[发明专利]一种网络流量管控方法、装置、设备及介质

说明书

本申请公开了一种网络流量管控方法、装置、设备及介质，涉及网络技术领域。方法应用于二层交换机，通过对连接的各终端设备进行入网认证；其中，终端设备至少包含设置有零信任终端的PC；与零信任控制器共同对通过入网认证的PC进行单包认证；若PC通过单包认证，则接收零信任控制器发送的资源访问权限清单；发送资源访问权限清单至PC，以用于PC中的零信任终端接管二层网络的流量代理与管控。由此可知，上述方案通过二层交换机和零信任控制器对PC中零信任终端进行入网认证和单包认证，在通过认证后赋予了零信任终端二层网络资源访问权限；通过零信任终端即可实现二层网络资源的访问流量管控，提升了二层网络资源访问的安全性。

技术领域

本申请涉及网络技术领域，特别是涉及一种网络流量管控方法、装置、设备及介质。

背景技术

零信任代表了新一代的网络安全防护理念；基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。近年来，通过零信任终端进行远程办公的场景也是越来越多。但是，在涉及二层网络资源的安全管控上，传统的网络环境和传统的零信任系统解决方案均存在不足。

在传统零信任的实现方案中，流量的权限管控是由零信任网关完成，而网关的部署一般是和核心交换器串连在一起部署，使用这样的部署方式一方面是因为流量管控的需要，即只有网络流量必须经过零信任网关才能实现流量管控；另一方面是建设成本的问题，和核心交换机部署在一起而不是和二层（或非核心三层）交换机部署在一起可以减少零信任网关部署数量。因此，基于以上原因，二层网络的访问流量因为不流经零信任网关，所以传统零信任无法针对二层网络资源的访问流量进行管控。此外，在传统的二层网络环境中，只要终端连接网络就可以访问二层网络资源，这对资源来说会有严重的安全风险。

鉴于上述问题，如何实现二层网络资源的访问流量进行管控，并实现对二层网络资源的安全访问，是该领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种网络流量管控方法、装置、设备及介质，能够实现对二层网络资源的访问流量进行管控，并实现对二层网络资源的安全访问。

为解决上述技术问题，本申请提供一种网络流量管控方法，应用于二层交换机；所述方法包括：

对连接的各终端设备进行入网认证；其中，所述终端设备至少包含设置有零信任终端的PC；

与零信任控制器共同对通过所述入网认证的所述PC进行单包认证；

若所述PC通过所述单包认证，则接收所述零信任控制器发送的资源访问权限清单；

发送所述资源访问权限清单至所述PC，以用于所述PC中的所述零信任终端接管二层网络的流量代理与管控。

优选地，所述对连接的各终端设备进行入网认证包括：

当所述终端设备为设置有所述零信任终端的所述PC时，接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息；

发送所述设备信息至所述零信任控制器，以用于所述零信任控制器根据所述设备信息对所述PC进行入网认证，并返回认证结果。

优选地，所述接收所述PC通过所述零信任终端进行环境感知生成并发送的设备信息包括：

通过基于局域网的扩展认证协议接收所述设备信息，以用于作为中继将所述设备信息通过基于局域网的扩展认证协议发送至所述零信任控制器。

优选地，所述对连接的各终端设备进行入网认证包括：

若所述终端设备还包括哑终端，则通过MAC旁路认证对所述哑终端进行所述入网认证。

优选地，所述零信任终端接管所述二层网络的流量代理与管控的具体过程包括：

根据所述资源访问权限清单生成本地流量规划；