获取向网关设备发起资源连接请求消息的第一客户端的资源权限等级的步骤,可进一步包括:
步骤112,获取所述第一客户端通过安全套接协议虚拟专用网络sslvpn发送的资源连接请求消息;
需说明的是,网关设备在获取资源连接请求之前,已完成与第一客户端的访问连接。
步骤113,根据所述资源连接请求消息,获取所述资源连接请求消息对应的资源权限等级。
这里需要说明的是,若网关设备根据所述资源连接请求消息,获取不到与所述资源连接请求消息对应的资源权限等级,则表示客户端所要访问的资源未在资源权限列表中,也就是该资源未设置资源权限等级,无需访问权限,所有通过身份验证的客户端均可访问局域网内部的该资源。
这里,所述步骤113还可更进一步包括:
步骤1131,解析所述资源连接请求消息中的报文内容,获取待连接的资源为第一资源;
步骤1132,查找资源权限列表获取所述第一资源对应的资源权限等级。
这里需说明的是,资源权限列表预先存储于网关设备中,其中存储有不同资源对应的不同资源权限等级。
进一步地,本发明实施例中所述局域网内网资源的访问控制方法,还可包 括:
步骤13,向目标服务器转发所述第一客户端的资源连接请求消息之后,在所述第一客户端根据所述资源连接请求消息,连接到所述目标服务器为所述资源权限等级分配的第一资源时,将所述第一客户端的属性信息保存到第一资源的用户访问列表中。
这里需要说明的是,第一资源的用户访问列表中存储着当前正在访问第一资源的客户端。
进一步地,本发明实施例中所述局域网内网资源的访问控制方法,还可包括:
步骤14,在所述第一客户端断开与所述第一资源的连接后,将所述第一客户端的属性信息从所述第一资源的用户访问列表中删除。
这里需要说明的是,将所述第一客户端的属性信息从所述第一资源的用户访问列表中删除,也就是,该第一客户端与目标服务器的连接立即断开,可防止后续若用户权限级别或资源权限等级变更后,内网数据泄露,保证内网数据资源的安全性。
进一步地,本发明实施例中所述局域网内网资源的访问控制方法,还可包括:
步骤15,根据所述资源权限等级或所述用户权限级别的变更,进行用户访问列表更新。
这里,所述步骤15中根据所述资源权限等级的变更,进行用户访问列表更新的步骤,还可进一步包括:
步骤151,在所述资源权限等级变更后,查找已被变更资源权限等级的资源的用户访问列表,获取正在访问所述已被变更资源权限等级的资源的客户端的属性信息;
步骤152,在所述预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述客户端的用户权限级别与变更后的资源权限等级不对应时,向所述客户端发送第一重置消息,并将所述客户端的属性信息从所述用户访问列表中删除。
这里需要说明的是,预设的用户权限级别和资源权限等级的对应关系表是 可预先由网关设备管理员根据用户权限级别分配指定的资源权限等级存储于网关设备中。
上述两分步骤表明在资源权限等级变更时,通过将用户权限级别不够的客户端从资源的用户访问列表中删除,实现用户访问列表的及时更新,保证了内网资源数据的安全,有效防止资源数据的泄露。
这里,所述步骤15中根据所述用户权限级别的变更,进行用户访问列表更新的步骤,还可进一步包括:
步骤153,在所述用户权限级别降低后,若已被降低用户权限级别的客户端的属性信息位于用户权限级别降低前对应的资源的用户访问列表中,向所述已被降低用户权限级别的客户端发送第二重置消息,并将所述已被降低用户权限级别客户端的属性信息从所述用户访问列表中删除。
需说明的是,步骤153在所用户权限级别降低后,已被降低用户权限级别客户端则不再具有访问用户权限级别降低前对应的资源的权限,通过将已被降低用户权限级别客户端的属性信息从用户权限级别降低前对应的资源的访问列表中删除,实现了用户访问列表的及时更新,保证了内网资源数据的安全,有效防止资源数据的泄露。
本发明实施例的局域网内网资源的访问控制方法,通过直接在网关设备上根据用户权限级别对应的资源权限等级对访问局域网内部资源的客户端进行资源访问权限的判断,并在该客户端具有资源访问权限时,将资源连接请求转发至目标服务器,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源;而且通过对权限变更的用户或资源的资源连接的立即复位,保证了资源动态变更权限时,局域网内部网络资源的数据安全。
第二实施例
如图3所示,本发明实施例还提供一种局域网内网资源的访问控制装置,包括:
获取模块21,用于获取向网关设备发起资源连接请求消息的第一客户端的用户权限级别以及资源权限等级;
这里需要说明的是,用户权限级别为操作客户端的用户的权限级别,一个 用户对应一个客户端。
执行处理模块22,用于在预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述客户端的第一用户权限级别对应的资源权限等级,向目标服务器转发所述第一客户端的资源连接请求消息。
具体地,本发明实施例中所述获取模块21可具体包括:
第一获取子模块,用于接收所述第一客户端向网关设备发起的访问连接请求,并从所述访问连接请求中获取所述第一客户端的用户权限级别。
这里需要说明的是,第一客户端可为sslvpn网络扩展客户端,网关设备可为虚拟专用网络vpn网关设备。
更具体地,所述第一获取子模块可包括:
身份验证单元,用于通过安全套接层协议ssl的身份验证机制获取所述第一客户端的用户通用名,并根据所述用户通用名对应的数字证书对所述第一客户端进行身份验证;
这里需要说明的是,用户通用名是客户端在向网关设备管理员申请账号时唯一标识该客户端的用户标识。
用户通用名对应的数字证书可通过开放式安全套接层协议openssl提供的方法获取,当然该用户通用名对应的私钥也可通过此方法获取,这里数字证书中包括有客户端的个人身份信息。
访问连接单元,用于在所述第一客户端的身份验证通过时,将内网ip地址分配给所述第一客户端,完成与所述第一客户端的访问连接;
这里,在所述第一客户端的身份验证通过时,将内网ip地址分配给所述第一客户端后,网关设备会将第一用户通用名存储于数据区。
需说明的是,若第一客户端的身份验证未通过,则网关设备直接拒绝该第一客户端发起的访问连接。这样,无需目标服务器额外处理对待访问的客户端的身份验证,节省了内部网络资源,也降低了非法客户端获取服务器内部数据的可能性。
用户权限级别获取单元,用于根据所述访问连接请求中所述用户通用名,查找用户权限列表获取所述第一客户端的用户权限级别。
这里需说明的是,用户权限列表预先存储于网关设备中,其中存储有可访 问内网资源的不同用户的用户权限级别。
这里,本发明实施例中所述获取模块21还可具体包括:
第二获取子模块,用于获取所述第一客户端通过安全套接协议虚拟专用网络sslvpn发送的资源连接请求消息;
需说明的是,网关设备在获取资源连接请求之前,已完成与第一客户端的访问连接。
第三获取子模块,用于根据所述资源连接请求消息,获取所述资源连接请求消息对应的资源权限等级。
这里需要说明的是,若网关设备根据所述资源连接请求消息,获取不到与所述资源连接请求消息对应的第一资源权限等级,则表示客户端所要访问的资源未在资源权限列表中,也就是该资源未设置资源权限等级,无需访问权限,所有通过身份验证的客户端均可访问局域网内部的该资源。
这里,所述第三获取子模块可包括:
解析处理单元,用于解析所述资源连接请求消息中的报文内容,获取待连接的资源为第一资源;
资源权限等级获取单元,用于查找资源权限列表获取所述第一资源对应的资源权限等级。
这里需说明的是,资源权限列表预先存储于网关设备中,其中存储有不同资源对应的不同资源权限等级。
具体地,本发明实施例中所述局域网内网资源的访问控制装置,还可包括:
第一处理模块23,用于向目标服务器转发所述第一客户端的资源连接请求消息之后,在所述第一客户端根据所述资源连接请求消息,连接到所述目标服务器为所述资源权限等级分配的第一资源时,将所述第一客户端的属性信息保存到第一资源的用户访问列表中。
这里需要说明的是,第一资源的用户访问列表中存储着当前正在访问第一资源的客户端。
具体地,本发明实施例中所述局域网内网资源的访问控制装置,还可包括:
第二处理模块24,用于在所述第一客户端断开与所述第一资源的连接后,将所述第一客户端的属性信息从所述第一资源的用户访问列表中删除。
这里需要说明的是,将所述第一客户端的属性信息从所述第一资源的用户访问列表中删除,也就是,该第一客户端与目标服务器的连接立即断开,可防止后续若用户权限级别或资源权限等级变更后,内网数据泄露,保证内网数据资源的安全性。
具体地,本发明实施例所述局域网内网资源的访问控制装置,还可包括:
访问列表更新模块25,用于根据所述资源权限等级或所述用户权限级别的变更,进行用户访问列表更新。
这里,所述访问列表更新模块25可具体包括:
第四获取子模块,用于在所述资源权限等级变更后,查找已被变更资源权限等级的资源的用户访问列表,获取正在访问所述已被变更资源权限等级的资源的客户端的属性信息;
第一更新处理子模块,用于在所述预设的用户权限级别和资源权限等级的对应关系表中,若查找到所述客户端的用户权限级别与变更后的资源权限等级不对应时,向所述客户端发送第一重置消息,并将所述客户端的属性信息从所述用户访问列表中删除。
这里需要说明的是,预设的用户权限级别和资源权限等级的对应关系表是可预先由网关设备管理员根据用户权限级别分配指定的资源权限等级存储于网关设备中。
这里,上述获取子模块以及第一更新处理子模块的执行处理表明在资源权限等级变更时,通过将用户权限级别不够的客户端从资源的用户访问列表中删除,实现用户访问列表的及时更新,保证了内网资源数据的安全,有效防止资源数据的泄露。
这里,所述访问列表更新模块25还可具体包括:
第二更新处理子模块,用于在所述用户权限级别降低后,若所述已被降低用户权限级别的客户端的属性信息位于用户权限级别降低前对应的资源的用户访问列表中,向所述已被降低用户权限级别的客户端发送第二重置消息,并将所述已被降低用户权限级别客户端的属性信息从所述用户访问列表中删除。
需说明的是,所述第二更新处理子模块在所述用户权限级别降低后,已被降低用户权限级别客户端则不再具有访问用户权限级别降低前对应的资源的 权限,通过将已被降低用户权限级别客户端的属性信息从用户权限级别降低前对应的资源的访问列表中删除,实现了用户访问列表的及时更新,保证了内网资源数据的安全,有效防止资源数据的泄露。
本发明实施例还提供一种网关设备,包括第二实施例中所述的局域网内网资源的访问控制装置。
本发明实施例的局域网内网资源的访问控制装置,通过直接在网关设备中的执行处理模块上根据用户权限级别对应的资源权限等级对访问局域网内部资源的客户端进行资源访问权限的判断,并在该客户端具有资源访问权限时,将资源连接请求转发至目标服务器,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源;而且网关设备中的访问列表更新模块通过对权限变更的用户或资源的资源连接的立即复位,保证了资源动态变更权限时,局域网内部网络资源的数据安全。
第三实施例
如图4所示,为本发明实施例的局域网内网资源的访问控制方法的具体流程示意图,下面就该图具体说明用户端访问局域网内网资源的实施过程。
这里,用户端也就是第一实施例及第二实施例中所述的客户端。
步骤301,网关设备接收一用户的访问连接请求;
这里,用户的访问连接请求消息通过ssl协议建立加密隧道发送至网关设备。
步骤302,网关设备验证用户身份是否合法;
若是,则执行步骤303;若否,则结束流程,访问连接断开。
这里需要说明的是,用户身份的合法性验证可通过ssl协议的身份验证机制获取该用户的用户通用名,通过网关设备中该用户通用名对应的数字证书对该用户进行身份验证。
当验证通过后,将内网ip地址分配给该用户,完成该访问连接请求,这就意味着该用户可访问局域网的内部资源。
步骤303,记录该用户通用名并获取用户权限级别。
这里,可通过该用户通用名从网关设备中用户权限列表中获取该用户的用户权限级别。
步骤304,网关设备获取该用户所访问资源的资源权限等级;
这里,首先网关设备接收该用户发送的资源连接请求,根据该资源连接请求中获取该用户要访问的资源,通过网关设备中的资源权限列表获取该用户要访问的资源的权限等级。
步骤305,网关设备判断该用户是否具有权限访问该资源;
若是,则执行步骤306;若否,则结束流程。
这里需说明的是,本步骤网关设备判断该用户的用户权限级别对应的资源权限等级是否高于或等于该用户所要访问资源的资源权限等级,若是,则该用户具有权限访问该资源。
步骤306,网关设备向目标服务器转发该用户的资源连接请求;
这里,通过直接在网关设备上对用户的资源访问权限进行判断,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源。
步骤307,用户连接并获取所要访问的资源;
步骤308,网关设备断开连接,并将该用户的访问记录从该资源的用户访问列表中删除。
这里需要说明的是,将该用户的访问记录从该资源的用户访问列表中删除可防止后续若用户权限级别或资源权限等级变更后,内网数据泄露,保证内网数据资源的安全性,同时也便于用户权限级别或资源权限等级变更时,用户访问列表的及时更新。
本发明实施例的局域网内网资源的访问控制方法,通过直接在网关设备上根据用户权限级别对应的资源权限等级对访问局域网内部资源的客户端进行资源访问权限的判断,并在该客户端具有资源访问权限时,将资源连接请求转发至目标服务器,提高了用户访问局域网内部资源的资源访问效率,且减轻目标服务器的处理负担,节省了内部网络资源;而且通过对权限变更的用户或资源的资源连接的立即复位,保证了资源动态变更权限时,局域网内部网络资源的数据安全。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰, 这些改进和润饰也应视为本发明的保护范围。