内网安全域解决方案.docx

内网安全域解决方案
2011-05-06
基本思路：
服务器分离出单独的程序用来处理内网安全域，策略不再通过 7899 端口下发，而是由 服务器生成策略包，然后客户端去下载。客户端策略的获取分为：上线自动获取，间隔时间 获取，服务器通内网安全域解决方案
2011-05-06
基本思路：
服务器分离出单独的程序用来处理内网安全域，策略不再通过 7899 端口下发，而是由 服务器生成策略包，然后客户端去下载。客户端策略的获取分为：上线自动获取，间隔时间 获取，服务器通知。
策略包的生成分为两种情况：控制台操作的立即生成策略包，客户端上下线（这里的上 下线不是 7899 端口而是内网安全域表中的在线状态，这个在线状态是客户端间隔时间内下 载策略包请求的标识，如果在 3次客户端间隔时间内没有请求则将状态置为下线）在一定间 隔内（必须客户端状态变化）生成策略包。策略包含只有一个不区分域，策略包内有域的信息。 控制台向单独的程序发送操作命令，然后单独程序生成策略包。
控制台可以设置更新间隔，server会在客户端上线时将这个时间间隔下发给客户端，客
户端将这个时间间隔保存到本地，然后会在间隔时间内去下载策略包。
在内网安全域表中加入一个状态，这个状态代表域内客户端是否在线（0 下线 ， 1 在
线，2自定义IP），启动单独程序现将内网安全域表表中状态为1的置为0然后根据 T_SC_UserManager表中在线客户端，将内网安全域表中的状态更新为在线。当客户端发送 策略请求时将原状态为 0的置为 1，如果在固定次数的时间间隔内没有收到请求包则将状态 为1的置为0。
处理流程：
单独程序在启动时将内网安全域表中状态为 1 的客户端状态置为 0，然后根据
T_SC_UserManager表中客户端在线状态将安全域表中状态置为1；更新完状态后单独程序 读取内网安全域表保存到缓存表中，缓存表包含客户端信息、所在域、在线状态（内网安全 域表中的在线状态）。然后生成策略包，策略包中只包含在线的客户端。
单独程序会有一个线程在间隔时间内检查缓存表是否改变，如果改变会重新生成策略 包，否则不重新生成策略包。（策略包生成过程中策略包名称是临时的，生成完成才会改为 实际真实的策略包名称，并将原来的策略包删除）。
客户端上线通过 tcp 端口 7881 发送本地的策略包请求，包含客户端唯一标识、策略包
名称，策略包时间戳。当客户端上线时发送请求，单独程序接收到客户端请求，检查该客户 端是否在线，如果不在线就将缓存表中的状态置为 1，并更新数据库安全域表状态为 1，另
外的线程会在间隔时间后检查到缓存表更新然后重新生成策略包；单独程序将本地策略包信 息发送给客户端（不包含策略内容）。如果客户端请求中的客户端不在域中（该客户端从域中 删除），则发送空的策略包信息。如果发送请求的客户端不在缓存表中（不在IP和ip段内）， 则从数据库查询该客户端是否属于安全域，如果不属于安全域则直接通知客户端无效请求， 否则将该域更新到缓存表中，并生成新策略包，将策略包信息发送给客户端。
客户端收到服务器返回的策略包信息，与客户端本地的策略包信息作对比，如果服务器 上的策略包新则向服务器索取策略包，否则向服务器发送关闭连接。客户端接收到新的策略 包后会将该自己拥有最新策