CN101917440B - 一种计算机接入局域网后接受管理的控制方法和系统 - Google Patents
一种计算机接入局域网后接受管理的控制方法和系统 Download PDFInfo
- Publication number
- CN101917440B CN101917440B CN 201010261744 CN201010261744A CN101917440B CN 101917440 B CN101917440 B CN 101917440B CN 201010261744 CN201010261744 CN 201010261744 CN 201010261744 A CN201010261744 A CN 201010261744A CN 101917440 B CN101917440 B CN 101917440B
- Authority
- CN
- China
- Prior art keywords
- computer
- client software
- communication
- local area
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种计算机接入局域网后接受管理的控制方法和系统,局域网的管理服务器端设置入网通讯规则及通讯参数,并将其分发至已安装客户端软件的计算机,由已安装客户端软件的计算机来执行阻断和控制操作,通过以太网同网络其他客户端计算机进行通讯,已安装客户端软件的计算机执行对新入网计算机的状态检测,并进行隔离操作。采用了本发明的技术方案,不依赖于硬件或其他网络设备,避免了对其他设备及复杂环境的依赖,并能够做到全面的隔离阻断。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种计算机接入局域网后接受管理的控制方法和系统。
背景技术
当前政府、证券、金融和能源等各行业网络信息系统针对网络计算机入网控制管理的需求较多,采用入网阻断技术以实现对联网计算机的隔离控制。现有的方法主要从交换机、网关、协议方面进行阻断控制。
交换机控制依靠交换机本身支持的802.1x协议基于端口和MAC认证来实现,该方法不具备普遍意义,原因在于要求所有的交换机必需支持802.1x协议,硬件条件要求比较高,针对HUB(集线器)较多的网络,仅能采用基于MAC认证的方式进行控制,操作上需要做大量的配置,工作繁琐并容易在灾难恢复等方面缺少行之有效的快速应急预案。
采用网关接入控制的方法,对于计算机入网访问网关之外的网络,能够进行隔离控制,但对于访问网关内网络缺乏控制手段。
采用ARP协议欺骗等方式,需要通过大量发欺骗包干扰或阻断非法终端接入,使其不能正常访问网络,但是容易和病毒混淆,同时也不能达到完全阻断的效果,还会造成网络流量异常,影响网络在正常运行,可靠性不高。
发明内容
本发明的目的在于提出一种计算机接入局域网后接受管理的控制方法和系统,操作简易,对环境设备要求不高,同时不对网络造成干扰,从而实现虚拟隔离管理效果。
为达此目的,本发明采用以下技术方案:
一种计算机接入局域网后接受管理的控制方法,包括以下步骤:
A、同一局域网中管理服务器和不少于一台计算机安装客户端软件;
B、管理服务器配置通讯规则和通讯参数,并将通讯规则和通讯参数同步发送到已安装客户端软件的计算机进行存储;
C、新入网的计算机向局域网发起通讯请求,已安装客户端软件的计算机侦听新入网的计算机的通讯请求;
D、已安装客户端软件的计算机根据通讯规则和通讯参数判断新入网的计算机是否安装了客户端软件,如果是,转至步骤E,如果否,转至步骤G;
E、启动新入网的计算机的通讯模块;
F、新入网的计算机根据通讯规则和通讯参数判断作为通讯对象的计算机是否安装了客户端软件,如果是,双方之间允许通讯,如果否,转至步骤H;
G、启动已安装客户端软件的计算机的阻断模块,阻断新入网的计算机与已安装客户端软件的计算机之间的通讯;
H、启动新入网的计算机的阻断模块,阻断作为通讯对象的计算机与已安装客户端软件的计算机之间的通讯。
还包括以下步骤:
启动局域网中已安装客户端软件的计算机同重定向服务器组成的重定向管理模块,将未安装客户端软件的计算机通讯连接到管理服务器或者指定设备,获得客户端软件、通讯规则和通讯参数并安装。
已安装客户端软件的计算机按照通讯规则和通讯参数,对其他计算机发起的通讯载体进行分析,对所述其他计算机身份识别判断,从而判断其他计算机是否安装了客户端软件。
一种计算机接入局域网后接受管理的控制系统,包括管理服务器、不少于一台已安装客户端软件的计算机和新入网的计算机,所述管理服务器和已安装客户端软件的计算机与新入网的计算机处于同一局域网,其中,
管理服务器用于存储客户端软件、通讯规则和通讯参数,将通讯规则和通讯参数发送给已安装客户端软件的计算机,并将客户端软件、通讯规则和通讯参数发送给未安装客户端软件的新入网的计算机;
已安装客户端软件的计算机用于判断新入网的计算机是否安装客户端软件。
已安装客户端软件的计算机包含阻断模块,阻断模块用于阻断未安装客户端软件的新入网的计算机与已安装客户端软件的计算机之间的通讯。
还包括重定向服务器,已安装客户端软件的计算机同重定向服务器组成的重定向管理模块,用于将未安装客户端软件的计算机通讯连接到管理服务器或者指定设备。
采用了本发明的技术方案,将阻断与控制发起源从交换机及网关转移到网络客户端计算机上执行,该方法不依赖于硬件或其他网络设备,避免了对其他设备及复杂环境的依赖,并能够做到全面的隔离阻断。
附图说明
图1是本发明具体实施方式中计算机接入局域网后接受管理的控制系统的结构示意图。
图2是本发明具体实施方式中计算机接入局域网后接受管理的控制流程图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
本发明技术方案的主要思想是通过在局域网的管理服务器端设置入网通讯规则及通讯参数,并将其分发至已安装客户端软件的计算机,由已安装客户端软件的计算机来执行阻断和控制操作,通过以太网同网络其他客户端计算机进行通讯,已安装客户端软件的计算机执行对新入网计算机(该计算机未安装客户端软件)的状态检测,并进行隔离操作。
图1是本发明具体实施方式中计算机接入局域网后接受管理的控制系统的结构示意图。如图1所示,该控制系统包括管理服务器101、不少于一台已安装客户端软件的计算机102、新入网的计算机103和重定向服务器104,由已安装客户端软件的计算机同重定向服务器组成的重定向管理模块,已安装客户端软件的计算机包含阻断模块105,管理服务器、已安装客户端软件的计算机、新入网的计算机和重定向服务器处于同一局域网。
其中,管理服务器存储客户端软件、通讯规则和通讯参数,将通讯规则和通讯参数发送给已安装客户端软件的计算机,并将客户端软件、通讯规则和通讯参数发送给未安装客户端软件的新入网的计算机。
已安装客户端软件的计算机判断新入网的计算机是否安装客户端软件。
已安装客户端软件的计算机同重定向服务器组成的重定向管理模块将未安装客户端软件的计算机通讯连接到管理服务器或者指定设备。
阻断模块用于阻断未安装客户端软件的新入网的计算机与已安装客户端软件的计算机之间的通讯。
图2是本发明具体实施方式中计算机接入局域网后接受管理的控制流程图。如图2所示,该控制流程包括以下步骤:
步骤201、在局域网中设置一台管理服务器,该管理服务器安装有客户端软件,同一局域网中还包括不少于一台计算机也安装有客户端软件。
步骤202、管理服务器设置入网通讯规则及通讯参数。
步骤203、管理服务器将通讯规则及通讯参数同步分发至已安装客户端软件的计算机,已安装客户端软件的计算机进行存储。
步骤204、新入网的计算机向局域网发起通讯请求。
步骤205、已安装客户端软件的计算机侦听新入网的计算机的通讯请求,实时捕获新入网的计算机发送的网络通讯数据包进行侦听判别。
步骤206、已安装客户端软件的计算机根据通讯规则和通讯参数判断新入网的计算机是否安装了客户端软件。
已安装客户端软件的计算机按照通讯规则和通讯参数,对新入网的计算机发起的通讯载体进行分析,对新入网的计算机身份识别判断,从而判断新入网的计算机是否安装了客户端软件。如果新入网的计算机所发的通讯符合通讯规则和通讯参数,转至步骤207,如果新入网的计算机所发的通讯不符合通讯规则和通讯参数,转至步骤210。
步骤207、启动新入网的计算机的通讯模块。
步骤208、新入网的计算机根据通讯规则和通讯参数判断作为通讯对象的计算机是否安装了客户端软件。
已安装客户端软件的新入网的计算机按照通讯规则和通讯参数,对作为通讯对象的计算机发起的通讯载体进行分析,对作为通讯对象的计算机身份识别判断,从而判断作为通讯对象的计算机是否安装了客户端软件。如果是安装了客户端软件,转至步骤209;如果未安装了客户端软件,转至步骤211。
步骤209、已安装客户端软件的新入网的计算机和作为通讯对象的计算机之间允许通讯。
步骤210、启动已安装客户端软件的计算机中加载的阻断模块,阻断新入网的计算机与已安装客户端软件的计算机之间的通讯,并转至步骤212。
步骤211、启动新入网的计算机中加载的阻断模块,阻断作为通讯对象的计算机与已安装客户端软件的计算机之间的通讯,并转至步骤212。
步骤212、启动局域网中已安装客户端软件的计算机同重定向服务器组成的重定向管理模块,将未安装客户端软件的计算机通讯连接到管理服务器或者指定设备。
在未安装客户端软件的计算机使用HTTP进行访问时,已安装客户端软件的计算机则会强制其重定向到指定页面,使其访问管理服务器或指定下载客户端软件地址,在安装授权客户端程序之前,未安装客户端软件的计算机始终只能同管理服务器或指定设备通讯,同其他已安装客户端软件的计算机则无法进行通讯,以此实现虚拟隔离的目的,该计算机无论以何方式联网,均无法对周边已经安装客户端软件的计算机进行任何方式的访问。
步骤213、未安装客户端软件的计算机从管理服务器或者指定设备获得客户端软件、通讯规则和通讯参数并安装。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (5)
1.一种计算机接入局域网后接受管理的控制方法,其特征在于,包括以下步骤:
A、同一局域网中管理服务器和不少于一台计算机安装客户端软件;
B、管理服务器配置通讯规则和通讯参数,并将通讯规则和通讯参数同步发送到已安装客户端软件的计算机进行存储;
C、新入网的计算机向局域网发起通讯请求,已安装客户端软件的计算机侦听新入网的计算机的通讯请求;
D、已安装客户端软件的计算机根据通讯规则和通讯参数判断新入网的计算机是否安装了客户端软件,如果是,转至步骤E,如果否,转至步骤G;
E、启动新入网的计算机的通讯模块;
F、新入网的计算机根据通讯规则和通讯参数判断作为通讯对象的计算机是否安装了客户端软件,如果是,双方之间允许通讯,如果否,转至步骤H;
G、启动已安装客户端软件的计算机的阻断模块,阻断新入网的计算机与已安装客户端软件的计算机之间的通讯;
H、启动新入网的计算机的阻断模块,阻断作为通讯对象的计算机与已安装客户端软件的计算机之间的通讯。
2.根据权利要求1所述的一种计算机接入局域网后接受管理的控制方法,其特征在于,还包括以下步骤:
启动局域网中已安装客户端软件的计算机同重定向服务器组成的重定向管理模块,将未安装客户端软件的计算机通讯连接到管理服务器或者指定设备,获得客户端软件、通讯规则和通讯参数并安装。
3.根据权利要求1所述的一种计算机接入局域网后接受管理的控制方法,其特征在于,已安装客户端软件的计算机按照通讯规则和通讯参数,对其他计算机发起的通讯载体进行分析,对所述其他计算机身份识别判断,从而判断其他计算机是否安装了客户端软件。
4.一种计算机接入局域网后接受管理的控制系统,其特征在于,包括管理服务器、不少于一台已安装客户端软件的计算机和新入网的计算机,所述管理服务器和已安装客户端软件的计算机与新入网的计算机处于同一局域网,其中,
管理服务器用于存储客户端软件、通讯规则和通讯参数,将通讯规则和通讯参数发送给已安装客户端软件的计算机,并将客户端软件、通讯规则和通讯参数发送给未安装客户端软件的新入网的计算机;
已安装客户端软件的计算机用于判断新入网的计算机是否安装客户端软件,其中,已安装客户端软件的计算机包含阻断模块,阻断模块用于阻断未安装客户端软件的新入网的计算机与已安装客户端软件的计算机之间的通讯。
5.根据权利要求4所述的一种计算机接入局域网后接受管理的控制系统,其特征在于,还包括重定向服务器,已安装客户端软件的计算机同重定向服务器组成的重定向管理模块,用于将未安装客户端软件的计算机通讯连接到管理服务器或者指定设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010261744 CN101917440B (zh) | 2010-08-24 | 2010-08-24 | 一种计算机接入局域网后接受管理的控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010261744 CN101917440B (zh) | 2010-08-24 | 2010-08-24 | 一种计算机接入局域网后接受管理的控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101917440A CN101917440A (zh) | 2010-12-15 |
| CN101917440B true CN101917440B (zh) | 2013-07-31 |
Family
ID=43324824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010261744 Active CN101917440B (zh) | 2010-08-24 | 2010-08-24 | 一种计算机接入局域网后接受管理的控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917440B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744607A (zh) * | 2005-10-10 | 2006-03-08 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
| CN1801738A (zh) * | 2005-09-12 | 2006-07-12 | 珠海金山软件股份有限公司 | 检测网络中计算机接入状态的装置和检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080137622A1 (en) * | 2004-08-25 | 2008-06-12 | Levi Russell | Method and System for Connecting to a Network Via a Wireless Local Area Network |
-
2010
- 2010-08-24 CN CN 201010261744 patent/CN101917440B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801738A (zh) * | 2005-09-12 | 2006-07-12 | 珠海金山软件股份有限公司 | 检测网络中计算机接入状态的装置和检测方法 |
| CN1744607A (zh) * | 2005-10-10 | 2006-03-08 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101917440A (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102594814B (zh) | 基于端末的网络访问控制系统 | |
| JP6611810B2 (ja) | 制御システム、設備機器管理装置、方法、およびプログラム | |
| US9198118B2 (en) | Rogue wireless access point detection | |
| CN101895587B (zh) | 防止用户私自修改ip地址的方法、装置和系统 | |
| CN102438028B (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
| CN103166960A (zh) | 接入控制方法及装置 | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| CN109495431B (zh) | 接入控制方法、装置和系统、以及交换机 | |
| US20110176437A1 (en) | Traffic volume monitoring system | |
| CN101188558B (zh) | 访问控制方法、单元及网络设备 | |
| KR20080107599A (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| JP2015035724A (ja) | ネットワーク制御装置 | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| CN102882994B (zh) | Ip地址分配、获取方法及装置 | |
| CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
| CN101917440B (zh) | 一种计算机接入局域网后接受管理的控制方法和系统 | |
| KR20180028742A (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| CN103973678A (zh) | 一种终端计算机的接入管控方法 | |
| US11558351B2 (en) | Dual-modes switching method for blocking network connection | |
| US20130275967A1 (en) | Dynamic provisioning of virtual systems | |
| KR20220070875A (ko) | Sdn/nfv 기반의 스마트홈 네트워크 시스템 | |
| KR101624294B1 (ko) | 유무선 통신 통합형 아웃렛 스위치의 통합관리를 위한 전용 콘트롤러 | |
| CN104009967A (zh) | 防止非信任服务器攻击的方法 | |
| CN106332078B (zh) | dot1x用户认证系统、方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |