CN101631078A - 一种端点准入防御中的报文控制方法及接入设备 - Google Patents
一种端点准入防御中的报文控制方法及接入设备 Download PDFInfo
- Publication number
- CN101631078A CN101631078A CN200910091724A CN200910091724A CN101631078A CN 101631078 A CN101631078 A CN 101631078A CN 200910091724 A CN200910091724 A CN 200910091724A CN 200910091724 A CN200910091724 A CN 200910091724A CN 101631078 A CN101631078 A CN 101631078A
- Authority
- CN
- China
- Prior art keywords
- message
- vlan
- user
- acl
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种端点准入防御中的报文控制方法及接入设备。方法包括:在接入端口和上行接口配置隔离VLAN和安全VLAN;在上行接口配置隔离类ACL和安全类ACL;建立用户信息与用户状态的对应关系;对于在接入端口接收到的隔离状态用户的上行报文,将该报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的安全状态用户的上行报文,将该报文的原始VLAN切换为安全VLAN后转发到上行接口;对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该报文的VLAN切换为原始VLAN后进行转发。依照本发明,能够减少对接入设备ACL资源的消耗,进而增加接入设备对用户终端的接入能力。
Description
技术领域
本发明属于数据通信技术领域,尤其涉及一种端点准入防御(EndpointAdmission Defense,EAD)中的报文控制方法及接入设备。
背景技术
EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原理如图1所示:
(1)用户终端试图接入网络时,首先通过安全客户端由安全联动设备(接入设备)和安全策略服务器配合进行用户身份认证,非法用户将被拒绝接入网络;
(2)安全策略服务器对合法用户下发安全策略,并要求合法用户进行安全状态认证;
(3)安全客户端对合法用户的补丁版本、病毒库版本等进行检测,并将安全策略检查的结果上报安全策略服务器;
(4)安全策略服务器根据检查结果控制用户的访问权限:
安全状态不合格的用户将被安全联动设备隔离到隔离区,进入隔离区的用户只能访问指定的资源,例如,补丁服务器、病毒服务器、内部的FTP服务器等(通过在接入端口下发隔离访问控制列表(Access Control List,ACL)来控制),并通过访问这些指定的资源来进行系统的修复和补丁、病毒库的升级,直到安全状态合格;
安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务,此时,用户能够访问大部分网络资源(通过通过在接入端口下发安全ACL来控制)。
从EAD的主要功能和基本原理可以看出,EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御,变单点防御为全面防御,变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
当前EAD的实现方式,可以对用户做到精细化的管理和控制,但其缺点也比较明显:对接入设备的ACL资源占用的比较多。因为当前的EAD方案下发隔离ACL或安全ACL时,是基于用户下发的,如果隔离ACL有5条规则,那么每个用户要占用5条,如果有100个用户上线,那么对接入设备的ACL资源消耗就是5×100=500条规则。而接入设备的硬件芯片所能支持的ACL资源有限,在每个用户都需要接入设备下发多条ACL时,其能够接入的用户数将大大减少。
发明内容
本发明所要解决的技术问题是提供一种端点准入防御中的报文控制方法及接入设备,以减少对接入设备ACL资源的消耗,进而增加接入设备对用户终端的接入能力。
为解决上述技术问题,本发明提供技术方案如下:
一种端点准入防御中的报文控制方法,包括如下步骤:
分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;
在上行接口配置隔离类ACL和安全类ACL,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;
建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;
对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;
对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
上述的报文控制方法,其中,还包括:对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。
上述的报文控制方法,其中,还包括:对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。
上述的报文控制方法,其中,还包括:对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文。
上述的报文控制方法,其中,还包括:对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。
上述的报文控制方法,其中,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则还将该报文送至其他的接入端口进行转发。
一种端点准入防御中的接入设备,包括:
VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;
ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;
对应关系建立模块,用于建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;
VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;
ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
上述的接入设备,其中,还包括:第一本地报文处理模块,用于对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。
上述的接入设备,其中,所述VLAN切换模块还用于,对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。
上述的接入设备,其中,还包括:第二本地报文处理模块,用于对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文。
上述的接入设备,其中,所述VLAN切换模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。
上述的接入设备,其中,所述第二本地报文处理模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发。
与现有技术在接入端口针对每个用户动态下发多条ACL相比,本发明是在上行接口针对隔离VLAN和安全VLAN,静态下发隔离类ACL和安全类ACL,如此,能够节省接入设备的ACL资源,进而增加接入设备对用户终端的接入能力。
附图说明
图1为端点准入防御的基本原理示意图;
图2为本发明实施例的端点准入防御中的报文控制方法流程图;
图3为本发明实施例一的端点准入防御中的接入设备的结构示意图;
图4为本发明实施例二的端点准入防御中的接入设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
本发明的关键在于,在接入设备中配置隔离VLAN和安全VLAN,并通过在上行接口针对VLAN下发隔离类ACL或者安全类ACL,来定义隔离区域和安全区域;用户报文转发时,根据用户状态对报文的VLAN进行切换,并在上行接口去匹配基于VLAN的ACL。
图2为本发明实施例的端点准入防御中的报文控制方法流程图,该方法应用于EAD中的接入设备(即,安全联动设备)中,包括如下步骤:
步骤201:分别在接入端口和上行接口配置两个虚拟局域网(VLAN):隔离VLAN和安全VLAN;
为接口配置VLAN后,接口就能够接收来自该VLAN的报文,并能够发送报文到该VLAN。
本发明中,接入端口是指接入设备的用户侧端口,用户通过接入端口接入到接入设备,并通过接入设备与外部网络进行通信,或者通过接入设备与内网中的其他用户进行通信。上行接口是指接入设备的网络侧接口,用户访问外部网络的报文(上行报文)均通过该上行接口转发出去。本发明中,还将用户通过接入设备访问内网中的其他用户的报文称为本地报文,本地报文的入口和出口都是接入设备的接入端口。
步骤202:在上行接口配置隔离类ACL和安全类ACL;
在接入设备的上行接口,配置基于隔离VLAN的隔离类ACL,该ACL定义隔离区域,仅允许该VLAN访问特定的有限资源;并在该上行接口配置基于安全VLAN的安全类ACL,定义该VLAN可以访问的安全区域。
其中,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;与所述隔离类ACL关联的处理策略为:对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;与所述安全类ACL关联的处理策略为:对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
步骤203:建立用户信息与用户状态的对应关系;
其中,所述用户信息包括:用户VLAN、用户地址(例如,MAC地址)和用户接入端口;所述用户状态包括:隔离状态和安全状态。未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态。
EAD认证包括身份认证和安全状态认证。用户终端试图接入网络时,首先进行身份认证,例如,进行基于802.1x的身份认证:如果用户名或者密码错误,不能通过802.1x认证,判定该用户非法,非法用户将被拒绝接入;如果用户名和密码正确,则判定该用户合法。
合法用户将被要求进行安全状态认证:安全策略服务器检查用户的补丁版本、病毒库版本等是否合格,如果检查不通过,则该用户未通过安全状态认证,在对应关系中增加一个表项,表项中对应的用户状态为隔离状态;如果通过安全状态认证,则在对应关系中增加一个表项,表项中对应的用户状态为安全状态。当然,如果对应关系中已经有某个用户的表项,则还可以基于认证结果对该表项中的用户状态进行更新。例如,在接入设备中建立如下的对应关系表:
| 用户VLAN | 用户MAC地址 | 用户接入端口 | 用户状态 |
| 100 | 0000-0001-1111 | E1/0/1 | 隔离 |
| 100 | 0000-0001-2222 | E1/0/1 | 安全 |
步骤204:对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;
在接入端口接收到用户的报文后,先判断该报文是否需要从上行接口转发,若是,则确定该报文为上行报文。对于上行报文,根据报文的源地址(例如,MAC地址)从所述对应关系中查找用户状态,如果该用户为隔离状态,则将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;如果该用户为安全状态,则将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口。
步骤205:对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
在上行接口对用户的上行报文进行ACL的匹配。具体地,是将上行报文的VLAN与ACL中的VLAN进行比较,将报文的目的地址与ACL中的目的地址进行比较,如果上行报文的VLAN与某条ACL中的VLAN相同,并且该上行报文的目的地址与该条ALC中的目的地址相同,则说明该上行报文与该条ACL匹配。在上行报文与某条ACL匹配时,执行与之关联的处理策略,即:将该上行报文的VLAN切换为原始VLAN后进行转发。
以上描述的是针对上行报文的处理,为进一步提高EAD系统的安全性,本发明实施例还对本地报文的处理进行了改进和优化,处理原则是:只有通过安全认证的两个用户终端才能直接互访。具体如下:
(1)对于在接入端口接收到的处于隔离状态的用户的本地报文,直接丢弃该本地报文。
(2)对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。
(3)对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,直接丢弃该本地报文。
(4)对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。
(5)对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发,并将该报文的原始VLAN切换为安全VLAN后转发到上行接口,。
以下对实现上述方法的接入设备进行描述。
参照图3,本发明实施例一的端点准入防御中的接入设备,包括:VLAN配置模块、ACL配置模块、对应关系建立模块、VLAN切换模块和ACL处理模块。
VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN。
ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL。在接入设备的上行接口,配置基于隔离VLAN的隔离类ACL,该ACL定义隔离区域,仅允许该VLAN访问特定的有限资源;并在该上行接口配置基于安全VLAN的安全类ACL,定义该VLAN可以访问的安全区域。其中,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;与所述隔离类ACL关联的处理策略为:对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;与所述安全类ACL关联的处理策略为:对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
对应关系建立模块,用于建立用户信息与用户状态的对应关系。其中,所述用户信息包括:用户VLAN、用户地址(例如,MAC地址)和用户接入端口;所述用户状态包括:隔离状态和安全状态。未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态。
VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口。
在接入端口接收到用户的报文后,先判断该报文是否需要从上行接口转发,若是,则确定该报文为上行报文。对于上行报文,根据报文的源地址(例如,MAC地址)从所述对应关系中查找用户状态,如果该用户为隔离状态,则将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;如果该用户为安全状态,则将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口。
ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
在上行接口对用户的上行报文进行ACL的匹配。具体地,是将上行报文的VLAN与ACL中的VLAN进行比较,将报文的目的地址与ACL中的目的地址进行比较,如果上行报文的VLAN与某条ACL中的VLAN相同,并且该上行报文的目的地址与该条ALC中的目的地址相同,则说明该上行报文与该条ACL匹配。在上行报文与某条ACL匹配时,执行与之关联的处理策略,即:将该上行报文的VLAN切换为原始VLAN后进行转发。
参照图4,本发明实施例二的端点准入防御中的接入设备,包括:VLAN配置模块、ACL配置模块、对应关系建立模块、VLAN切换模块、ACL处理模块、第一本地报文处理模块和第二本地报文处理模块。
VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;
ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;
对应关系建立模块,用于建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;
VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;
ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发;
第一本地报文处理模块,用于对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文;
所述VLAN切换模块还用于,对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口;
第二本地报文处理模块,用于对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文;
所述VLAN切换模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。
所述第二本地报文处理模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发。
与现有技术在接入端口针对每个用户动态下发多条ACL相比,本发明是在上行接口针对隔离VLAN和安全VLAN,静态下发隔离类ACL和安全类ACL,如此,能够节省接入设备的ACL资源,进而增加接入设备对用户终端的接入能力。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求范围当中。
Claims (12)
1.一种端点准入防御中的报文控制方法,其特征在于,包括如下步骤:
分别在接入端口和上行接口配置两个虚拟局域网VLAN:隔离VLAN和安全VLAN;
在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;
建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;
对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;
对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
2.如权利要求1所述的报文控制方法,其特征在于,还包括:
对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。
3.如权利要求1或2所述的报文控制方法,其特征在于,还包括:
对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。
4.如权利要求1所述的报文控制方法,其特征在于,还包括:
对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文。
5.如权利要求1或4所述的报文控制方法,其特征在于,还包括:
对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。
6.如权利要求5所述的报文控制方法,其特征在于:
对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则还将该报文送至其他的接入端口进行转发。
7.一种端点准入防御中的接入设备,其特征在于,包括:
VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;
ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为:判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为:判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;
对应关系建立模块,用于建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;
VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;
ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。
8.如权利要求7所述的接入设备,其特征在于,还包括:
第一本地报文处理模块,用于对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。
9.如权利要求7或8所述的接入设备,其特征在于:
所述VLAN切换模块还用于,对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。
10.如权利要求7所述的接入设备,其特征在于,还包括:
第二本地报文处理模块,用于对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文。
11.如权利要求7或10所述的接入设备,其特征在于:
所述VLAN切换模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。
12.如权利要求11所述的接入设备,其特征在于:
所述第二本地报文处理模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100917240A CN101631078B (zh) | 2009-08-24 | 2009-08-24 | 一种端点准入防御中的报文控制方法及接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100917240A CN101631078B (zh) | 2009-08-24 | 2009-08-24 | 一种端点准入防御中的报文控制方法及接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101631078A true CN101631078A (zh) | 2010-01-20 |
| CN101631078B CN101631078B (zh) | 2012-04-18 |
Family
ID=41576030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100917240A Expired - Fee Related CN101631078B (zh) | 2009-08-24 | 2009-08-24 | 一种端点准入防御中的报文控制方法及接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101631078B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860551A (zh) * | 2010-06-25 | 2010-10-13 | 神州数码网络(北京)有限公司 | 一种单接入端口下多用户的认证方法与系统 |
| CN104601568A (zh) * | 2015-01-13 | 2015-05-06 | 深圳市深信服电子科技有限公司 | 虚拟化安全隔离方法和装置 |
| CN105939401A (zh) * | 2016-02-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN106254495A (zh) * | 2016-08-17 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种重定向方法及装置 |
| CN112019492A (zh) * | 2019-05-31 | 2020-12-01 | 华为技术有限公司 | 访问控制方法、装置及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1728679A (zh) * | 2004-07-31 | 2006-02-01 | 华为技术有限公司 | 路由器配置方法 |
| CN1777182A (zh) * | 2005-12-06 | 2006-05-24 | 南京邮电大学 | 一种基于洪泛攻击的高效、安全追踪方案 |
| ATE447281T1 (de) * | 2006-06-30 | 2009-11-15 | Alcatel Lucent | Verfahren zur bereitstellung von einer ressourcenzulassungskontrolle |
-
2009
- 2009-08-24 CN CN2009100917240A patent/CN101631078B/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860551A (zh) * | 2010-06-25 | 2010-10-13 | 神州数码网络(北京)有限公司 | 一种单接入端口下多用户的认证方法与系统 |
| CN101860551B (zh) * | 2010-06-25 | 2014-11-26 | 神州数码网络(北京)有限公司 | 一种单接入端口下多用户的认证方法与系统 |
| CN104601568A (zh) * | 2015-01-13 | 2015-05-06 | 深圳市深信服电子科技有限公司 | 虚拟化安全隔离方法和装置 |
| CN104601568B (zh) * | 2015-01-13 | 2019-05-21 | 深信服科技股份有限公司 | 虚拟化安全隔离方法和装置 |
| CN105939401A (zh) * | 2016-02-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN105939401B (zh) * | 2016-02-02 | 2019-11-08 | 杭州迪普科技股份有限公司 | 处理报文的方法及装置 |
| CN106254495A (zh) * | 2016-08-17 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种重定向方法及装置 |
| CN112019492A (zh) * | 2019-05-31 | 2020-12-01 | 华为技术有限公司 | 访问控制方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101631078B (zh) | 2012-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| CN104539598B (zh) | 一种改进Tor的安全匿名网络通信系统及方法 | |
| US9769172B2 (en) | Method of accessing a network securely from a personal device, a personal device, a network server and an access point | |
| CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| US20230009167A1 (en) | Post-connection client certificate authentication | |
| US8763075B2 (en) | Method and apparatus for network access control | |
| US9548982B1 (en) | Secure controlled access to authentication servers | |
| JP2008053808A (ja) | 無線端末を認証する認証システム及び認証方法 | |
| US20120054358A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| JP2005165561A (ja) | ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置 | |
| CN101631078B (zh) | 一种端点准入防御中的报文控制方法及接入设备 | |
| CN102377740A (zh) | 一种工业访问控制方法及装置 | |
| CN101651697A (zh) | 一种网络访问权限的管理方法和设备 | |
| CN101860551A (zh) | 一种单接入端口下多用户的认证方法与系统 | |
| US11165773B2 (en) | Network device and method for accessing a data network from a network component | |
| JP2015035724A (ja) | ネットワーク制御装置 | |
| US11716626B2 (en) | Network access control system | |
| JP2013034096A (ja) | アクセス制御システム、端末装置、中継装置及びアクセス制御方法 | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| CN101631121B (zh) | 一种端点准入防御中的报文控制方法及接入设备 | |
| CN103685134A (zh) | Wlan网络资源访问控制方法及装置 | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| CN103532987B (zh) | 一种防止非认证计算机设备接入企业内网的保护方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120418 Termination date: 20200824 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |