CN101159552B - 控制从计算机终端访问网络的方法和系统 - Google Patents
控制从计算机终端访问网络的方法和系统 Download PDFInfo
- Publication number
- CN101159552B CN101159552B CN2007101370171A CN200710137017A CN101159552B CN 101159552 B CN101159552 B CN 101159552B CN 2007101370171 A CN2007101370171 A CN 2007101370171A CN 200710137017 A CN200710137017 A CN 200710137017A CN 101159552 B CN101159552 B CN 101159552B
- Authority
- CN
- China
- Prior art keywords
- network
- terminal equipment
- interface
- network data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了控制从计算机终端访问网络的方法和系统。所提供的系统无论其访问网络受到限制的计算机所下载的数据如何增加,均维持网络监视和控制的功能。所述系统包括:第一接口,包括向网络发送数据和从网络接收数据的功能;第二接口,包括向网络发送数据和从网络接收数据的功能;判断装置,判断从所述第一接口收到的网络数据是否来自第一终端设备;第一创建装置,响应由所述判断装置做出的所述网络数据是从所述第一终端设备发送的判断结果,创建使所述第一终端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口的地址的信息;第一发送装置,发送使发送目的地地址改变为所述第二接口的地址的信息;以及限制装置,将通过所述第二接口的网络数据带宽限制为预定值。
Description
技术领域
本发明涉及的技术用于监视和控制由连接到网络的计算机终端等所进行的通信。
背景技术
近来,已经禁止了从未授权计算机访问公司等的内联网等,以便防止信息泄漏和计算机病毒扩散。此外,也限制了未安装防毒软件的计算机访问内联网。例如,当不具有正规授权的计算机连接到网络时,从该计算机发送的所有信息包都在网络中被阻塞,以防止该计算机访问。另外,当未安装防毒软件的计算机,或者未应用最新的病毒模式文件的计算机连接到网络时,仅仅允许该计算机连接到与反病毒软件有关的服务器,并且仅仅允许下载病毒模式文件。在这种情况下,禁止了该计算机访问该服务器以外的网络资源。不仅如此,当连接到网络的计算机未将最新的补丁应用到微软(注册商标)公司的视窗(注册商标)操作系统(OS)时,如果这种情况被检测到,那么也禁止该计算机访问网络资源,除非是为了下载补丁。
在国际商用机器公司(注册商标)为专利申请而提交的专利文献1中,公开了如下的技术,用于控制连接到网络的计算机访问该网络。确切地说,从该计算机发送的信息包受到监视,当判定该计算机将要进行的通信必须受到限制时,就向该计算机发送地址解析协议(ARP)信息(ARP请求或ARP应答),以便使该计算机重写其自己的ARP表,并且来自该计算机的信息包也被定向至由ARP信息所指示的地址。结果,禁止了该计算机对网络的访问。另外,通过选择性地允许该计算机的信息包经过网络,在这种技术中限制了对网络的访问。
不过,当病毒模式文件的容量增大时,或者从利用ARP信息限制访问网络的计算机所发送的视窗OS补丁的下载数据量增大时,从连接到网络的其他计算机监视信息包就变得困难。然而,在对计算机访问网络强加了限制时,同样在为了获取病毒模式文件和/或视窗OS的补丁文件而由计算机下载的数据量增大时,从连接到网络的其他计算机监视信息包会变得困难。确切地说,为了检测未授权的计算机,必须捕获该计算机发送的信息包(尤其是ARP请求)。不过,随着下载数据量的增加,捕获信息包时出现错误的概率变得更高。不仅如此,控制这种目的连接以外的其他连接的数据发送等也变得困难。下载数据量的增加更可能造成在捕获信息包时的错误,并且也使为了控制这台计算机以外的其他计算机的连接而发送数据等工作难以进行。所以,令人担忧的是由连接到网络的计算机终端所进行通信的管理和控制可能出现功能故障。不仅如此,随着吉比特以太网支持已经变为客户计算机上的标准特征,然后预期网络带宽增加,这种功能故障预料会变得更为显著。
[专利文献1]已公开日本专利申请,公开号2006-74705
发明内容
[本发明要解决的问题]
本发明提供了一个系统,无论其访问网络受到限制的计算机所下载的数据如何增加,该系统均维持网络监视和控制的功能。
[解决问题的手段]
为了解决上述问题,在本发明中提议了一种控制从计算机终端访问网络的系统。所述系统包括:第一接口,包括向网络发送数据和从网络接收数据的功能;第二接口,包括向网络发送数据和从网络接收数据的功能;判断装置,判断由所述第一接口收到的网络数据是否来自第一终端设备;第一创建装置,响应由所述判断装置做出的所述网络数据是从所述第一终端设备所发送的判断结果,创建使所述第一终端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口的地址的信息;第一发送装置,发送使发送目的地地址改变为所述第二接口的地址的信息;以及限制装置,将通过所述第二接口的网络数据带宽限制为预定值。根据所述系统,网络由第一接口监视,而下载安全补丁的带宽由第二接口控制。以这种方式,不损害从PC终端访问网络的控制功能。
附图说明
图1显示了涉及网络保证系统的硬件配置概要;
图2显示了网络环境的实例,其中网络保证系统控制着以未授权的方式连接的终端设备等的网络连接;
图3例示了网络保证系统功能配置的概要;
图4是示范流程图,其中网络保证系统处理以未授权方式连接的PC终端或者违反安全设置的PC终端的信息包;
图5例示了在网络中服务器或PC终端中包括的ARP表;
图6A和图6B是带宽控制的示范流程图;
图7A到图7C例示了网络保证系统与为了管理的电路等的连接模式;
图8例示了网络保证系统和具有不同连接模式的网络。
具体实施方式
图1例示了涉及网络保证系统的硬件配置100的概要,该系统控制着以未授权方式连接的终端设备的网络连接。这种控制通过检测和监视终端设备执行,比如以未授权方式连接到网络的计算机。CPU 101(中央处理单元)在多种操作系统控制下执行多种程序。CPU 101通过总线102与存储器103、磁盘104、显示适配器105和用户接口互连。
磁盘104包括软件——使计算机工作所需要的操作系统和执行本发明所用的程序等。这些程序被读入存储器,并在需要时由CPU执行。在磁盘104中存储着数据比如通过监视而捕获的网络数据(包),以及已经收到了正规授权的计算机终端等的网络地址等。应当指出,可以用闪存等替换磁盘104,并且对于本领域技术人员来说,显然任何可记录介质都将足以作为磁盘104,并且磁盘104不限于硬盘。
本发明的系统通过显示适配器105连接到显示设备107;通过用户接口106连接到键盘108和鼠标109;以及通过网络接口110和111连接到网络。这种系统用键盘108和鼠标109进行操作,并且在显示设备107上显示处理的中间状态和结果。网卡等连接到第一接口110和第二接口111。网络数据基本上通过第一网络接口110获取和发送。带宽由第二网络接口111限制。交换集线器等被连接到第一接口110和第二接口111。
在某些情况下,本发明可以通过网络在分布式环境中实施。注意,这种硬件配置100仅仅是计算机系统、总线布局和网络连接的一个实施例的示范。本发明的特点能够以多种系统配置的任何一种实现,以提供多个相同配置部件的形式或以进一步在网络上分布的形式。
图2是网络环境的实例,网络保证系统在此运行,以控制以未授权方式等连接的终端设备的网络连接。网络保证系统201通过第一网络接口211和第二网络接口212连接到交换集线器202。在交换集线器202的上层中存在着路由器203。网络保证系统201存在于每个网段中。这样做的目的是为了控制广播数据的数据目的地。例如,以上述方法以外的方法能够控制数据目的地时,它不限于这种连接配置。服务器A204和B205以及PC A206、B207和C208连接到这个网段。假设服务器A204是用于一般操作的服务器,而服务器B205是将下载安全补丁的服务器。
这里做出假设,已确认PC-206A是终端设备,它的安全设置没有任何问题,它已经收到了正规的连接授权,并且配备了反病毒软件等。PC-A206可以连接到网络中的服务器A204以及服务器B205。相反,当判定PC-B207是以未授权方式连接的PC终端、没有收到正规授权时,网络保证系统201将来自PC-B207的数据或来自另一个网络设备的数据定向到流入网络保证系统201。因此,该数据受到阻塞,使其不被发送到另一个服务器或终端设备。通常,这种数据的阻塞由第二网络接口211执行。另外,当PC-C208已经收到了正规授权而没有足够的安全设置时,那么就判定PC-C208为违反安全设置的PC终端,例如在反病毒软件的模式文件未被更新到最新的模式文件的情况下。在这种情况下,网络保证系统201控制着PC-C208,使PC-C208只能连接到提供安全补丁或模式文件的服务器B205。通过将要发送的数据定向到经过第二网络接口212而控制了PC-C208与下载安全补丁服务器之间的数据。
图3例示了网络保证系统301功能配置的概要。网络保证系统301通过接口311和321连接到交换集线器303。
例如,信息包发送和接收单元312通过接口311和321捕获然后发送信息包数据。信息包发送和接收单元312可以是操作系统(OS)网络堆栈的功能。信息包判断单元313通过判断PC终端的安全设置是否足够,或者是否未授权的计算机终端连接到该网络而监视该网络。这种判断是基于信息包发送和接收单元312所捕获的信息包数据。进行这种监视是通过检测以未授权方式连接的PC终端利用广播发送的ARP信息包、来自未授权方式连接的PC的非ARP信息包或者来自违反安全设置的PC终端的信息包,从而做出了监视网络的判断。
当信息包数据定向单元314检测出来自违反安全设置的PC终端(第一终端设备)或者以未授权方式连接的PC终端(第二终端设备)的ARP信息包时,数据定向单元314创建包括伪造连接目的地的ARP信息,以重新定向信息包数据。以未授权方式连接的PC终端或者违反安全设置的PC终端都以这种方式,不连接到另一个服务器或PC终端。这种伪造的ARP信息由信息包发送和接收单元发送。应当指出,当使用这种包括镜像功能的中继器HUB或高功能的HUB时,除了能够捕获ARP信息包,也有可能捕获所有的信息包。因此,有可能从非ARP信息包中检测出以未授权方式连接的PC终端或者违反安全设置的PC终端。
关于伪造的ARP信息,例如,每个服务器或每台PC终端的因特网协议(IP)地址对应的媒介访问控制地址(MAC地址)被伪造为第一网络接口311和或第二网络接口321的MAC地址。另外,优选情况下,通过发送伪造的ARP信息,以便将连接目的地的服务器或PC终端的ARP表中的以未授权方式连接的PC终端或者违反安全设置的PC终端的MAC地址设置为网络保证系统的MAC地址,防止了连接目的地的服务器或PC终端与以未授权方式连接的PC终端或者违反安全设置的PC终端直接通信。
附带提一句,在信息包数据涉及以未授权方式连接的PC终端的情况下,该信息包数据被定向到第一网络接口311。此外,在信息包数据涉及违反安全设置的PC终端的情况下,优选情况下,涉及与服务器B205通信的信息包数据被定向到第二网络接口321,而其他信息包数据被定向到第一网络接口311。使用分开接口作为信息包数据定向目的地的理由是为了确保检测出来自以未授权方式连接的PC终端的信息包数据,然后在违反安全设置的PC终端通过第二接口321下载安全补丁时阻塞该信息包数据。不过,当不必检测并阻塞来自以未授权方式连接的PC终端的全部信息包时,该信息包数据可以被定向到第二网络接口321。此外,伪造的ARP信息被发送到变为以未授权方式连接的PC终端或违反安全设置的PC终端的通信对方的服务器或PC终端。
如果检测的信息包是来自以未授权方式连接的PC终端的非ARP信息包,或者目的地不是下载安全补丁的服务器的信息包,该信息包从违反安全设置的PC发送,信息包数据访问控制器315通过丢弃信息包数据而阻塞到网络的连接。应当指出,如果检测的信息包为目的地不是下载安全补丁的服务器的信息包,该信息包从违反安全设置的PC终端发送,数据访问控制器315就将该信息包数据重新定向至网络服务器等,以显示表明安全设置不足的警告。
信息包发送和接收单元322通过第二网络接口321捕获或发送信息包数据。信息包发送和接收单元322包括类似于信息包发送和接收单元312的若干功能。
当违反安全设置的PC终端为了下载安全补丁而连接到网络中的服务器或PC终端时,信息包数据访问控制器323限制对网络中服务器或PC终端的访问。换句话说,当违反安全设置的PC终端不是为了修改违反安全的设置而连接到网络中的服务器或PC终端时,信息包数据访问控制器323限制对网络中服务器或PC终端的访问。该限制包括丢弃全部信息包数据,或者将该信息包数据重新定向到网络服务器等,以显示表明安全设置不足的警告。
带宽控制器324被配置为当安全补丁被下载到违反安全设置的PC终端,则数据的流量会增加,从而出现网络中的带宽被占据的担忧时限制带宽。实现这样的限制也可以通过重写分发安全补丁的服务器的ARP表。
图4例示了流程图400,网络保证系统在此处理以未授权方式连接的PC终端的信息包,或者违反安全设置的PC终端的信息包。该处理流程在很大程度上分在第一网络接口和第二网络接口中。处理流程400以步骤401开始。在步骤402中,捕获信息包数据。在步骤403中,判断所捕获的信息包数据是不是从以未授权方式连接的PC终端请求连接目的地服务器或PC终端MAC地址的ARP信息包。通常,这样的ARP信息包通过广播等方式在初始连接时在网络中发送。在步骤403中,当判定信息包是来自以未授权方式连接的PC终端的ARP信息包时(是),该过程进至步骤404。例如可以根据信息包数据发送源的MAC地址做出它是不是以未授权方式连接的PC终端的判断。
在步骤404中,为了阻塞以未授权方式连接的PC终端所涉及的通信而发送伪造的ARP信息。这种伪造的ARP信息用于重写以未授权方式连接的PC终端的ARP表,以及与未授权方式连接的PC终端进行通信的服务器或PC终端的ARP表。至于将被重写的ARP表的内容,例如在以未授权方式连接的PC终端的ARP表的情况下,该表中的MAC地址被改变为网络保证系统第一网络接口的MAC地址,使以未授权方式连接的PC终端无法直接地向服务器或另一个PC终端等发送信息包数据。在与未授权方式连接的PC终端进行通信的服务器或不同的PC终端的ARP表的情况下,该表中的以未授权方式连接的PC终端的MAC地址被改变为网络保证系统第一网络接口的MAC地址,以使服务器或不同的PC终端无法直接地向以未授权方式连接的PC终端发送信息包数据。在步骤404之后,该过程返回步骤402处理下一个信息包数据。
在步骤403中,当判定信息包不是来自未授权方式连接的PC终端的ARP信息包时(否),该过程进至步骤405。在步骤405中,判断所捕获的信息包数据是不是来自以未授权方式连接的PC终端的一般信息包,也就是说,所捕获的数据是不是非ARP信息包。在步骤405中,当判定所捕获的信息包是来自未授权方式连接的PC终端的非ARP信息包时(是),丢弃该信息包数据。此后,该过程返回步骤402处理下一个信息包数据。
在步骤405中,当判定所捕获的信息包不是来自以未授权方式连接的PC终端的非ARP信息包时(否),该过程进至步骤407。在步骤407中,判断所捕获的信息包数据是不是来自违反安全设置的PC终端的报告信息包。这种报告信息包是在PC终端中存在着违反安全设置的情况下,代理式的程序通报网络保证系统PC终端中的违反安全设置时所使用的信息包。也有可能使用某种配置,其中从下载安全补丁对该服务器的访问历史判断PC终端是否违反安全设置,而不是使代理在PC终端中运行。不过,为了在提高精度的同时检查包括详细设置的安全设置,优选情况下,通过利用能够实际检查PC终端中的设置等的代理程序接收带有报告信息包的报告。在步骤407中,判定所捕获的信息包数据是来自违反安全设置的PC终端的报告信息包时(是),该过程进至步骤408。
在步骤408中,为了控制违反安全设置的PC终端所涉及的通信而发送伪造的ARP信息。这种伪造的ARP信息用于重写与违反安全设置的PC终端进行通信的服务器或PC终端的ARP表。至于将被重写的内容,例如在违反安全设置的PC终端的ARP表的情况下,该表中下载安全补丁的服务器的MAC地址被改变为网络保证系统的第二网络接口,而其他MAC地址被改变为网络保证系统的第一网络接口,使违反安全设置的PC终端无法直接地向服务器或其他PC终端发送信息包数据。
在服务器用于下载安全补丁并与违反安全设置的PC终端进行通信的情况下,该ARP表中违反安全设置的PC终端的MAC地址被改变为网络保证系统的第二网络接口,以使其变得易于限制下载数据的带宽,比如第二网络接口中的安全补丁。不仅如此,在不同的服务器或PC终端的情况下,该ARP表中违反安全设置的PC终端的MAC地址被改变为网络保证系统的第一网络接口,以使不同的服务器或PC终端无法直接地向违反安全设置的PC终端发送信息包数据。
在步骤408中,由于伪造了ARP表使违反安全设置的PC终端与下载安全补丁的服务器通过第二网络接口彼此进行通信,所以重新定向过程在第二网络接口中开始。结果,该过程进至步骤421,在与第一网络接口并行的第二网络接口中执行重新定向过程。在步骤408之后,该过程返回步骤402处理下一个信息包数据。
在步骤407中,判定所捕获的信息包不是来自违反安全设置的PC终端的报告信息包时(否),该过程进至步骤410。在步骤410中,违反安全设置的PC终端的信息包数据原封不动地丢弃,或者根据需要将该信息包数据重新定向至网络服务器,以显示表明该PC终端违反安全设置的警告。之后,该过程返回步骤402处理下一个信息包数据。
第二网络接口中的处理在步骤421中开始,在步骤422中,捕获了信息包。在步骤423中,为了重新定向到服务器或PC终端,重新发送了该信息包。应当指出,从网络负载的观点考虑,可以根据需要限制带宽。第二网络接口中处理流程的详细情况将在后面介绍。
应当指出,尽管也收到了图4中表达的信息包数据以外的信息包数据,但是仍然按照正常的协议规则处理所收到的信息包数据。例如,当远程控制网络保证系统时,在网络保证系统中按照正常过程处理了用于控制的信息包数据。
图5例示了网络中服务器或PC终端中包括的ARP表。注意,由于PC终端等在ARP表中不需要具有网络中全部设备所对应的MAC地址,所以对本领域技术人员来说显然图5仅仅是本实例的一个方面。在图5中,假设了PC-B是以未授权方式连接的PC终端,而PC-C是违反安全设置的PC终端。另外,假设了服务器B是用于下载安全补丁的服务器。图5的ARP表中由粗线表明的MAC地址是已经被重写的MAC地址。确切地说,这些MAC地址是使用伪造ARP信息的伪造MAC地址。第一网络接口的MAC地址是00:00:00:01,第二网络接口的MAC地址是00:00:00:02,服务器A的MAC地址是00:00:00:03,服务器B的MAC地址是00:00:00:04,PC-A的MAC地址是00:00:00:05,PC-B的MAC地址是00:00:00:06,PC-C的MAC地址是00:00:00:07。
例如,PC-B和PC-C的MAC地址都以第一网络接口的MAC地址重写和替换。利用这种重写过程,从服务器A向网络保证系统的第一网络接口发送了地址指向PC-B和PC-C的信息包数据。此外,还用第一网络接口的MAC地址重写和替换了以未授权方式连接的PC终端PC-B的ARP表中包括服务器A的网络中全部设备的MAC地址。因而来自PC-B的信息包数据无法直接发送到网络上的全部设备。
用第一网络接口的MAC地址重写和替换了下载安全补丁的服务器B的ARP表中PC-B的MAC地址。还用第二网络接口的MAC地址重写和替换了违反安全设置的PC终端PC-C的MAC地址。此外,在PC-C的ARP表中,用第二网络接口的MAC地址重写和替换了服务器B的MAC地址。利用这样的重写过程,由PC-B为下载安全补丁而要执行的通信限制到第二网络接口,从而可以容易地限制带宽。
在路由器的ARP表中,用第一网络接口的MAC地址重写和替换了以未授权方式连接的PC终端PC-B的MAC地址,所以无法从路由器向PC-B直接发送信息包数据。同样,用第一网络接口的MAC地址重写和替换了PC-B的ARP表中路由器的MAC地址,所以无法从PC-B向路由器直接发送信息包数据。另外,用第二网络接口的MAC地址重写和替换了路由器的ARP表中违反安全设置的PC终端PC-C的MAC地址。当下载安全补丁的服务器只在这个子网络之外才存在时,执行这样的重写过程。当下载安全补丁的服务器只在子网络之内才存在时,用第一网络接口的MAC地址重写和替换路由器的ARP表中PC-C的MAC地址,以使PC-C的信息包数据无法发送到该子网络之外。
图6例示了存在多台下载安全补丁等的服务器时,控制在第二网络接口处信息包数据的流量带宽的处理流程图。提供图6是为了进一步详细地解释图4中所显示的第二网络接口的处理流程。图6A显示了对每个服务器的信息包进行带宽控制处理的实例。该过程以步骤601开始。在步骤603中,捕获了信息包。在步骤605中,判断所捕获的信息包是不是涉及安全补丁的信息包。如果在步骤605中判定该信息包是涉及服务器1的安全补丁信息包(是),该过程进至步骤607,并且将该信息包数据重新定向而不控制带宽。注意,在例如具有高优先级的安全补丁由服务器1所分发的情况下,不执行带宽控制。此后,该过程返回步骤603处理下一个信息包。
如果在步骤605中判定该信息包不是涉及服务器1的安全补丁信息包(否),该过程进至步骤609。在步骤609中,判断所捕获的信息包是不是涉及服务器2安全补丁的信息包。如果在步骤609中判定该信息包是涉及服务器2的安全补丁的信息包(是),该过程进至步骤611,然后重新定向该安全补丁的信息包数据,同时以带宽A控制带宽。此后,该过程返回步骤603处理下一个信息包。
如果在步骤609中判定该信息包不是涉及服务器2的安全补丁信息包时(否),该过程进至步骤613。在步骤613中,判断所捕获的信息包是不是涉及服务器3安全补丁的信息包。
如果在步骤613中判定该信息包是涉及服务器3的安全补丁信息包,该过程进至步骤615。在步骤615中,重新定向该信息包数据,同时以带宽B控制带宽。此后,该过程返回步骤603处理下一个信息包。
如果在步骤615中判定该信息包不是涉及服务器3的安全补丁信息包(否),该过程进至步骤617。在步骤617中,由于该信息包数据不涉及安全补丁,可以丢弃该信息包,或者将该信息包数据重新定向到网络服务器,它根据需要发布表明该信息包是来自违反安全设置的PC终端的警告。
在步骤605、609和613的各自判断框中,不限于对来自服务器的信息包数据和去往服务器的信息包数据做出判断。换句话说,不限于在双方向对信息包数据做出判断。不过优选情况下,在双方向对信息包数据做出判断。这是因为服务器和违反安全设置的PC终端两者的ARP表都是伪造的。优选情况下,在适宜时在信息包往返服务器的方向执行丢弃和重新定向信息包数据。
图6B显示了对每个端口号进行带宽控制的实例。注意,由于除了带宽控制的过程取决于对端口号的判断而发生变化之外,该过程与图6A中显示的过程相同,所以省略了详细说明。不仅如此,自不待言对于本领域技术人员显然通过利用图6A和图6B中所显示的这种过程,对服务器和端口号两者的组合可以容易地执行带宽控制。
图7A到图7C例示了网络保证系统与用于管理等的电路的连接模式。在当前情况下,由于通过广播进行的ARP信息包等发送限制在子网之内,所以对每个子网都需要安装网络保证系统。在大型公司的大规模内联网中存在许多子网。因此,随着子网数目变大网络保证系统的数目也变大。在这种情况下,网络保证系统需要受到有效管理,而且与用于管理的电路的连接变为若干重点之一。
在图7A显示的连接模式中,网络保证系统通过用于管理的网络接口连接到管理服务器。由于管理网络与PC终端等所使用的一般网络是分开的,所以即使用于管理的数据被混合到了重新定向过程中,在监视信息包数据或获得管理数据中也不会造成错误。因此,在安全方面假定问题不大。网络保证系统通过用于管理的网络接口发送用于管理的信息包数据。
在图7B显示的连接模式中,网络保证系统通过用于管理的网络接口连接到管理服务器。不过在这种管理模式中,该网络自身也与PC终端等连接到同一网络。这是为了在难以提供新的网络电路时,确保由用于管理的网络接口发送和接收数据。因此,即使数据混入到该监视或重新定向的过程内,数据变得不可管理的概率也降低了。
在图7C显示的连接模式中,第一网络接口既用于管理所用的网络接口,又用于监视该网络的接口。在这种连接模式中,即使管理所用的数据信息包混入到安全补丁内,丢失该信息包的概率也降低了。
正如到目前的介绍,根据本发明可以控制下载安全补丁等的带宽,同时对用于监视网络的数据发送和接收的影响保持最小。通过将信息包分别定向到用于监视网络的网络接口和控制下载安全补丁等带宽的网络接口而进行这种控制。
图8例示了网络保证系统和网络包括不同连接模式的情况。利用APR信息定向了以未授权方式连接的PC 807的信息包,使之流向第三网络接口813,从而通过由第三网络接口813对以未授权方式连接的PC 807的信息包进行丢弃等而使该连接受到控制。不仅如此,当违反安全设置的终端设备808试图连接到用于下载安全补丁的服务器805以外的服务器或PC终端时,优选情况下,该信息包被定向到流入第三网络接口813。在图8的情况下,图3的信息包数据访问控制器315被用作第三网络接口813。通过采用这种结构,执行访问控制的第三网络接口813的信息包与捕获信息包或发送ARP信息的第一网络接口811的信息包或对由违反安全设置的PC下载安全补丁进行控制等的第二网络接口812的信息包被分开。因此,这些网络接口的每种功能都不那么容易受到数据相互发送和接收的影响。
以上已经通过使用这个实施例介绍了本发明。同时,本发明的技术范围不限于在以上实施例中所介绍的范围。对于本领域的技术人员,显然可以向以上实施例加入多种变更和改进。从权利要求书范围中的描述显而易见,加入了这些变更或改进的实施例也能够被包括在本发明的技术范围中。
Claims (15)
1.一种控制从计算机终端访问网络的系统,所述系统包括:
第一接口,包括向所述网络发送数据和从所述网络接收数据的功能;
第二接口,包括向所述网络发送数据和从所述网络接收数据的功能;
判断装置,判断由所述第一接口收到的网络数据是否是从违反安全设置的第一终端设备发送的;
第一创建装置,响应由所述判断装置做出的所述网络数据是从所述第一终端设备发送的判断结果,创建使所述第一终端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口的地址的信息;
第一发送装置,向所述第一终端设备发送使所述网络数据的发送目的地地址改变为所述第二接口的地址的信息;以及
限制装置,将通过所述第二接口的网络数据带宽限制为预定值。
2.根据权利要求1的系统,其中,
所述第一创建装置进一步包括第二创建装置,响应由所述判断装置做出的所述网络数据是从第二终端设备发送的判断结果,创建使所述第二终端设备的表中的所述网络数据的发送目的地地址改变为所述第一接口的地址的信息;以及
所述第一发送装置进一步包括第二发送装置,向所述第二终端设备发送使所述网络数据的发送目的地地址改变为所述第一接口的地址的信息;以及
第一丢弃装置,丢弃从所述第二终端设备通过所述第一接口发送的网络数据。
3.根据权利要求1的系统,进一步包括第三接口,它发送和接收用于管理的网络数据。
4.根据权利要求1的系统,其中,所述限制装置设置不同的预定值,以限制每个服务器与所述第一终端设备进行通信的带宽。
5.根据权利要求3的系统,其中,
所述第一创建装置进一步包括第三创建装置,响应由所述判断装置做出的所述网络数据是从第二终端设备发送的判断结果,创建使所述第二终端设备的表中的所述网络数据的发送目的地地址改变为所述第三接口的地址的信息;以及
所述第一发送装置进一步包括第三发送装置,向所述第二终端设备发送使所述网络数据的发送目的地地址改变为所述第三接口的地址的信息;以及
第二丢弃装置,丢弃通过所述第三接口向所述第二终端设备发送的网络数据。
6.根据权利要求1的系统,其中,
所述系统进一步包括访问控制器,当所述第一终端设备为了修改所述安全设置以外的目的而试图连接到另一个网络设备时,所述访问控制器在所述第二接口中丢弃来自所述第一终端设备的网络数据。
7.根据权利要求1到6中任何一项的系统,其中,所述表是ARP表。
8.根据权利要求2中所述的系统,其中,所述第二终端设备是以未授权方式连接的终端设备。
9.一种控制从计算机终端访问网络的方法,所述方法包括以下步骤:
由第一接口捕获网络数据;
判断所述捕获的网络数据是否是从违反安全设置的第一终端设备发送的;
响应在所述判断步骤中做出的所述网络数据是从所述第一终端设备发送的判断结果,发送使所述第一终端设备的表中的网络数据的发送目的地地址改变为第二接口的地址的信息;以及
将通过所述第二接口的网络数据带宽限制为预定值。
10.根据权利要求9的方法,进一步包括以下步骤:
响应在所述判断步骤中做出的所述网络数据是从第二终端设备 发送的判断结果,发送使所述第二终端设备的表中的网络数据的发送目的地地址改变为所述第一接口的地址的信息;以及
丢弃从所述第二终端设备通过所述第一接口发送的网络数据。
11.根据权利要求9的方法,其中,所述带宽限制步骤使用不同的预定值限制每个服务器与所述第一终端设备进行通信的带宽。
12.根据权利要求9的方法,进一步包括以下步骤:
响应在所述判断步骤中做出的所述网络数据是从第二终端设备发送的判断结果,发送使所述第二终端设备的表中的网络数据的发送目的地地址改变为第三接口的地址的信息;以及
丢弃通过所述第三接口向所述第二终端设备发送的网络数据。
13.根据权利要求9的方法,其中所述方法进一步包括以下步骤:当所述违反安全设置的第一终端设备为了修改所述安全设置的目的以外的目的而试图连接到另一个网络设备时,在所述第二接口中丢弃来自违反安全设置的第一终端设备的网络数据。
14.根据权利要求9到13中任何一项的方法,其中,所述表是ARP表。
15.根据权利要求10中所述的方法,其中,所述第二终端设备是以未授权方式连接的终端设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006-273261 | 2006-10-04 | ||
| JP2006273261 | 2006-10-04 | ||
| JP2006273261A JP4195480B2 (ja) | 2006-10-04 | 2006-10-04 | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101159552A CN101159552A (zh) | 2008-04-09 |
| CN101159552B true CN101159552B (zh) | 2011-09-28 |
Family
ID=39274866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101370171A Expired - Fee Related CN101159552B (zh) | 2006-10-04 | 2007-07-19 | 控制从计算机终端访问网络的方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7924850B2 (zh) |
| JP (1) | JP4195480B2 (zh) |
| CN (1) | CN101159552B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4546382B2 (ja) * | 2005-10-26 | 2010-09-15 | 株式会社日立製作所 | 機器検疫方法、および、機器検疫システム |
| US7822851B2 (en) * | 2007-01-18 | 2010-10-26 | Internet Probation and Parole Control, Inc. | Remote user computer control and monitoring |
| TWI406151B (zh) * | 2008-02-27 | 2013-08-21 | Asustek Comp Inc | 防毒保護方法以及具有防毒保護的電子裝置 |
| JP5163984B2 (ja) * | 2008-11-11 | 2013-03-13 | 住友電工システムソリューション株式会社 | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法 |
| JP5090408B2 (ja) | 2009-07-22 | 2012-12-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 |
| JP5398404B2 (ja) * | 2009-07-30 | 2014-01-29 | 株式会社Pfu | 通信遮断装置、サーバ装置、方法およびプログラム |
| JP5277149B2 (ja) * | 2009-12-15 | 2013-08-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | アクセス制御システム、アクセス制御方法、及びプログラム |
| JP5782925B2 (ja) | 2011-08-31 | 2015-09-24 | 富士通株式会社 | 情報処理装置、プログラム、および制御方法 |
| JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
| CN106464566B (zh) * | 2014-06-16 | 2020-01-21 | 株式会社理光 | 网络系统、通信控制方法以及存储介质 |
| US10282187B2 (en) * | 2014-07-03 | 2019-05-07 | Oracle International Corporation | Efficient application patching in heterogeneous computing environments |
| US9886263B2 (en) | 2015-03-24 | 2018-02-06 | Oracle International Corporation | Techniques for efficient application configuration patching |
| JP6476530B2 (ja) * | 2015-04-21 | 2019-03-06 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| JP7063185B2 (ja) * | 2018-08-15 | 2022-05-09 | 日本電信電話株式会社 | 通信システム及び通信方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1638386A (zh) * | 2003-12-30 | 2005-07-13 | 国际商业机器公司 | 分布式计算机系统中接口改变的管理方法和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3908596B2 (ja) | 2002-05-27 | 2007-04-25 | 松下電器産業株式会社 | コールサーバおよびそのポート切替え方法 |
| US20070118756A2 (en) * | 2003-07-01 | 2007-05-24 | Securityprofiling, Inc. | Policy-protection proxy |
| EP1735983B1 (en) * | 2004-04-14 | 2008-02-06 | Telecom Italia S.p.A. | Method and system for handling content delivery in communication networks |
| JP4081042B2 (ja) | 2004-05-18 | 2008-04-23 | 株式会社エヌ・ティ・ティ・データ | 不正通信監視装置、及び不正通信監視プログラム |
| CN100568212C (zh) * | 2004-07-02 | 2009-12-09 | 国际商业机器公司 | 隔离系统及隔离方法 |
| JP4082613B2 (ja) | 2004-09-06 | 2008-04-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信サービスを制限するための装置 |
| WO2006059572A1 (ja) | 2004-12-02 | 2006-06-08 | Matsushita Electric Industrial Co., Ltd. | 通信装置および通信方法 |
| US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
-
2006
- 2006-10-04 JP JP2006273261A patent/JP4195480B2/ja not_active Expired - Fee Related
-
2007
- 2007-07-19 CN CN2007101370171A patent/CN101159552B/zh not_active Expired - Fee Related
- 2007-09-25 US US11/860,758 patent/US7924850B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1638386A (zh) * | 2003-12-30 | 2005-07-13 | 国际商业机器公司 | 分布式计算机系统中接口改变的管理方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2003-348128A 2003.12.05 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101159552A (zh) | 2008-04-09 |
| JP4195480B2 (ja) | 2008-12-10 |
| US20080084820A1 (en) | 2008-04-10 |
| US7924850B2 (en) | 2011-04-12 |
| JP2008092465A (ja) | 2008-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101159552B (zh) | 控制从计算机终端访问网络的方法和系统 | |
| US7832006B2 (en) | System and method for providing network security | |
| EP1313290B1 (en) | A personal firewall with location dependent functionality | |
| CN109617813B (zh) | 增强的智能过程控制交换机端口锁定 | |
| US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
| EP1379046B1 (en) | A personal firewall with location detection | |
| US20090172156A1 (en) | Address security in a routed access network | |
| US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
| US20060156400A1 (en) | System and method for preventing unauthorized access to computer devices | |
| US20040199647A1 (en) | Method and system for preventing unauthorized action in an application and network management software environment | |
| US20100169484A1 (en) | Unauthorized Communication Program Regulation System and Associated Program | |
| CN101771529B (zh) | 终端装置、中继装置和处理方法 | |
| CN102822838A (zh) | 连接目的地限制系统、连接目的地限制方法、终端设定控制系统、终端设定控制方法以及程序 | |
| CN112583932B (zh) | 业务处理方法、装置及网络架构 | |
| KR100478910B1 (ko) | 아이피 충돌 검출 및 차단 시스템과 그 방법 | |
| CN112565203A (zh) | 一种集中管理平台 | |
| JP4029898B2 (ja) | ネットワーク装置 | |
| US10887399B2 (en) | System, method, and computer program product for managing a connection between a device and a network | |
| JP2003323361A (ja) | ネットワーク装置監視システム、管理装置、ネットワーク装置及びネットワーク装置監視方法 | |
| JP2005222239A (ja) | ノード装置 | |
| KR100471636B1 (ko) | 브리지방식을 이용한 네트워크상의 패킷처리시스템 | |
| CN114338163A (zh) | 互联网的安全处理方法及装置 | |
| GB2567556A (en) | Enhanced smart process control switch port lockdown | |
| JP2004207816A (ja) | ネットワーク監視装置 | |
| JP2005094488A (ja) | ネットワーク監視システムとネットワーク通信機器の警戒処理方法およびネットワーク通信機器の警戒処理用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110928 Termination date: 20160719 |