CN103259764B - 一种局域网络防护系统与方法 - Google Patents
一种局域网络防护系统与方法 Download PDFInfo
- Publication number
- CN103259764B CN103259764B CN201210036328.XA CN201210036328A CN103259764B CN 103259764 B CN103259764 B CN 103259764B CN 201210036328 A CN201210036328 A CN 201210036328A CN 103259764 B CN103259764 B CN 103259764B
- Authority
- CN
- China
- Prior art keywords
- package
- network
- mark
- network package
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种局域网络防护系统与方法,包含于一发送端中发送一要求命令,并于一网络封包中加入记号或白名单,以及于一接收端中接收该要求命令,并检查网络封包中是否有该记号或白名单;若网络封包中有该记号或白名单,则让该网络封包通过,若网络封包中没有该记号或白名单,则断网。采用本发明,能够避免数据不当的被存取,确保网络芳邻的用户之间数据传输的安全性。
Description
技术领域
本发明涉及网络安全方法,尤其涉及一种局域网络防护系统与方法。
背景技术
随着因特网的发展,网络封包可以透过局域网络(Local Area Network,LAN)于客户端(Client)与服务器端(Server)之间互相传递。而当其中一条局域网络连结断线时,透过信道路由技术,网络封包依旧能透过其它的通道来进行传送,进而保持网络传输的持续性;此外,利用多个信道来传送网络封包也可提升网络传输速率。
于信息科技高度发展的今日,企业与个人对信息设备的倚赖日深,信息安全顺理成章地成为发展与运用计算机软硬件的同时最为重要的课题。缺乏信息安全,将造成种种严重的后果,举凡数据外泄、数据被增删篡改、因计算机中毒而造成与计算机相关的服务停摆、企业与个人日常工作无法进行等,无不造成企业或个人重大的损失与不便。
上述各种问题中,又以数据外泄所产生的不利影响最为重大。举例而言,一旦企业的研发结果、营业秘密、财务状况或客户数据等信息流落在外,轻则影响产品的研发上市或造成客户流失,重则使企业失去技术发展上策略性的竞争优势甚至使企业陷于财务危机。因此,广泛运用信息科技的企业以及研发信息安全相关技术的厂商无不将防止数据外泄视为建立企业信息安全的首要之务。
针对上述情形,目前实务上已存在各种资料控管的方法,其中绝大多数是以账号密码机制确保存取信息之人具有足够的权限。透过验证的手续,可规范使用者经由网络或其它接口传输数据或将数据储存于外接式储存装置等行为,彻底防堵可能造成数据外泄的各种途径。然上述方法尚有其不足之处,其缺点在于上述防护机制需经执行特定软件方能启动。
此外,传统的网络系统资源运用上不甚理想,其网络处理系统架构也较为复杂。
发明内容
有鉴于此,本发明的主要目的在于提供一种局域网络防护系统与方法,以避免数据不当的被存取,确保网络芳邻的用户之间数据传输的安全性。
为达到上述目的,本发明的技术方案是这样实现的:
一种局域网络防护的方法,包含如下步骤:
于一发送端与一接收端之间建立协议,该建立协议步骤包含于发送端中发送一要求命令,并于一网络封包中加入记号或白名单,以及于接收端中接收该要求命令,并检查网络封包中是否有该记号或白名单;以及于发送端与接收端之间建立网络联机。上述方法更包含若网络封包中有该记号或白名单,则让该网络封包通过,若网络封包中没有该记号或白名单,则断网。其中网络封包包含以太网封包、因特网协议封包、传输控制协议封包、服务器讯息区块封包与网络基本输出入系统封包,该记号系加入于服务器讯息区块封包中。
一种局域网络防护系统,包含一网络封包协议单元,用以于一网络封包中加入记号或白名单;以及一网络封包检查单元,用以检查该网络封包中所加入的该记号或白名单。同样地,该系统中,若该网络封包中有该记号或该白名单,则让该网络封包通过,若该网络封包中没有该记号或该白名单,则断网。
本发明所提供的局域网络防护系统与方法,具有以下优点:
利用本发明,能够通过简易的网络封包安全性处理系统及方法,解决资料可能外泄的问题。
附图说明
图1为根据本发明之一实施例的局域网络防护系统的示意图。
图2为根据本发明之网络封包的示意图。
图3为根据本发明之具有局域网络防护方法的流程图。
图4为根据本发明之建立协议的流程示意图。
【主要组件符号说明】
10:局域网络防护系统
11:网络封包协议单元
12:网络封包检查单元
13:网络封包
14:发送端
15:接收端
100:含应用层封包
101a:SMB封包/CIFS封包
101b:NetBIOS封包
102:TCP封包
103:IP封包
104:Ethernet封包。
具体实施方式
下面结合附图及本发明的实施例对本发明的系统和方法作进一步详细的说明。
本发明提供的局域网络防护系统,以避免数据不当的被存取,确保网络芳邻的用户之间数据传输的安全性;其利用于网络芳邻(network neighborhood)的网络封包中,加入适当的记号(例如参数或符号卷标),使得网络在使用SMB(Server Message Block)、SMB2或CIFS(Common Internet File System)传送档案或数据时,须有记号才能通过。
图1为根据本发明之一实施例的局域网络防护系统的示意图。在本实施例中,局域网络防护系统10可以作为服务器端(server)及客户端(client)或者客户端之间的局域网络系统,其包含网络封包协议单元11与网络封包检查单元12。网络封包协议单元11用以于一网络封包13中加入记号,而网络封包检查单元12用以检查网络封包13中所加入的记号。换言之,利用本发明的系统,当于二客户端之间传送档案或数据时,数据传输端(第一计算机)利用网络封包协议单元11而于网络封包13中加入记号,而数据接收端(第二计算机)则利用网络封包检查单元12以检查该网络封包13中的记号。若是网络封包检查单元12检查该网络封包13中有记号,或者是来源IP或MAC在白名单之中,则档案或数据得以于二端之间交换或传递;反之,若是经由网络封包检查单元12检查该网络封包13中无记号,或者是来源IP或MAC不在白名单中,则数据传输端及数据接收端之间会断网。
在另一实施例中,不管网络封包13中是否有记号,而只管网络封包13之来源IP或MAC是否有在白名单中,若有,则让网络封包13通过,若没有,则数据发送(传输)端及数据接收端之间断网。
图2为根据本发明之一实施例的网络封包13的示意图。一般而言,在开放式通讯系统互连参考模型(Open System Interconnection Reference Model)中,基于整个网络任务的达成,可以划分成不同的功能区块,即所谓的层级(layer)。举一实施例而言,在传输控制协议/因特网协议(TCP/IP)的基础上,包含了应用层、传输层、网络互连层及网络接口层等一系列层级,构成因特网基础的网络协议。应用层为了通过网络与其它程序通信所使用的层,例如包括文件传输协议(File Transfer Protocol,FTP)、超文本传输协议(Hypertext Transfer Protocol,HTTP)、SMB、NetBIOS等。传输层用于决定所给数据应该送至那个应用程序,例如包括传输控制协议(TCP)。网络互连层用以于网络(因特网)上选择路径而将数据封包传输,例如包括因特网协议(IP)。网络接口层用以将数据封包从一个装置的网络层传输到另外一个装置的网络层,其可以用网卡的软件驱动程序控制或在韧体或者专用芯片中控制,例如包括Ethernet(以太网)。因此,本发明的网络封包13包含了各个层级中的封包,其包含应用层的封包100(包含SMB封包/CIFS封包101a及网络基本输出入系统(NetBIOS)封包101b)、传输层的TCP封包102、网络互连层的IP封包(IPv4或IPv6封包)103以及网络接口层的Ethernet封包104。服务器讯息区块(Server Message Block,SMB)或CIFS(Common Internet File System)协议为可用于网络中档案分享的协议。
图3为根据本发明的局域网络防护方法的流程图。举例而言,局域网络防护为网络芳邻的数据交换的防护,因此图3为具有网络防护功能的网芳流程图。如上所述,在数据交换时,于网芳封包中加入记号。首先,于步骤110中建立协议,并确认网络封包中是否有记号或白名单。此步骤的建立协议的流程如图4所示,首先将媒体存取控制地址(medium accesscontrol address,MAC address)、因特网地址(internet protocol address,IP address)及主机名称等本身的相关信息包装成网络通讯协议的传送封包(例如SMB封包、NetBIOS封包、MAC封包、TCP封包、IP封包、Ethernet封包),于步骤120中,发送端14发送要求命令(SendRequest),于网络封包加入记号或白名单。举例而言,发送端14发送要求命令由网络驱动接口规格驱动器(NDIS driver)传入发送,NDIS (Network Driver InterfaceSpecification)为一应用程序接口(API),可用于网络适配卡(NICs)。
在一网络芳邻(网芳)的例子中,当数据发送端14及数据接收端15之间进行数据交换之前,先于网芳封包中加入记号。举例而言,其于SMB档头(header)中作记号,SMB中必须有足够的空字段放记号在封包里面。此记号例如为唯一标示符(Unique ID),其可以放在SMB协议的空字段或固定字段中。亦即在某些命令中,于SMB协定的空字段或固定字段中将记号打上去,以作为封包检查的依据,以决定网络是否通行或断网。在另一实施例中,基于其它不同的命令,亦可以将记号放至其它位置的空字段中,记号注记的字段端视实际的应用而有所变化。此外,在不同的操作系统(Vista/Win7/XP)中对应不同的协议(SMB/SMB2),因此所作的记号可能随之作调整或变化。
然后,于步骤121中,接收端15接收要求命令(Receive Request),以检查并确认网络封包中是否有记号或白名单。
之后,于步骤122中,接收端15发送回应命令(Send Response),以响应接收端15已经确认网络封包中是否有记号或白名单。
最后,于步骤122中,发送端14接收响应命令(Receive Response),结果建立网络通信协议。同样地,反过来说,发送端与接收端之间的角色可以互换。完成网络通信协议表示发送端14与接收端15之间的网络封包具有相同的记号(MID),或者其发出的网络封包中具有白名单。举例而言,相同的记号发送端14与接收端15的网络封包具有一字符串长度、参数或符号卷标相同的空格字符串。
建立协议之后,在步骤111中,于发送端14与接收端15之间建立网络联机。
网络联机建立之后,发送端14与接收端15之间均可以开启网芳目录,于步骤112中。
然后,根据其需要,发送端14或接收端15可以开启网芳目录之下的子目录,于步骤113中。
接下来,可以开启子目录之下的档案,于步骤114中。
开启档案之后,可以读取或写入该档案,于步骤115中。
最后,关闭档案,于步骤116中。当然,于数据交换过程亦包含存取网芳中的档案。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (4)
1.一种局域网络防护的方法,其特征在于,包含如下步骤:
于一发送端中发送一要求命令,以利用该发送端的一网络封包协议单元于一网络封包的空字段中加入记号或白名单,该记号包含唯一标示符,该网络封包包含服务器讯息区块封包,该记号加入于该服务器讯息区块封包的该空字段中;
于一接收端中接收该要求命令,并利用该接收端的一网络封包检查单元以检查该网络封包中是否有该记号或该白名单;以及
若该网络封包检查单元检查该网络封包中有该记号或该白名单,则让该网络封包通过,若该网络封包检查单元检查该网络封包中没有该记号或该白名单,则断网。
2.如权利要求1所述的局域网络防护的方法,其特征在于,该网络封包更包含以太网封包、因特网协议封包、传输控制协议封包与网络基本输出入系统封包。
3.一种局域网络防护的系统,其特征在于,包含:
一发送端与一接收端,该发送端包含一网络封包协议单元,该接收端包含一网络封包检查单元;
其中该网络封包协议单元用以于一网络封包的空字段中加入记号或白名单,该记号包含唯一标示符,该网络封包包含服务器讯息区块封包,该记号加入于该服务器讯息区块封包的该空字段中;以及
其中该网络封包检查单元用以检查该网络封包中所加入的该记号或该白名单,若该网络封包检查单元检查该网络封包中有该记号或该白名单,则让该网络封包通过,若该网络封包检查单元检查该网络封包中没有该记号或该白名单,则断网。
4.如权利要求3所述的局域网络防护的系统,其特征在于,该网络封包更包含以太网封包、因特网协议封包、传输控制协议封包与网络基本输出入系统封包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210036328.XA CN103259764B (zh) | 2012-02-17 | 2012-02-17 | 一种局域网络防护系统与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210036328.XA CN103259764B (zh) | 2012-02-17 | 2012-02-17 | 一种局域网络防护系统与方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103259764A CN103259764A (zh) | 2013-08-21 |
CN103259764B true CN103259764B (zh) | 2017-12-15 |
Family
ID=48963467
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210036328.XA Active CN103259764B (zh) | 2012-02-17 | 2012-02-17 | 一种局域网络防护系统与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103259764B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101170564A (zh) * | 2007-11-30 | 2008-04-30 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
CN101404579A (zh) * | 2008-10-31 | 2009-04-08 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
CN101465844A (zh) * | 2007-12-18 | 2009-06-24 | 华为技术有限公司 | 一种防火墙穿越方法、系统和设备 |
CN101605070A (zh) * | 2009-07-10 | 2009-12-16 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
CN101674312A (zh) * | 2009-10-19 | 2010-03-17 | 中兴通讯股份有限公司 | 一种在网络传输中防止源地址欺骗的方法及装置 |
CN101729500A (zh) * | 2008-10-31 | 2010-06-09 | 华为技术有限公司 | 一种ip会话标识方法、装置和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7710887B2 (en) * | 2006-12-29 | 2010-05-04 | Intel Corporation | Network protection via embedded controls |
-
2012
- 2012-02-17 CN CN201210036328.XA patent/CN103259764B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101170564A (zh) * | 2007-11-30 | 2008-04-30 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
CN101465844A (zh) * | 2007-12-18 | 2009-06-24 | 华为技术有限公司 | 一种防火墙穿越方法、系统和设备 |
CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
CN101404579A (zh) * | 2008-10-31 | 2009-04-08 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
CN101729500A (zh) * | 2008-10-31 | 2010-06-09 | 华为技术有限公司 | 一种ip会话标识方法、装置和系统 |
CN101605070A (zh) * | 2009-07-10 | 2009-12-16 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
CN101674312A (zh) * | 2009-10-19 | 2010-03-17 | 中兴通讯股份有限公司 | 一种在网络传输中防止源地址欺骗的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103259764A (zh) | 2013-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
EP3125502A1 (en) | Method for providing access to a web server | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
CN110086798B (zh) | 一种基于公共虚拟接口进行通信的方法及装置 | |
EP2031834A1 (en) | Communication module and application program provided with same | |
US20030236897A1 (en) | Information processing system, information processing apparatus and method, program, and storage medium | |
CN107659485A (zh) | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 | |
CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
CN106936791A (zh) | 拦截恶意网址访问的方法和装置 | |
CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
CN110324227A (zh) | 一种vpn服务器中的数据传输方法及vpn服务器 | |
CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
CN106878259A (zh) | 一种报文转发方法及装置 | |
CN109040124A (zh) | 用于交换机的处理报文的方法和装置 | |
CN110392066A (zh) | 一种访问服务的方法和装置 | |
CN102223353A (zh) | 主机标识协议安全通道复用方法及装置 | |
CN107368334A (zh) | 一种业务插件交互系统及方法 | |
CN108848198B (zh) | 一种多业务转发模式AP的Portal差异化推送方法 | |
CN105991442B (zh) | 报文转发方法及装置 | |
CN104348731A (zh) | 社区虚拟网络连线建立方法及网络通信系统 | |
CN107409047A (zh) | 加密会话的协调分组递送 | |
CN103442096B (zh) | 基于移动互联网的nat转换方法及系统 | |
Kruse et al. | Datagram convergence layers for the delay-and disruption-tolerant networking (DTN) bundle protocol and licklider transmission protocol (LTP) | |
CN108064441A (zh) | 一种加速网络传输优化方法以及系统 | |
CN107105072A (zh) | 一种创建arp表项的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |