(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111436436.1 (22)申请日 2021.11.29 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 王会龙　陈楚明　 (74)专利代理 机构 深圳市深佳知识产权代理事 务所(普通 合伙) 44285 代理人 吴欣蔚 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种网络访问控制方法、 装置、 设备及存储 介质 (57)摘要 本申请公开了一种网络访问控制方法， 应用 于部署在终端上的访问控制客户端， 包括在监测 到用户使用终端上的应用发送对外访问请求的 情况下， 拦截对外访问请求； 获取终端的当前安 全指标信息， 当前安全指标信息用于指示终端当 前环境的安全指标， 由终端本地计算产生； 在对 外访问请求中嵌入安全指标信息； 将对外访问请 求发送至访问控制服务端， 以指示访问控制服务 端基于当前安全指标信息确定是否放通对外访 问请求。 本技术方案可以通过当前安全指标信息 及时、 准确地确定出是否能够将监测到的对外访 问请求放通， 可以对终端中应用的对外访问进行 有效管控， 保证终端安全性。 本申请还公开了另 一种网络访问控制方法、 装置、 设备及存储介质， 具有相应技 术效果。 权利要求书2页 说明书12页 附图2页 CN 114124556 A 2022.03.01 CN 114124556 A 1.一种网络访问控制方法， 其特征在于， 应用于部署在终端上的访问控制客户端， 所述 网络访问控制方法包括： 在监测到用户使用所述终端上的应用发送对外访问请求的情况下， 拦截所述对外访问 请求； 获取所述终端的当前安全指标信息， 其中， 所述当前安全指标信息用于指示所述终端 当前环境的安全指标， 所述当前安全指标信息由所述终端本地计算产生； 在所述对外访问请求中嵌入所述当前安全指标信息； 将所述对外访问请求发送至访问控制服务端， 以指示所述访问控制服务端基于所述当 前安全指标信息和应用防护策略确定是否放 通所述对外访问请求。 2.根据权利要求1所述的网络访问控制方法， 其特征在于， 所述终端上还部署有环境检 测客户端， 所述当前安全指标信息由所述环境检测客户端计算生成， 所述获取所述终端的 当前安全指标信息， 包括： 在与所述环境检测客户端成功建立通信连接后， 从所述环境检测客户端获取所述终端 的当前安全指标信息 。 3.根据权利要求2所述的网络访问控制方法， 其特征在于， 所述从所述环境检测客户端 获取所述终端的当前安全指标信息， 包括： 向所述环境检测客户端发送信息获取请求； 接收所述环境检测客户端基于所述信息获取请求返回的所述终端的当前安全指标信 息。 4.根据权利要求2所述的网络访问控制方法， 其特征在于， 所述信 息获取请求中携带验 证信息， 以指示所述环境检测客户端对所述访问控制客户端 进行校验。 5.根据权利要求4所述的网络访问控制方法， 其特征在于， 所述验证信 息具体为所述访 问控制客户端的进程号参数， 以使所述环境检测客户端根据所述进程号参数获取进程签 名， 并基于所述进程签名对所述访问控制客户端 进行安全校验。 6.根据权利要求2所述的网络访问控制方法， 其特征在于， 通过以下步骤确定是否与 所 述环境检测客户端成功建立 通信连接： 将预设的初始端口确定为连接端口； 通过连接地址及所述连接端口， 与所述环境检测客户端建立通信连接， 所述连接地址 为回送地址、 本地主机或者预设的自定义 域名； 如果未成功建立通信连接， 则将所述连接端口更新为所述连接端口与设定的步进值的 和， 重复执行所述通过连接地址及所述连接端口， 与所述环境检测客户端建立通信连接的 步骤， 直至与所述环境检测客户端成功建立 通信连接 。 7.根据权利要求1至6之中任一项所述的网络访 问控制方法， 其特征在于， 在所述拦截 所述对外访问请求之后、 所述获取 所述终端的当前安全指标信息之前， 还 包括： 确定所述对外访问请求中是否携带令牌信息； 在所述对外访问请求携带有所述令牌信 息时， 利用所述令牌信 息对所述用户进行合法 认证， 并在认证未通过时， 输出认证登录页面； 获取所述用户在所述认证登录页面输入的认证信息； 利用所述认证信息对所述用户进行合法认证， 并在认证通过时， 执行所述获取所述终权　利　要　求　书 1/2 页 2 CN 114124556 A 2端的当前安全指标信息的步骤； 相应地， 在基于所述认证信息， 对所述用户进 行合法认证通 过的情况 下， 还包括： 获取新令牌信息； 输出所述新令牌信息， 以使所述用户在发起所述对外访 问请求时， 将所述新令牌信息 添加至所述外访问请求中。 8.根据权利要求1至6中任一项所述的网络访 问控制方法， 其特征在于， 所述在所述对 外访问请求中嵌入所述当前安全指标信息， 包括： 在所述对外访问请求的IP头 部的预设字段中， 嵌入所述当前安全指标信息 。 9.一种网络访问控制装置， 其特征在于， 应用于部署在终端上的访问控制客户端， 所述 网络访问控制装置包括： 对外访问请求拦截模块， 用于在监测到用户使用所述终端上的应用发送对外访问请求 的情况下， 拦截所述对外访问请求； 当前安全指标信 息获取模块， 用于获取所述终端的当前安全指标信 息， 其中， 所述当前 安全指标信息用于指示所述 终端当前环境的安全指标， 所述当前安全指标信息由所述终端 本地计算产生； 当前安全指标信息嵌入模块， 用于在所述对外访问请求中嵌入所述当前安全指标信 息； 对外访问请求发送模块， 用于将所述对外访 问请求发送至访 问控制服务端， 以指示所 述访问控制服务端基于所述当前安全指标信息和应用防护策略确定是否放通所述对外访 问请求。 10.一种网络访问控制设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至8任一项所述的网络访问控制 方法的步骤。 11.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至8任一项 所述的网络访问控制方 法的步骤。权　利　要　求　书 2/2 页 3 CN 114124556 A 3