[发明专利]一种控制用户URL访问的方法及装置

说明书

技术领域

本发明涉及网络通信领域，尤其涉及一种在终端上控制用户URL访问并防止用户通过篡改Hosts文件来访问非法URL的方法及装置。

背景技术

随着个人计算机和互联网的迅速普及，网络在人们的工作和生活中的应用越来越广泛。在很多场合尤其是办公环境中，企事业单位为了保护自身的信息安全，对员工使用互联网的限制要求越来越高，对员工的网络访问权限的控制也越来越严格。在很多办公环境中，常常需要对不同的办公人员赋予不同的网络使用权限。

目前，控制用户URL访问权限最常见的方案有如下四种：

方案1：MAC地址过滤。通过在网络设备上配置允许接入的MAC地址列表，来控制终端接入权限。但此方案缺陷为：MAC地址过滤技术要求必须明确网络中每个网络设备的MAC地址，并要根据控制策略对网络设备各端口的MAC地址过滤表进行配置。如果网络设备的网卡发生变化，或物理位置变化，或者有新的用户终端加入到网络中时则需要重新配置，所以网络管理负担相当重，而且随着网络设备数量的不断扩大，维护工作量也随之加大。而且现在已经有网卡能够支持MAC地址重新配置，由此可以构造合法的MAC地址来获取访问权限，即MAC地址“欺骗”。最重要的是，终端用户访问URL的权限只有能和不能两种，权限划分过于单一，无法实现多层次的访问控制策略。

方案2：VLAN隔离。通过VLAN技术，把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”。组和组之间的网络设备在二层上互相隔离，形成不同的广播域。但此方案的缺陷为：VLAN隔离方案要求必须明确交换机上的每一个物理端口所连接的设备的MAC地址或者IP地址，根据需求划分不同的工作组并对交换机进行配置。当某终端网卡、IP地址或是物理位置发生变化时，需要对整个网络系统中多个相关的网络设备进行重新配置，维护工作量很大。另外，VLAN隔离方案是针对公司内网进行的划分，其用于限制终端用户在内网的访问URL的权限，无法对外网的访问进行控制。

方案3：ACL访问控制列表。基于包过滤的流向控制技术，通过把源地址、目的地址以及端口号作为数据包检查的基本元素，来决定是否允许数据包的通过。此方案的缺陷为：使用ACL访问控制列表，需要明确每一台主机及工作站所在的IP子网，并确认它们之间的访问关系。在终端数量巨大的网络中，为了实现访问控制会浪费很多的IP地址资源，同时巨大的网络终端数量，同样会使得管理的复杂性和难度变得很高。

方案4：硬件防火墙。使用专业的硬件防火墙设备来控制网络访问。但此方案的缺陷为：通常硬件防火墙的价格都比较高，采用此方案将导致企业运营成本大。

另外，上述所有的方案都是依赖网络设备实现的，因而在控制终端用户访问URL时显得不够灵活、方便。

发明内容

有鉴于此，本发明提出了一种控制用户URL访问的方法及装置，通过将URL服务器上事先配置用户URL的访问策略下发至用户终端，根据所述下发的URL用户访问策略来控制用户的URL访问。

本发明提出了一种控制用户URL访问的方法，应用于由用户终端和URL服务器构成的网络系统中，其中，所述方法包括如下步骤：

步骤1，在URL服务器上配置需要管理的URL访问资源；

步骤2，在URL服务器上配置用户URL的访问策略；

步骤3，当用户终端通过URL服务器接入网络时，URL服务器将配置的用户URL的访问策略下发给用户终端，用户随后的URL访问，将依照所述下发的URL访问策略判断是否允许用户进行URL访问。

进一步地，所述方法还包括：

步骤A，在URL服务器上配置用户终端上报hosts文件中IP地址的规则；

步骤B，用户终端通过URL服务器接入网络时，URL服务器下发用户终端上报hosts文件中IP地址的规则，并依据所述规则上报本地hosts文件中的IP地址；

步骤C，URL服务器收到用户终端上报的hosts文件中的IP地址，将之与其自身保留的允许用户终端hosts文件中存在的IP地址范围进行匹配，如果匹配，则允许用户终端继续访问URL资源，否则断开其与URL服务器的连接，使之不再访问任何网络资源。

进一步地，所述步骤A配置用户终端上报hosts文件中IP地址的规则具体为，在URL服务器上配置用户终端上报hosts文件中IP地址的间隔时长、超时时长和重试次数。

进一步地，所述配置的间隔时长、超时时长和重试次数应限制为：“超时时长”ד重试次数＋1”<“上报间隔时长”。