应用访问控制方法、装置、设备、存储介质及程序产品

技术领域

本公开涉及网络通信技术领域，具体涉及应用访问控制方法、装置、设备、存储介质及程序产品。

背景技术

软件定义广域网（Software Defined Networking in a Wide Area Network，简称SD-WAN）作为一种虚拟广域网架构，SD-WAN支持托管企业内部的互联网数据中心、公有云或私有云中的业务应用程序，以及软件运营服务（Software as a Service，简称SaaS），能够提供高水平的应用程序性能。

在实际应用场景中，若企业在不同区域设立有分支机构，则企业可以通过在各个分支机构所在区域部署用于接入SD-WAN的客户侧设备（Customer Premises Equipment，简称CPE），各个分支机构中的终端设备通过所在区域的客户侧设备接入至SD-WAN中，以形成分支网络。其中，企业可以通过SD-WAN提供的软件服务模式，将终端设备上的业务应用与该业务应用的服务端连接，以获取所需的应用资源。

但是，由于SD-WAN的路由配置策略数量有限，难以覆盖到所有可能的流量调度场景，从而导致终端设备上的业务应用与该业务应用的服务端位于不同的区域时，业务应用的访问流量可能被错误调度至其他区域，再从其他区域绕行至该业务应用的服务端所在区域，从而导致基于SD-WAN网络跨区域访问应用资源时访问延迟较长。

发明内容

有鉴于此，本公开提供了一种应用访问控制方法、装置、设备、存储介质及程序产品，以解决基于SD-WAN网络跨区域访问应用资源时访问延迟较长的问题。

第一方面，本公开提供了一种应用访问控制方法，所述方法应用于软件定义广域网，包括：

获取应用配置信息；其中，所述应用配置信息包括多个预设应用信息，以及各个所述预设应用信息对应的预设访问标识和出口网关信息；

响应于安全管理应用的客户端的连接请求，获取所述客户端的目标访问标识；

基于所述目标访问标识，从所述应用配置信息中查询对应的目标应用信息，以及所述目标应用信息对应的目标出口网关信息；

将所述目标应用信息以及所述目标出口网关信息反馈至所述客户端，以使所述客户端基于所述目标应用信息以及所述目标出口网关信息对目标终端设备上的第一业务应用进行访问控制；其中，所述目标终端设备为所述客户端所在的终端设备，所述第一业务应用与所述目标应用信息相对应。

第二方面，本公开提供了一种应用访问控制装置，所述装置应用于软件定义广域网，包括：

配置信息获取模块，用于获取应用配置信息；其中，所述应用配置信息包括多个预设应用信息，以及各个所述预设应用信息对应的预设访问标识和出口网关信息；

访问标识获取模块，用于响应于安全管理应用的客户端的连接请求，获取所述客户端的目标访问标识；

配置信息查询模块，用于基于所述目标访问标识，从所述应用配置信息中查询对应的目标应用信息，以及所述目标应用信息对应的目标出口网关信息；

应用访问控制模块，用于将所述目标应用信息以及所述目标出口网关信息反馈至所述客户端，以使所述客户端基于所述目标应用信息以及所述目标出口网关信息对目标终端设备上的第一业务应用进行访问控制；其中，所述目标终端设备为所述客户端所在的终端设备，所述第一业务应用与所述目标应用信息相对应。

第三方面，本公开提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的应用访问控制方法。

第四方面，本公开提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的应用访问控制方法。

第五方面，本公开提供了一种计算机程序产品，包括计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的应用访问控制方法。

本公开实施例提供的应用访问控制方法，预先配置多个预设应用信息，以及各个预设应用信息对应的预设访问标识和出口网关信息。在接收到安全管理应用的客户端的连接请求时，基于客户端的目标访问标识，从多个预设应用信息和出口网关信息中查询对应的目标应用信息以及目标出口网关信息。并将查询到的信息反馈至客户端，以使客户端基于目标应用信息以及目标出口网关信息对目标终端设备上的第一业务应用进行访问控制。因此，能够根据不同的访问标识以及所要访问的第一业务应用，将第一业务应用的访问流量调度至与第一业务应用的服务端对应的出口网关，从而避免第一业务应用的访问流量被错误调度至其他区域，以减少基于SD-WAN网络跨区域访问应用资源时的访问延迟。

附图说明

为了更清楚地说明本公开具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本公开的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本公开实施例的一种基于SD-WAN的网络架构的示意图；

图2是根据本公开实施例的一种应用访问控制方法的流程示意图；

图3是根据本公开实施例的一种应用信息的配置页面示意图；

图4是根据本公开实施例的一种应用配置信息的配置页面示意图；

图5是根据本公开实施例的一种应用配置信息的配置流程示意图；

图6是根据本公开实施例的一种接入点获取应用配置信息的流程示意图；

图7是根据本公开实施例的一种响应于客户端连接请求的交互示意图；

图8是根据本公开实施例的另一种应用访问控制方法的流程示意图；

图9是根据本公开实施例的一种域名解析的流程示意图；

图10是根据本公开实施例的一种数据请求报文的传输流程示意图；

图11是根据本公开实施例的一种应答报文的传输流程示意图；

图12是根据本公开实施例的一种应用访问控制装置的结构框图；

图13是根据本公开实施例的一种计算机设备的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的实施例。虽然附图中示出了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

在本公开的实施例的描述中，术语“包括”及其类似用语应当理解为开放性包含，即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“一些实施例”应当理解为“至少一些实施例”。下文还可能包括其他明确的和隐含的定义。

在本文中，除非明确说明，“响应于A”执行一个步骤并不意味着在“A”之后立即执行该步骤，而是可以包括一个或多个中间步骤。

可以理解的是，本技术方案所涉及的数据（包括但不限于数据本身、数据的获得、使用、存储或删除）应当遵循相应法律法规及相关规定的要求。

可以理解的是，在使用本公开各实施例公开的技术方案之前，均应当根据相关法律法规通过适当的方式对本公开所涉及信息的类型、使用范围、使用场景等告知相关用户并获得相关用户的授权，其中，相关用户可以包括任何类型的权利主体，例如个人、企业、团体。

例如，在响应于接收到用户的主动请求时，向相关用户发送提示信息，以明确地提示相关用户，其请求执行的操作将需要获得和使用到相关用户的信息，从而使得相关用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供信息。

作为一种可选的但非限制性的实现方式，响应于接收到相关用户的主动请求，向相关用户发送提示信息的方式，例如可以是弹窗的方式，弹窗中可以以文字的方式呈现提示信息。此外，弹窗中还可以承载供用户选择“同意”或“不同意”向电子设备提供信息的选择控件。

可以理解的是，上述通知和获得用户授权过程仅是示意性的，不对本公开的实现方式构成限定，其他满足相关法律法规的方式也可应用于本公开的实现方式中。

办公安全通常涉及网络、身份、终端的安全管理，通过实现专有网络组网、接入访问控制、专有网络中的终端的管理和信息安全保护，可以让数字化办公更安全、高效和易用。网络层面的安全管理，可以确保办公网络等专有网络能够安全、高效地运行，进而确保业务数据能够进行安全传输和存储。身份层面的安全管理，可以提高用户接入专有网络的身份认证效率和安全性。终端层面的安全管理，可以实现专有网络内的终端设备的统一管理、数据防泄密和终端威胁防护，从而确保企业数据的安全。

在实际应用中，网络、身份、终端的安全管理，可以在组网策略、网络准入与控制、远程接入、统一终端管理、终端检测与响应、企业数据防泄漏以及身份认证管理等多个技术分支实现技术关联，从而让数字化办公更简单、更高效、更易落地。

软件定义广域网（Software Defined Networking in a Wide Area Network，简称SD-WAN）作为一种虚拟广域网架构，SD-WAN支持托管企业内部的互联网数据中心、公有云或私有云中的业务应用程序，以及软件运营服务（Software as a Service，简称SaaS），能够提供高水平的应用程序性能。

在实际应用场景中，若企业在不同区域设立有分支机构，则企业可以通过在各个分支机构所在区域部署用于接入SD-WAN的客户侧设备（Customer Premises Equipment，简称CPE），各个分支机构中的终端设备通过所在区域的客户侧设备接入至SD-WAN中，以形成分支网络。其中，企业可以通过SD-WAN提供的软件服务模式，将终端设备上的业务应用与该业务应用的服务端连接，以获取所需的应用资源。

在相关技术中，通常需要在企业内部的终端设备中安装安全管理应用，通过安全管理应用对终端设备上的业务应用进行访问控制，以保证业务应用资源的安全性。当安全管理应用的客户端检测到某个业务应用需要访问对应的服务端时，安全管理应用的客户端会在本地的域名解析服务器对该业务应用的域名进行解析，得到相应的互联网协议地址。SD-WAN控制器根据解析得到的互联网协议地址以及预先配置的路由配置策略（例如，将区域A的流量导流至区域B）和智能选路算法，选择最佳的路径来访问该互联网协议地址对应的服务端。同时，SD-WAN控制器会基于所选择的路径生成相应的流表并下发至接入点（Points of Presence，简称POP），以指导业务应用的访问流量沿着所选择的路径进行传输。

但是，由于SD-WAN的路由配置策略数量有限且路由管控力度粗糙，难以覆盖到所有可能的流量调度场景，从而导致企业内部各个终端设备上的业务应用与该业务应用的服务端位于不同的区域时，业务应用的访问流量可能被错误调度至其他区域，再从其他区域绕行至服务端所在区域，从而导致终端设备上的业务应用基于SD-WAN网络跨区域访问应用资源时访问延迟较长。例如，终端设备位于区域A，所要访问的业务应用的服务端位于区域C，假设目前的路由配置策略需要将区域A的流量均导流到区域B，则如果终端设备上的业务应用需要访问区域C的服务端，需要先将流量送到区域B后再尝试访问区域C的服务端。

此外，在终端设备与所要访问的服务端部署在同一区域时，业务应用的访问流量也可能被错误调度至其他区域，再从其他区域绕行至服务端所在区域，从而导致终端设备上的业务应用访问应用资源时访问延迟较长。例如，终端设备与所要访问的业务应用的服务端均位于区域A，假设目前的路由配置策略需要将区域A的流量均导流到区域B，则终端设备上的业务应用访问该业务应用的服务端，需要先将流量送到区域B后，再从区域B回到区域A的服务端。

综上，由于目前SD-WAN的路由配置策略数量有限且路由管控力度粗糙，从而导致基于SD-WAN网络跨区域访问应用资源时访问延迟较长。

有鉴于此，根据本公开实施例，提供了一种应用访问控制方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本公开实施例所采用的基于软件定义广域网（以下简称SD-WAN）的网络架构主要包括：面向企业内部成员的安全管理应用的客户端、SD-WAN的客户侧设备（以下简称CPE）、接入点（以下简称POP）、控制平面。

参见图1所示的内容，本公开的网络架构中各个组件的用途如下：

（1）安全管理应用的客户端部署在企业内部网络中的各个终端设备上，通过安全管理应用的客户端可以对客户端所在终端设备上的业务应用进行访问控制，例如，SaaS应用、托管在互联网数据中心、公有云、私有云的业务应用等。

（2）CPE部署在企业的总部、分支网络、互联网数据中心（Internet Data Center，简称IDC机房）或云服务（如公有云、私有云）等。CPE作为分支网关与所在分支网络的客户端连接，用于汇聚所在分支网络的所有代理流量（例如客户端的流量）。

（3）POP与在物理上靠近的CPE连接，POP用于对CPE所汇聚的流量进行转发。

（4）控制平面用于配置应用信息，例如，需要跨区域访问或者调度的业务应用的应用名称及其应用地址（例如应用的域名）。此外，控制平面还用于配置各个应用对应的选路策略，例如，各个应用对应的访问标识，以及作为出口网关的CPE信息，出口网关与应用的服务端在地理位置上接近。控制平面将配置的内容下发至POP，由POP根据所连接的安全管理应用的客户端的访问标识，将安全管理应用的客户端需要进行访问控制的应用信息及其对应的选路策略下发至客户端。

在本实施例中提供了一种应用访问控制方法，可用于上述的SD-WAN，如SD-WAN中的POP，图2是根据本公开实施例的一种应用访问控制方法的流程示意图，如图2所示，该流程包括如下步骤：

步骤S201，获取应用配置信息；其中，应用配置信息包括多个预设应用信息，以及各个预设应用信息对应的预设访问标识和出口网关信息。

具体地，预设应用信息包括应用名称以及应用地址。应用地址为互联网协议地址或者域名。此外，预设应用信息还包括应用标签，以对所配置的应用进行分类管理。预设访问标识包括多个类别的标识。例如，同一用户的预设访问标识包括用户标识、部门标识、角色标识。出口网关信息用于安全管理应用的客户端确定与预设应用信息对应的业务应用的服务端在地理位置上较近的作为出口网关的CPE。例如，预设应用信息对应的业务应用的服务端部署于区域A，则可以将SD-WAN中部署于区域A的CPE作为出口网关。

示例性地，如图3所示，管理员在控制平面配置相应的应用信息，例如需要调度的业务应用的应用名称为Application，Application的应用地址为A.com，应用标签未配置，从而得到预设应用信息。在应用信息配置完成后，如图4所示，管理员在控制平面配置相应的应用配置信息，例如，业务应用的出口网关信息为test1，预设访问标识为ID1，以得到应用配置信息。

进一步地，如图5所示，SD-WAN的控制平面将配置好的应用配置信息发送至软件即服务（Software as a Service，简称SaaS）的后端服务，由SaaS后端服务将应用配置信息写入预先构建的数据库。数据库在应用配置信息写入成功后，反馈数据写入成功的信息至SaaS后端服务，以告知SaaS后端服务数据写入完成。SaaS后端服务在接收到数据写入成功的信息后，反馈配置成功的信息至控制平面，以告知控制平面应用配置完成。

进一步地，如图6所示，POP通过定时任务向SaaS后端服务发送信息获取请求，以获取应用配置信息。SaaS后端服务在接收到POP的信息获取请求后，读取数据库，从数据库中获取应用配置信息，并将获取到的应用配置信息反馈至POP。POP将应用配置信息缓存到内存中。

步骤S202，响应于安全管理应用的客户端的连接请求，获取客户端的目标访问标识。

具体地，可以由POP对安全管理应用的客户端的连接请求进行解析，得到安全管理应用的客户端的目标访问标识。或者，POP将连接请求转发至第三方鉴权平台，例如SaaS后端服务，由第三方鉴权平台对连接请求进行权限校验并解析得到安全管理应用的客户端的目标访问标识。

步骤S203，基于目标访问标识，从应用配置信息中查询对应的目标应用信息，以及目标应用信息对应的目标出口网关信息。

具体地，如图7所示，对目标访问标识以及缓存的预设访问标识进行匹配，将相匹配的预设访问标识对应的预设应用信息作为目标应用信息。以及，将相匹配的预设访问标识对应的出口网关信息作为目标出口网关信息。

步骤S204，将目标应用信息以及目标出口网关信息反馈至客户端，以使客户端基于目标应用信息以及目标出口网关信息对目标终端设备上的第一业务应用进行访问控制；其中，目标终端设备为客户端所在的终端设备，第一业务应用与目标应用信息相对应。

具体地，将目标应用信息以及目标出口网关信息反馈至安全管理应用的客户端后，若安全管理应用的客户端检测到所在终端设备上与目标应用信息对应的业务应用需要访问对应的服务端，以获取所需的应用资源，则可以基于目标出口网关信息将目标应用信息对应的业务应用的访问流量（例如，域名解析请求或数据请求报文）转发至与目标出口网关信息对应的目标出口网关，以利用目标出口网关访问与目标应用信息对应的服务端，从而获取所需的应用资源。

本实施例提供的应用访问控制方法，预先配置多个预设应用信息，以及各个预设应用信息对应的预设访问标识和出口网关信息。在接收到安全管理应用的客户端的连接请求时，基于客户端的目标访问标识，从多个预设应用信息和出口网关信息中查询对应的目标应用信息以及目标出口网关信息。并将查询到的信息反馈至客户端，以使客户端基于目标应用信息以及目标出口网关信息对目标终端设备上的第一业务应用进行访问控制。因此，能够根据不同的访问标识以及所要访问的第一业务应用，将第一业务应用的访问流量调度至与第一业务应用的服务端对应的出口网关，从而避免第一业务应用的访问流量被错误调度至其他区域，以减少基于SD-WAN网络跨区域访问应用资源时的访问延迟。

在一些可选的实施方式中，上述步骤S202中的响应于客户端的连接请求，获取客户端的目标访问标识，包括：

步骤a1，响应于客户端的连接请求，将连接请求发送至第三方鉴权平台，以使第三方鉴权平台对连接请求进行权限校验。

步骤a2，若第三方鉴权平台权限校验成功，则接收第三方鉴权平台反馈的目标访问标识。

具体地，第三方鉴权平台为SaaS后端服务，如图7所示，POP响应于安全管理应用的客户端的连接请求，POP将连接请求反馈至SaaS后端服务，由SaaS后端服务对连接请求进行权限校验，例如，身份校验、访问权限校验、动态控制校验等。SaaS后端服务在连接请求的权限校验成功后，将校验结果以及与连接请求对应的目标访问标识反馈至POP。

进一步地，若第三方鉴权平台权限校验失败，则不对接收到的连接请求进行处理。

本实施例提供的应用访问控制方法，将连接请求发送至第三方鉴权平台进行权限校验，在权限校验后，接收第三方鉴权平台反馈的目标访问标识。因此，能够保证数据的安全性，避免数据泄露。

在一些可选的实施方式中，应用配置信息还包括各个预设应用信息对应的出口网关信息的优先级。则，上述步骤S203中的基于目标访问标识，从应用配置信息中查询对应的目标应用信息，以及目标应用信息对应的目标出口网关信息，包括：

步骤b1，基于目标访问标识，从应用配置信息中查询对应的目标应用信息，以及目标应用信息对应的第一网关信息集合。

步骤b2，基于第一网关信息集合中优先级最高的出口网关信息，确定适配于目标应用信息的目标出口网关信息。

需要说明的是，出口网关信息的优先级可根据出口网关信息对应的出口网关与目标应用信息对应的服务端之间的通信距离进行确定，通信距离越近则出口网关信息的优先级越高。此外，出口网关信息的优先级还可以根据出口网关信息对应的出口网关的数据传输质量、带宽、传输延迟等进行确定，例如，数据传输质量越高则出口网关信息的优先级越高等，在此不对出口网关信息的优先级的确定方式进行限定。

示例性地，如表1所示，假设预设访问标识为ID1，ID1对应的预设应用信息为A.com，出口网关信息包括test1以及test2，test1的优先级为99，test2的优先级为98。若目标访问标识为ID1，则目标应用信息为A.com，第一网关信息集合包括test1以及test2。由于test1的优先级要高于test2，因此目标出口网关信息为test1。

表1 应用配置信息

本实施例提供的应用访问控制方法，将优先级最高的出口网关信息，确定为适配于目标应用信息的目标出口网关信息。因此，能够在条件许可的情况下，以网络性能相对更好的出口网关传输数据，避免网络堵塞，从而进一步减少访问延迟。

需要说明的是，在第一网关信息集合中的出口网关信息的个数为一个的情况下，可直接将第一网关信息集合中的出口网关信息确定为目标出口网关信息。

在一些可选的实施方式中，预设访问标识和目标访问标识中均包含多个类别的标识。例如，用户标识、部门标识和角色标识。则，上述步骤b1中的基于目标访问标识，从应用配置信息中查询对应的目标应用信息，以及目标应用信息对应的第一网关信息集合，包括：

步骤b11，在预设访问标识和目标访问标识中，确定相匹配的第一访问标识和第二访问标识；其中，第一访问标识归属于预设访问标识，第二访问标识归属于目标访问标识。

步骤b12，将第一访问标识对应的预设应用信息，确定为适配于第二访问标识的目标应用信息。

步骤b13，基于第一访问标识对应的出口网关信息，确定适配于目标应用信息的第一网关信息集合。

具体地，在POP获取到应用配置信息时，可按照类别分别对预设访问标识中各个类别的标识对应的预设应用信息和出口网关信息进行缓存，例如，预设访问标识包括第一类别的标识、第二类别的标识和第三类别的标识，则可以对第一类别的标识、第二类别的标识、第三类别的标识对应的数据分别进行缓存。从而根据目标访问标识中不同类别的标识进行多次匹配查询。

示例性地，以第一类别的标识为员工标识，第二类别的标识为部门标识，第三类别的标识为角色标识为例。如表2所示，假设员工标识包括ID11，ID11对应的预设应用信息包括A.com和B.com，A.com和B.com对应的出口网关信息包括test1。如表3所示，假设部门标识包括ID21和ID22，ID21对应的预设应用信息包括A.com和B.com，A.com、B.com对应的出口网关信息包括test1。ID22对应的预设应用信息包括C.com，C.com对应的出口网关信息包括test2。如表4所示，假设角色标识包括ID31，ID31对应的预设应用信息包括A.com、B.com和C.com，A.com、B.com和C.com对应的出口网关信息包括test1和test2。

若某一用户的目标访问标识包括ID11、ID21、ID22以及ID31，则如表5所示，目标应用信息包括A.com、B.com、C.com，第一网关信息集合包括test1和test2。

表2 员工标识的数据

表3 部门标识的数据

表4 角色标识的数据

表5 目标访问标识的数据

本实施例提供的应用访问控制方法，若预设访问标识以及目标访问标识包括多个类别的标识，则先在预设访问标识和目标访问标识中，确定相匹配的第一访问标识和第二访问标识。再将第一访问标识对应的预设应用信息，确定为适配于第二访问标识的目标应用信息。以及，将第一访问标识对应的出口网关信息，确定为适配于目标应用信息的第一网关信息集合。因此，能够有效提高数据查询效率以及数据查询的完整性。

在一些可选的实施方式中，在优先级最高的出口网关信息为多个的情况下，上述步骤b2中的基于第一网关信息集合中优先级最高的出口网关信息，确定适配于目标应用信息的目标出口网关信息，包括：

步骤b21，基于第一网关信息集合中优先级最高的出口网关信息，得到第二网关信息集合。

步骤b22，获取第二网关信息集合中各个出口网关信息的配置时间。

步骤b23，将第二网关信息集合中配置时间最新的出口网关信息，确定为目标出口网关信息。

可以理解地，出口网关的网络性能可能会受到多种因素的影响而发生变化。例如，出口网关所连接的网络出现堵塞或者网络设备性能下降，那么出口网关的网络性能也会受到影响。因此，为了保证出口网关的网络性能稳定和安全，在实际配置过程中，会根据出口网关的网络性能等对出口网关信息进行更新。基于此，在相同优先级下，根据出口网关信息的配置时间选择配置时间最新的出口网关信息作为目标应用信息的目标出口网关信息，因此，能够使得所配置的目标出口网关信息更接近当前的网络状况，以进一步减少网络延迟。

本实施例提供的应用访问控制方法，将优先级最高的出口网关信息中配置时间最新的出口网关信息，确定为目标出口网关信息。因此，能够在条件许可的情况下，以网络性能相对更好的出口网关传输数据，从而进一步减少访问延迟。

需要说明的是，在优先级最高的出口网关信息为一个的情况下，可直接将优先级最高的出口网关信息确定为目标出口网关信息。

在一些可选的实施方式中，上述步骤S204中的将目标应用信息以及目标出口网关信息反馈至客户端，包括：

步骤c1，对目标应用信息进行哈希映射，得到目标映射数据；其中，目标映射数据用于表征目标应用信息的存在情况。

步骤c2，将目标映射数据以及目标出口网关信息反馈至客户端。

具体地，目标应用信息包括目标应用的应用地址，如目标应用对应的域名。目标映射数据可以为哈希表或者布隆过滤器。以目标映射数据为布隆过滤器为例，通过预设哈希函数对应用地址进行哈希映射，以将应用地址映射到预先构建的数组中，得到布隆过滤器。当需要查询一个所要访问的应用地址是否存在于目标应用信息时，可使用预设哈希函数对所要访问的应用地址进行哈希映射，以根据哈希映射结果，确定所要访问的应用地址是否存在于目标应用信息中。

本实施例提供的应用访问控制方法，对目标应用信息进行哈希映射，得到目标映射数据。将表征目标应用信息的存在情况的目标映射数据反馈至客户端。因此，一方面不需要将目标应用信息的实际数据发送至客户端，从而保证数据的安全性。另一方面能够在目标应用信息的数据量较大时，提高数据查询效率。

在一些可选的实施方式中，如图8所示，本公开的应用访问控制方法还包括：

步骤S801，响应于客户端的应用查询请求，对应用查询请求进行解析，得到待查询应用信息；其中，应用查询请求是客户端在检测到目标终端设备上的第二业务应用的应用信息不存在于目标应用信息中的情况下，根据第二业务应用的应用信息生成的。

步骤S802，获取分支选路信息，分支选路信息包括多个预设应用信息对应的分支路由信息。

步骤S803，基于待查询应用信息从分支选路信息中查询对应的目标分支路由信息。

步骤S804，将目标分支路由信息反馈至客户端，以使客户端基于目标分支路由信息对第二业务应用进行访问控制。

具体地，分支路由信息包括预设应用信息对应的出口网关信息，用于将与预设应用信息对应的访问流量调度至与出口网关信息对应的出口网关。

进一步地，分支路由信息还包括入口网关信息，用于将与预设应用信息对应的访问流量从入口网关信息对应的入口网关调度至与出口网关信息对应的出口网关。其中，入口网关为数据请求方所在区域的CPE。

需要说明的是，考虑到实际情况中，若预设应用信息数据量较大，难以基于访问标识对所有的应用访问情况进行配置。因此，在安全管理应用的客户端检测到所在终端设备上的第二业务应用的访问流量时，若第二业务应用的应用信息不存在于POP下发的目标应用信息中，则可以通过其他预先配置的分支路由信息将第二业务应用的访问流量调度至第二业务应用对应的服务端，从而确保应用访问业务的可靠性。

本实施例提供的应用访问控制方法，安全管理应用的客户端检测到所在终端设备的第二业务应用的应用信息不存在于目标应用信息中时，生成应用查询请求。POP根据应用查询请求中携带的待查询应用信息（即第二业务应用的应用信息）从分支选路信息中查询对应的目标分支路由信息，以使安全管理应用的客户端基于目标分支路由信息对第二业务应用进行访问控制。因此，能够确保应用访问业务的可靠性。

在一些可选的实施方式中，分支选路信息中还包括各个分支路由信息的优先级。上述步骤S803中的基于待查询应用信息从分支选路信息中查询对应的目标分支路由信息，包括：

步骤d1，基于待查询应用信息从分支选路信息中查询对应的分支路由信息集合。

步骤d2，将分支路由信息集合中优先级最高的分支路由信息，确定为目标分支路由信息。

需要说明的是，若分支路由信息集合中分支路由信息的个数为一个，则可以直接将分支路由信息集合中的分支路由信息确定为目标分支路由信息。

在一些可选的实施方式中，本公开所采用的基于SD-WAN的网络架构还包括中心域名系统（Domain Name System，简称DNS）。其中，控制平面将配置的应用配置信息下发至中心域名系统，中心域名系统与安全管理应用的客户端和CPE连接，中心域名系统用于将安全管理应用的客户端所在终端设备上的业务应用的域名解析请求转发至对应的出口网关，以解析得到该业务应用对应的服务端的网络地址。

具体地，目标应用信息包括第一业务应用的应用地址，该应用地址为域名。则，本公开的应用访问控制方法还包括：

步骤e1，响应于客户端发送的域名解析请求，将域名解析请求转发至中心域名系统；其中，域名解析请求是第一业务应用基于目标应用信息以及目标出口网关信息生成并发送至客户端的；中心域名系统用于基于目标出口网关信息将域名解析请求转发至对应的目标出口网关。

步骤e2，接收中心域名系统反馈的目标网络地址以及目标出口网关的网关地址；其中，目标网络地址是目标出口网关将域名解析请求发送至对应的域名解析服务器进行域名解析得到的。

步骤e3，将目标网络地址以及网关地址反馈至客户端，以使客户端对目标网络地址进行网络地址转换得到虚拟网络地址，并基于虚拟网络地址、网关地址以及目标网络地址对第一业务应用的数据进行传输。

值得说明的是，由于一个域名可能解析出多个网络地址（所解析出来的网络地址为IP地址），因此，基于同一业务应用的应用域名解析得到的网络地址会发生改变，则安全管理应用的客户端在对同一业务应用的访问流量进行调度时，需要动态地调整路由，容易造成访问错误。基于此，在本实施例中采用网络地址转换技术（Network AddressTranslation，简称NAT），对目标网络地址进行网络地址转换，得到虚拟网络地址，从而能够使用一个虚拟网络地址表示同一应用域名下所有解析得到的网络地址，以便于安全管理应用的客户端利用同一虚拟网络地址对同一应用域名的访问流量进行调度。此外，对于部分需要保护的应用资源来说，将域名实际解析得到的网络地址转换为虚拟网络地址，也能够在一定程度上避免外部网络直接获知域名的实际网络地址，确保数据安全。因此，在步骤e3中，安全管理应用的客户端在获取到目标网络地址时，可以从预先定义的多个预设网络地址或者预定义的网段中选取未被使用的预设网络地址，以作为虚拟网络地址。

作为举例地，如图9所示，以目标应用信息为需要跨区域访问服务端的第一业务应用的应用信息，目标出口网关为目标应用信息的服务端所在区域的目标CPE，目标出口网关信息为目标CPE的标识信息（即图9所示的CPE_ID），中心域名系统为SD-WAN的中心DNS为例。POP在获取到目标应用信息后，对目标应用信息进行哈希映射，得到表征目标应用信息的存在情况的布隆过滤器，将布隆过滤器以及目标出口网关信息反馈至安全管理应用的客户端。

假设安全管理应用的客户端所在终端设备上的业务应用A想要访问对应的服务端的资源，客户端获取业务应用A的应用地址（这里的应用地址为域名），例如A.com。此时客户端利用布隆过滤器判断A.com是否与任一目标应用信息相匹配，若A.com与任一目标应用信息相匹配，则表明业务应用A需要跨区域访问对应的服务端，客户端通过对应的POP（图中未示出）将A.com以及CPE_ID转发至中心DNS。中心DNS基于CPE_ID将A.com发送至目标CPE，由目标CPE将A.com发送至对应的域名解析服务器进行域名解析。假设解析得到A.com对应的目标网络地址为IP1（即A.com对应的服务端的网络地址为IP1），则域名解析服务器将IP1反馈至目标CPE，目标CPE将IP1反馈至中心DNS。中心DNS获取目标CPE的网关地址，如IP2。中心DNS通过POP将IP1以及IP2反馈至安全管理应用的客户端。由客户端对目标网络地址进行网络地址转换，得到虚拟网络地址，如IP3。然后客户端根据IP1、IP2以及IP3将A.com的访问流量调度至对应的服务端。

此外，若安全管理应用的客户端所在终端设备上的业务应用B想要访问对应的服务端的资源，则客户端获取业务应用B的目标域名，例如B.com。若客户端利用布隆过滤器判断出B.com与POP反馈的目标应用信息不匹配，则表明业务应用B不需要跨区域访问对应的服务端，安全管理应用的客户端通过公共网卡将B.com转发至客户端所在区域或者与客户端地理位置最近的域名解析服务器，以解析得到B.com对应的网络地址，客户端基于B.com对应的网络地址将业务应用B的访问流量调度至B.com对应的服务端。

在一些可选的实施方式中，本公开的应用访问控制方法还包括：

步骤f1，接收客户端发送的第二数据请求报文；其中，第二数据请求报文是客户端将第一数据请求报文的目的地址替换为网关地址，以及在第一数据请求报文中记录目标网络地址得到的；第一数据请求报文是客户端响应于第一业务应用发送的数据请求，并基于数据请求确定待传输的数据请求报文，以及将虚拟网络地址作为待传输的数据请求报文的目的地址得到的。

需要说明的是，第一数据请求报文的源地址为安全管理应用的客户端的网络地址。目标网络地址记录在第一数据请求报文的选项字段（即Options字段）中。

步骤f2，基于第二数据请求报文的目的地址将第二数据请求报文转发至目标出口网关；其中，目标出口网关用于基于第二数据请求报文中记录的目标网络地址，将第二数据请求报文的目的地址替换为目标网络地址，以将第二数据请求报文发送至与目标网络地址对应的目标服务端。

步骤f3，接收目标出口网关反馈的第一应答报文；其中，第一应答报文是目标出口网关将目标服务端反馈的应答报文的源地址替换为网关地址，并在该应答报文中记录目标网络地址得到的。

需要说明的是，目标服务端反馈的应答报文的源地址为目标网络地址，目的地址为安全管理应用的客户端的网络地址。目标网络地址记录在第一应答报文的选项字段中。

步骤f4，基于第一应答报文的目的地址将第一应答报文反馈至客户端；其中，客户端用于基于第一应答报文中记录的目标网络地址，将第一应答报文的源地址替换为目标网络地址，得到第二应答报文；以及，客户端用于将第二应答报文的源地址替换为虚拟网络地址，得到目标应答报文，并将目标应答报文反馈至第一业务应用。

需要说明的是，目标应答报文中包括目标应用信息对应的应用资源。

可以理解地，上述步骤f4中安全管理应用的客户端先将第一应答报文的源地址替换为目标网络地址，得到第二应答报文。再将第二应答报文的源地址替换为虚拟网络地址，得到目标应答报文，是为了确保本公开的数据传输流程符合标准超文本传输协议（Hypertext Transfer Protocol，简称HTTP）的访问流程，以使安全管理应用的客户端明确所接收到的应答报文是目标服务端生成的，而不是目标出口网关生成的，以及明确当前接收到的应答报文是基于以虚拟网络地址为目的地址的第一数据请求报文反馈回来的，从而确保最终解析得到正确的应用资源。

作为举例地，如图10所示，以安全管理应用的客户端所在终端设备上的业务应用A需要访问对应的服务端的资源，业务应用A的应用地址（这里的应用地址为域名）为A.com，客户端获取到A.com对应的目标网络地址为IP1，目标出口网关的网关地址为IP2，IP1对应的虚拟网络地址为IP3，客户端的网络地址为IP4，中心域名系统为SD-WAN的中心DNS，目标出口网关为A.com的服务端所在区域的目标CPE为例。安全管理应用的客户端接收业务应用A的数据请求，基于数据请求确定待传输的数据请求报文，并将IP4作为待传输的数据请求报文的源地址，将IP3作为待传输的数据请求报文的目的地址，生成第一数据请求报文。客户端对第一数据请求报文进行目的地址转换，将第一数据请求报文的目的地址替换为IP2，并在第一数据请求报文的选项字段中记录IP1，以得到第二数据请求报文。客户端将第二数据请求报文发送至对应的目标POP；其中，目标POP包括安全管理应用的客户端与目标CPE之间用于数据转发的POP，通过目标POP将第二数据请求报文转发至目标CPE。目标CPE基于第二数据请求报文的选项字段中记录的IP1，对第二数据请求报文进行目的地址转换，将第二数据请求报文的目的地址替换为IP1，以得到第三数据请求报文。目标出口网关将第三数据请求报文反馈至目标网络地址对应的目标服务端。

进一步地，如图11所示，目标服务端基于第三数据请求报文生成源地址为IP1且目的地址为IP4的应答报文。目标服务端将所生成的应答报文反馈至目标CPE，目标CPE将目标服务端所反馈的应答报文的源地址替换为IP2，并在目标服务端所反馈的应答报文的选项字段中记录IP1，以得到第一应答报文。目标CPE将第一应答报文发送至目标POP，通过目标POP将第一应答报文反馈至安全管理应用的客户端。客户端基于第一应答报文的选项字段中记录的IP1，对第一应答报文进行源地址转换，将第一应答报文的源地址替换为IP1，以得到第二应答报文。进一步地，客户端对第二应答报文进行网络地址转换，将第二应答报文的源地址替换为IP3，以得到目标应答报文。客户端将目标应答报文反馈至业务应用A，以使业务应用A从目标应答报文中获取A.com相关的应用资源。

作为一个具体应用示例，企业管理员可在控制平面进行应用管理配置，即配置想要调度的应用地址，以得到应用信息。以及，在控制平面进行选路策略配置，即配置应用信息、访问标识、出口网关信息之间的对应关系，以得到应用配置信息。然后，控制平面将配置内容下发至SD-WAN的POP。当企业内部员工通过安全管理应用的客户端点击连接到POP以后，POP通过本公开的应用访问控制方法将安全管理应用的客户端对应的目标应用信息以及目标出口网关信息下发至安全管理应用的客户端。客户端所在终端设备上的业务应用需要访问对应的服务端的应用资源时，通过POP下发的目标应用信息以及目标出口网关信息，确定该业务应用对应的出口网关信息，从而利用与出口网关信息对应的出口网关访问该业务应用的服务端，以获取应用资源。

在本实施例中还提供了一种应用访问控制装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

本实施例提供一种应用访问控制装置，适用于SD-WAN，例如SD-WAN的POP。如图12所示，该装置包括：

配置信息获取模块1201，用于获取应用配置信息；其中，应用配置信息包括多个预设应用信息，以及各个预设应用信息对应的预设访问标识和出口网关信息；

访问标识获取模块1202，用于响应于安全管理应用的客户端的连接请求，获取客户端的目标访问标识；

配置信息查询模块1203，用于基于目标访问标识，从应用配置信息中查询对应的目标应用信息，以及目标应用信息对应的目标出口网关信息；

应用访问控制模块1204，用于将目标应用信息以及目标出口网关信息反馈至客户端，以使客户端基于目标应用信息以及目标出口网关信息对目标终端设备上的第一业务应用进行访问控制；其中，目标终端设备为客户端所在的终端设备，第一业务应用与目标应用信息相对应。

在一些可选的实施方式中，访问标识获取模块1202包括：

权限校验单元，用于响应于客户端的连接请求，将连接请求发送至第三方鉴权平台，以使第三方鉴权平台对连接请求进行权限校验；

标识获取单元，用于若第三方鉴权平台权限校验成功，则接收第三方鉴权平台反馈的目标访问标识。

在一些可选的实施方式中，应用配置信息还包括各个预设应用信息对应的出口网关信息的优先级；配置信息查询模块1203块包括：

第一信息查询单元，用于基于目标访问标识，从应用配置信息中查询对应的目标应用信息，以及目标应用信息对应的第一网关信息集合；

第二信息查询单元，用于基于第一网关信息集合中优先级最高的出口网关信息，确定适配于目标应用信息的目标出口网关信息。

在一些可选的实施方式中，预设访问标识和目标访问标识中均包含多个类别的标识；第一信息查询单元包括：

标识匹配子单元，用于在预设访问标识和目标访问标识中，确定相匹配的第一访问标识和第二访问标识；其中，第一访问标识归属于预设访问标识，第二访问标识归属于目标访问标识；

应用确定子单元，用于将第一访问标识对应的预设应用信息，确定为适配于第二访问标识的目标应用信息；

网关确定子单元，用于基于第一访问标识对应的出口网关信息，确定适配于目标应用信息的第一网关信息集合。

在一些可选的实施方式中，网关确定子单元具体用于：

在优先级最高的出口网关信息为多个的情况下，基于第一网关信息集合中优先级最高的出口网关信息，得到第二网关信息集合；

获取第二网关信息集合中各个出口网关信息的配置时间；

将第二网关信息集合中配置时间最新的出口网关信息，确定为目标出口网关信息。

在一些可选的实施方式中，应用访问控制模块1204包括：

数据映射单元，用于对目标应用信息进行哈希映射，得到目标映射数据；其中，目标映射数据用于表征目标应用信息的存在情况；

数据反馈单元，用于将目标映射数据以及目标出口网关信息反馈至客户端。

在一些可选的实施方式中，本公开的应用访问控制装置还包括：

应用信息解析模块，用于响应于客户端的应用查询请求，对应用查询请求进行解析，得到待查询应用信息；其中，应用查询请求是客户端在检测到目标终端设备上的第二业务应用的应用信息不存在于目标应用信息中的情况下，根据第二业务应用的应用信息生成的；

选路信息获取模块，用于获取分支选路信息，分支选路信息包括多个预设应用信息对应的分支路由信息；

路由信息查询模块，用于基于待查询应用信息从分支选路信息中查询对应的目标分支路由信息；

路由信息反馈模块，用于将目标分支路由信息反馈至客户端，以使客户端基于目标分支路由信息对第二业务应用进行访问控制。

在一些可选的实施方式中，分支选路信息还包括各个分支路由信息的优先级。路由信息查询模块包括：

路由集合查询单元，用于基于待查询应用信息从分支选路信息中查询对应的分支路由信息集合；

路由信息确定单元，用于将分支路由信息集合中优先级最高的分支路由信息，确定为目标分支路由信息。

在一些可选的实施方式中，目标应用信息包括第一业务应用的域名。本公开的应用访问控制装置还包括：

解析请求响应模块，用于响应于客户端发送的域名解析请求，将域名解析请求转发至中心域名系统；其中，域名解析请求是第一业务应用基于目标应用信息以及目标出口网关信息生成并发送至客户端的；中心域名系统用于基于目标出口网关信息将域名解析请求转发至对应的目标出口网关；

解析结果接收模块，用于接收中心域名系统反馈的目标网络地址以及目标出口网关的网关地址；其中，目标网络地址是目标出口网关将域名解析请求发送至对应的域名解析服务器进行域名解析得到的；

解析结果反馈模块，用于将目标网络地址以及网关地址反馈至客户端，以使客户端对目标网络地址进行网络地址转换得到虚拟网络地址，并基于虚拟网络地址、网关地址以及目标网络地址对第一业务应用的数据进行传输。

在一些可选的实施方式中，本公开的应用访问控制装置还包括：

数据报文接收模块，用于接收客户端发送的第二数据请求报文；其中，第二数据请求报文是客户端将第一数据请求报文的目的地址替换为网关地址，以及在第一数据请求报文中记录目标网络地址得到的；第一数据请求报文是客户端响应于第一业务应用发送的数据请求，并基于数据请求确定待传输的数据请求报文，以及将虚拟网络地址作为待传输的数据请求报文的目的地址得到的；

数据报文转发模块，用于基于第二数据请求报文的目的地址将第二数据请求报文转发至目标出口网关；其中，目标出口网关用于基于第二数据请求报文中记录的目标网络地址，将第二数据请求报文的目的地址替换为目标网络地址，以将第二数据请求报文发送至与目标网络地址对应的目标服务端；

应答报文接收模块，用于接收目标出口网关反馈的第一应答报文；其中，第一应答报文是目标出口网关将目标服务端反馈的应答报文的源地址替换为网关地址，并在该应答报文中记录目标网络地址得到的；

应答报文反馈模块，用于基于第一应答报文的目的地址将第一应答报文反馈至客户端；其中，客户端用于基于第一应答报文中记录的目标网络地址，将第一应答报文的源地址替换为目标网络地址，得到第二应答报文；以及，客户端用于将第二应答报文的源地址替换为虚拟网络地址，得到目标应答报文，并将目标应答报文反馈至第一业务应用。

上述各个模块和单元的更进一步的功能描述与上述对应实施例相同，在此不再赘述。

本实施例中的应用访问控制装置是以功能单元的形式来呈现，这里的单元是指ASIC（Application Specific Integrated Circuit，专用集成电路）电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。

本公开实施例还提供一种计算机设备，具有上述图12所示的应用访问控制装置。

请参阅图13，图13是本公开可选实施例提供的一种计算机设备的结构框图，如图13所示，该计算机设备包括：一个或多个处理器1301、存储器1302，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相通信连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置（诸如，耦合至接口的显示设备）上显示GUI的图形信息的指令。在一些可选的实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个计算机设备，各个设备提供部分必要的操作（例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统）。图13中以一个处理器1301为例。

处理器1301可以是中央处理器，网络处理器或其组合。其中，处理器1301还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路，可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件，现场可编程逻辑门阵列，通用阵列逻辑或其任意组合。

其中，存储器1302存储有可由至少一个处理器1301执行的指令，以使至少一个处理器1301执行实现上述实施例示出的方法。

存储器1302可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据计算机设备的使用所创建的数据等。此外，存储器1302可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中，存储器1302可选包括相对于处理器1301远程设置的存储器，这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

存储器1302可以包括易失性存储器，例如，随机存取存储器；存储器也可以包括非易失性存储器，例如，快闪存储器，硬盘或固态硬盘；存储器1302还可以包括上述种类的存储器的组合。

该计算机设备还包括通信接口1303，用于该计算机设备与其他设备或通信网络通信。

本公开实施例还提供了一种计算机可读存储介质，上述根据本公开实施例的方法可在硬件、固件中实现，或者被实现为可记录在存储介质，或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；进一步地，存储介质还可以包括上述种类的存储器的组合。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件，当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现上述实施例示出的方法。

本公开的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本公开的方法和/或技术方案。本领域技术人员应能理解，计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等，相应地，计算机程序指令被计算机执行的方式包括但不限于：该计算机直接执行该指令，或者该计算机编译该指令后再执行对应的编译后程序，或者该计算机读取并执行该指令，或者该计算机读取并安装该指令后再执行对应的安装后程序。在此，计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。

虽然结合附图描述了本公开的实施例，但是本领域技术人员可以在不脱离本公开的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。