CN103929376B - 一种基于交换机端口管理的终端准入控制方法 - Google Patents
一种基于交换机端口管理的终端准入控制方法 Download PDFInfo
- Publication number
- CN103929376B CN103929376B CN201410181478.9A CN201410181478A CN103929376B CN 103929376 B CN103929376 B CN 103929376B CN 201410181478 A CN201410181478 A CN 201410181478A CN 103929376 B CN103929376 B CN 103929376B
- Authority
- CN
- China
- Prior art keywords
- terminal
- mac address
- management
- switch ports
- ports themselves
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及终端准入控制技术领域,具体公开了一种基于交换机端口管理的终端准入控制方法。新的终端接入网络后,通过交换机采集新终端,提取终端的唯一标识,将终端与交换机的端口关联;将唯一标识与准入数据库的MAC地址比对,进行判断;若查询到唯一标识,则为合法终端,不产生动作;若查询不到唯一标识,则为不合法终端或外部终端,立即关闭对应的交换机端口,记录关闭信息在准入数据库中;再有新的终端接入网络时,加入到窗口期处理后;重新返回开始处理;若没有新的终端接入网络,经过指定时间后自动打开关闭的交换机端口。本发明对终端采取MAC地址管理,禁止终端用户私自更改MAC地址;管理虚拟机,阻止HUB接入;本发明终端准入控制准确、严格。
Description
技术领域
本发明涉及终端准入控制技术领域,尤其是涉及一种基于交换机端口管理的终端准入控制方法。
背景技术
现有技术中,因为接入方式的多样性(有线、无线、虚拟专用网和拨号等)、终端设备的多样性(台式机、笔记本、PAD、智能手机等),导致难以准确界定网络边界,网络管理主要面临以下问题:①外来终端随意接入网络,②接入终端的自身安全性无法确认或保证,③合法终端没有遵从IT内控制度。阻止外部风险进入内部是网络管理必须关注的问题之一,在此背景下产生了终端准入控制系统:准入控制是实名制网络准入控制的简称。准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合法性检查。
目前常见的准入控制系统有如下几种:
㈠802.1x准入控制强调对交换机端口的控制:这种控制与网络兼容性较差;在用户使用终端接入前,会将终端隔离在隔离VLAN中;只有在进行完身份认证后,才将终端改放在应属的VLAN中。802.1x准入技术要求交换机必须支持802.1x;当端口下挂Hub或普通交换机的情况下,则无法实现对非法终端的VLAN隔离。
㈡基于DHCP服务器加上终端的准入控制模式,这种控制模式不改变网络拓扑,影响小,不会降低网络的性能和可靠性。但是需要在每个网段部署DHCP服务器,增加硬件和维护成本终端可以轻松绕过DHCP,自行设置IP接入网络,并且无法统计终端信息。仅适合中小型网络。
㈢基于网关产品加上终端的准入控制模式:这种控制模式功能非常全面,基本上可以满足用户的绝大多数需要;但是网关型设备比较昂贵,并需要更改拓扑结构,只能采用802.1x准入控制,但是802.1x又解决不了HUB接入、终端统计等方面的问题;准入控制严重依赖桌面安全,未安装Agent的终端(或非法卸载Agent的终端)依然可以接入局域网,无法实现局域网的安全准入控制。
㈣基于ARP强制和桌面管理的准入控制模式:这种控制模式的优点是成本低廉,部署速度快;但是存在的技术问题是:ARP强制,实际就是ARP欺骗,后果严重不可想象;只要懂技术的用户,都可以绕开ARP干扰和强制;因此无法做到隔离不安全的电脑。访客的管理如何做,是一个大问题;ARP干扰器有效范围小,在大型网络里,其本身的管理就是一个问题,特别是有广域网的情况下,更是困难。
现有技术或解决方案存在的缺点:
基于802.1x准入控制强调对交换机端口的控制方案的缺点是:①.兼容性差,所有接入层交换机必须支持802.1x协议;②.部署技术复杂度要求高;③.无法判断网络中存在多少终端;④.无法管理HUB与虚拟机的接入。
基于DHCP服务器加上终端的准入控制模式的缺点是:①.需要在每个网段部署DHCP服务器,增加硬件和维护成本终端可以轻松绕过DHCP,自行设置IP接入网络并且无法统计终端信息;②.仅适合中小型网络。
基于网关产品加上终端的准入控制模式的缺点是:①.网关型设备比较昂贵,并需要更改拓扑结构,只能采用802.1x准入控制,但是802.1x又解决不了HUB接入、终端统计等方面的问题;②.准入控制严重依赖桌面安全,未安装Agent的终端(或非法卸载Agent的终端)依然可以接入局域网,无法实现局域网的安全准入控制。
基于ARP强制和桌面管理的准入控制模式的缺点是:①.ARP强制,实际就是ARP欺骗,后果严重不可想象;用户很容易可以绕开ARP干扰和强制;②.无法做到隔离不安全的电脑;③.访客的管理是一个严重的问题;④.ARP干扰器有效范围小,在大型网络里,其本身的管理是一个问题,特别是有广域网情况下,更是困难。
目前还没有有效的基于交换机端口管理的终端准入控制方法来解决上述问题。
发明内容
本发明所解决的技术问题是提供一种基于交换机端口管理的终端准入控制方法,本发明主要用于防范外部终端计算机和不合法计算机非法接入网络,对终端采取基于MAC地址的管理,禁止终端用户私自更改MAC地址;并对虚拟机进行管理;阻止HUB的接入,保证了网络边界的完整性;本发明的终端准入控制准确、严格,同时不会影响网络中其他终端及服务;可以用于对终端要求较高的企业和国家机关事业单位。
为了解决上述技术问题,本发明提供了一种基于交换机端口管理的终端准入控制方法,包括:
步骤一:新的终端接入网络后,通过交换机采集新接入的所述终端的身份信息;
步骤二:所述交换机提取所述终端的所述身份信息中的唯一标识;所述交换机将所述终端与所述交换机的端口关联起来;
步骤三:将所述唯一标识与服务器端的准入数据库中的MAC地址比对,在预先设置的所述准入数据库中进行查询,判断所述终端的身份信息;
若是在所述准入数据库中查询到所述唯一标识,则为合法的所述终端,不产生动作;
若是在所述准入数据库中查询不到所述唯一标识,则为不合法的所述终端或外部终端,立即关闭所述终端对应的所述交换机的端口,并记录所述关闭信息在所述准入数据库中;
步骤四:当再有新的终端接入网络时,加入到窗口期处理后;返回所述步骤一;
若没有新的终端接入网络,经过指定时间后自动打开被关闭的所述交换机的端口,返回所述步骤三;使合法的所述终端正常使用曾经被关闭的所述交换机的端口;
所述窗口期是指下述时间段:在系统响应时间后,开启被关闭的所述交换机端口,持续所述系统响应时间后再关闭所述交换机端口,反复N次;使所述终端达到合法化。
优选的,所述交换机支持SNMP V1、SNMP V2或SNMP V3协议。
更加优选的,所述关闭信息包括所述终端对应的关闭的交换机端口、所述新的终端的MAC地址以及所述交换机端口关闭时间和开启时间的对应关系表。
更加优选的,所述N为设置值,所述N为1~99的自然数。
更加优选的,所述系统响应时间为1min~59min。
更加优选的,所述指定时间为设置值,所述指定时间为1min~59min。
更加优选的,所述步骤二中,所述唯一标识为MAC地址。
更加优选的,所述步骤二中,当所述终端与所述交换机的端口关联起来时,若出现一个所述交换机的端口对应两个或两个以上的所述MAC地址时,所述终端上接入了HUB,则关闭所述交换机的端口。
更加优选的,所述步骤二中,当所述终端与所述交换机的端口关联起来时,若合法的所述终端装有虚拟机并运行时,当出现一个所述交换机的端口对应两个或两个以上所述MAC地址时,其中一个所述MAC地址为所述终端的MAC地址,另外一个所述MAC地址为虚拟机的MAC地址;则根据内置在所述准入数据库中的MAC地址自动过滤所述虚拟机的MAC地址,再进行其余MAC地址的检测。
更加优选的,所述步骤三中,所述准入数据库包含:经所述终端的安全管理系统注册确认的所述终端的MAC地址、外部批量追加的所述终端的MAC地址以及人工录入的对日常增加的终端计算机和非计算机类节点的MAC地址。
更加优选的,所述准入数据库定期更新数据,所述定期更新的时间为90天。
更加优选的,在所述终端设有客户端代理管理,所述终端安装所述客户端代理管理后,所述客户端代理管理采集所述终端的MAC地址并加密保存在所述终端,并同时上传给所述准入数据库进行备份。
更加优选的,所述客户端代理管理在第一次安装完成后,所述准入数据库收到所述终端第一次上线消息后,对所述终端生成一个唯一标识,并下发给所述终端进行存储;所述终端每次上线时会给所述准入数据库发送一个上线消息,所述上线消息里面包含所述终端的唯一标识,当所述准入数据库发现所述终端的上线消息里不带所述终端的唯一标识或者所述唯一标识不正确时,则关闭所述终端对应的所述交换机的端口。
更加优选的,所述客户端代理管理根据系统设定的频率检测所述终端的MAC地址,若发现所述终端的MAC地址变更时,所述客户端代理管理自动将所述终端的MAC地址还原并提示告警,阻止所述终端私自更改所述终端的MAC地址。
更加优选的,所述准入数据库根据系统设定的频率发送检测信号所述终端的所述客户端代理管理的存在情况,当出现未收到所述终端的下线消息,又检测不到所述终端的检测信号时,所述准入数据库根据所述终端的唯一标识扫描所有的交换机,若发现所述终端的唯一标识,则所述终端上的客户端代理管理已被破坏,关闭所述终端对应的所述交换机端口。
更加优选的,所述系统设定的频率为1min~59min/次。
更加优选的,所述客户端代理管理的卸载仅能通过远程的服务端卸载,本地无法卸载。
其中,所述SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB体系结构,改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台。SNMP由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资料物件。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况;该协议是互联网工程工作小组(IETF,Internet Engineering Task Force)定义的internet协议簇的一部分。
其中,所述MAC地址,或称为MAC位址、硬件位址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC位址。因此一个主机会有一个IP地址,而每个网络位置会有一个专属于它的MAC地址。MAC(Medium/Media AccessControl)地址,用来表示互联网上每一个站点的标识符,采用十六进制数表示,共六个字节(48位)。其中,前三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位),也称为“编制上唯一的标识符”(Organizationally Unique Identifier),后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一性)。一个地址块可以生成224个不同的地址。MAC地址实际上就是适配器地址或适配器标识符EUI-48。
其中,所述HUB是一个多端口的转发器,当以HUB为中心设备时,网络中某条线路产生了故障,并不影响其它线路的工作。所以HUB在局域网中得到了广泛的应用。大多数的时候它用在星型与树型网络拓扑结构中,以RJ45接口与各主机相连(也有BNC接口),HUB按照不同的说法有很多种类。HUB按照对输入信号的处理方式上,可以分为无源HUB、有源HUB、智能HUB。
本发明与现有技术相比,具有如下有益效果:
本发明提供了一种基于交换机端口管理的终端准入控制方法,本发明兼容市场上主流交换机,接入层交换机只需支持SNMP协议即可,无须支持802.1x协议;部署简单,只需录入接入层交换信息,即可实现严格的终端准入控制;精确统计内网中接入终端的数量;对HUB设备进行管理,阻止HUB的接入;对虚拟机进行管理,实现阻止或允许合法虚拟机的接入。
本发明对终端采用基于MAC地址的管理,禁止终端用户私自更改MAC地址;并实现了对虚拟机的管理;阻止HUB的接入,保证了网络边界的完整性;本发明引入了窗口期的概念,为所述终端提供网络维护时间,处理内部未合法的所述终端,采用关闭所述交换机端口而断网进行督促;经过窗口期使所述终端达到合法化。本发明的终端准入控制准确、严格,同时不会影响网络中其他终端及服务;可以用于对终端要求较高的企业和国家机关事业单位。
附图说明
图1示例性的示出了本发明一种基于交换机端口管理的终端准入控制方法的流程示意图。
具体实施方式
为了更好的理解本发明所解决的技术问题、所提供的技术方案,以下结合附图及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明的实施,但并不用于限定本发明。
在优选的实施例中,图1示例性的示出了本发明一种基于交换机端口管理的终端准入控制方法的制备方法流程示意图,包括:
A:新的终端接入网络后,通过交换机采集新接入的所述终端的身份信息;
B:所述交换机提取所述终端的所述身份信息中的唯一标识;所述交换机将所述终端与所述交换机的端口关联起来;
C:将所述唯一标识与服务器端的准入数据库中的MAC地址比对,在预先设置的所述准入数据库中进行查询,判断所述终端的身份信息;
若是在所述准入数据库中查询到所述唯一标识,则为合法的所述终端,不产生动作;
若是在所述准入数据库中查询不到所述唯一标识,则为不合法的所述终端或外部终端,立即关闭所述终端对应的所述交换机的端口,并记录所述关闭信息在所述准入数据库中;
D:当再有新的终端接入网络时,加入到窗口期处理后;返回所述步骤A;
若没有新的终端接入网络,经过指定时间后自动打开被关闭的所述交换机的端口,返回所述步骤C;使合法的所述终端正常使用曾经被关闭的所述交换机的端口;
所述交换机支持SNMP V1、SNMP V2或SNMP V3协议;
所述关闭信息包括所述终端对应的关闭的交换机端口、所述新的终端的MAC地址以及所述交换机端口关闭时间和开启时间的对应关系表;
所述N为设置值,所述N为1~99的自然数;
所述系统响应时间为1min~59min;
所述指定时间为设置值,所述指定时间为1min~59min;
所述唯一标识为MAC地址。
所述窗口期是指下述时间段:在系统响应时间后,开启被关闭的所述交换机端口,持续所述系统响应时间后再关闭所述交换机端口,反复N次;使所述终端达到合法化;
在更加优选的实施例中,所述步骤B中,
当所述终端与所述交换机的端口关联起来时,若出现一个所述交换机的端口对应两个或两个以上的所述MAC地址时,所述终端上接入了HUB,则关闭所述交换机的端口;
当所述终端与所述交换机的端口关联起来时,若合法的所述终端装有虚拟机并运行时,当出现一个所述交换机的端口对应两个或两个以上所述MAC地址时,其中一个所述MAC地址为所述终端的MAC地址,另外一个所述MAC地址为虚拟机的MAC地址;则根据内置在所述准入数据库中的MAC地址自动过滤所述虚拟机的MAC地址,再进行其余MAC地址的检测。
在更加优选的实施例中,所述步骤C中,所述准入数据库包含:经所述终端的安全管理系统注册确认的所述终端的MAC地址、外部批量追加的所述终端的MAC地址以及人工录入的对日常增加的终端计算机和非计算机类节点的MAC地址。
在更加优选的实施例中,所述准入数据库定期更新数据,所述定期更新的时间为90天。
在更加优选的实施例中,在所述终端设有客户端代理管理,所述终端安装所述客户端代理管理后,所述客户端代理管理采集所述终端的MAC地址并加密保存在所述终端,并同时上传给所述准入数据库进行备份。
在更加优选的实施例中,所述客户端代理管理在第一次安装完成后,所述准入数据库收到所述终端第一次上线消息后,对所述终端生成一个唯一标识,并下发给所述终端进行存储;所述终端每次上线时会给所述准入数据库发送一个上线消息,所述上线消息里面包含所述终端的唯一标识,当所述准入数据库发现所述终端的上线消息里不带所述终端的唯一标识或者所述唯一标识不正确时,则关闭所述终端对应的所述交换机的端口。
在更加优选的实施例中,所述客户端代理管理根据系统设定的频率检测所述终端的MAC地址,若发现所述终端的MAC地址变更时,所述客户端代理管理自动将所述终端的MAC地址还原并提示告警,阻止所述终端私自更改所述终端的MAC地址。
在更加优选的实施例中,所述准入数据库根据系统设定的频率发送检测信号所述终端的所述客户端代理管理的存在情况,当出现未收到所述终端的下线消息,又检测不到所述终端的检测信号时,所述准入数据库根据所述终端的唯一标识扫描所有的交换机,若发现所述终端的唯一标识,则所述终端上的客户端代理管理已被破坏,关闭所述终端对应的所述交换机端口。
在更加优选的实施例中,所述系统设定的频率为1min~59min/次。
在更加优选的实施例中,所述客户端代理管理的卸载仅能通过远程的服务端卸载,本地无法卸载。
具体实施例:
HUB设备管理:
在采集终端信息的时候,本发明将此终端的MAC与交换机的端口进行关联,当出现一个交换的端口对应了两个或两个以上的MAC时则说明此端口上接入了一个HUB,一旦发现这种情况,本发明将关闭此交换机端口。
虚拟机MAC管理:
需要注意的是,当内网中有一合法终端上安装有虚拟机并运行时,此终端对应的交换机端口上会存在两个MAC(一个为终端的,另一个为虚拟机的),对于这种情况,本发明根据内置的MAC地址范围自动过滤虚拟机MAC,再进行多MAC检测。
终端MAC地址管理:
由于电脑上用于联网的网卡上的MAC地址在系统中并不是固定不可更改的,一旦用户随意更改MAC地址,则无法通过MAC地址对终端进行正常的准入控制。为了防止终端用户随意更改终端的MAC地址,本发明带有客户端代理程序。
代理程序在安装完成后采集终端上的MAC地址加密保存在本地,同时上传给本发明的准入数据库进行备案,代理程序以系统设定的频率检测终端上的MAC地址,发现MAC变更时自动将MAC还原,阻止终端用户私自更改MAC地址,同时进行相应的告警提示。
代理程序保护与管理:
由于代理程序依赖于操作系统,代理程序相对来说比较脆弱,很容易就被暴力卸载或删除(如重装系统等),因此本发明设计以下方案用于保证代理程序的完整性:
1.代理程序在第一次安装完成后与本发明进行通讯,本发明收到终端第一次上线消息后针对此终端生成一个唯一身份标识,并下发给终端进行存储,终端每次上线时都会给本发明发送一个上线消息,里面包含自己的唯一标识,当本发明发现终端的上线消息里不带唯一标识或者唯一标识不正确时阻断此终端接入。
本发明按设定的频率发送心跳信号检测终端PC上的代理程序的存在情况,当出现即未收到终端下线消息,又检测不到此终端的心跳信息时,本发明按此终端的MAC扫描所有的交换机,一旦发现此MAC,则强制阻断此终端(说明此终端上的代理程序被破坏)。
3.代理程序的卸载只能通过本发明联网远程卸载,本地无法卸载。
基于网络交换机端口的端点准入前提:
1、接入层交换机支持SNMP V1/V2/V3。接入层交换机接受本发明的管理。
2、网络拓扑完整准确,拥有接入层交换机管理权限。
技术路线:
1、通过交换机端口的开/关,进行终端计算机的网络接入控制。
2、通过接入认证数据库确认终端计算机准入条件。
3、通过控制交换机接入端口的窗口期,实现未达标终端计算机的维护服务。
4、初始模式和运维模式。
5、接入认证数据库的维护管理。
初始模式:实施端点准入初始阶段,有大量的不合法终端计算机在网,本发明根据准入认证数据库和全网搜集到的MAC地址对比,接入认证数据库中不存在的MAC地址对应端口将被关闭,本发明记录对应的MAC地址、交换机端口和对应时间(switch-mac-port-time)在准入数据库中,在指定的时间后开启该端口,持续指定时间后再关闭,如此反复N次,N可设置,最小值为1,最大值10。开启的持续时间即为“窗口期”,用于为终端计算机提供网络维护时间,以达到合法要求。系统响应时间可以在数分钟到数十分钟水平。此阶段本发明的用途主要是处理内部未合法终端计算机,通过断网督促通过窗口期到达合法。
运维模式:实施端点准入数月时间后,不合法终端计算机数量已经很少,本发明主要用于防范外部终端计算机和不合法计算机非法接入网络,处理方式与初始模式不同,由本发明主动发现新的MAC地址,查询接入认证数据库,快速确认身份,如果是不合法终端计算机或外部计算机,立即关闭所连接端口,记录关闭的switch-mac-port-time信息到准入数据库,运维模式下24小时后打开被关闭的端口。如果是合法终端计算机则不产生任何动作。此模式要求从非法终端接入交换机端口开始,1~3分钟之内关闭非法接入端口,具备分钟级的响应速度。
接入认证数据库:
接入认证数据库的数据来自多个方向,一是来自桌面安全管理系统,经桌面安全管理系统注册确认的终端计算机MAC地址可直接导入;二是来自外部批量追加(如新购置的大量终端计算机);三是来自人工的录入,以应对日常的少量的终端计算机增加和非计算机类IP节点的增加。四是基于管理的数据维护产生的数据变化,如某些设备彻底离网,其相关认证信息需要从中删除(此部分可考虑使用老化时间来控制,如以90天为期限,建立老化数据表,记录老化数据,以便于超过老化期计算机回网的管理)。
技术关键:
初始模式下,本发明应能收集全网MAC地址,并能分辨出网络设备,将网络设备的MAC地址自动剔除不进入接入认证数据库,保护网络设备;能分辨出非终端计算机的MAC地址,单独列表,人工确认是否进入接入认证数据库;与外部第三方系统建立数据接口,定期获得第三方系统数据,进入接入认证数据库,第三方数据库的认证数据,由安全策略和管理策略确定,每次读取的数据与上一次读取数据对比,仅增量部分进入接入认证数据库。
运维模式下,要求底层网管能快速的发现交换机上出现的新的MAC地址,最好能在秒级,即时发送给本发明,本发明查询接入认证数据库,确认其合法性,以决定其所在端口的开关。(发现MAC的速度决定于数据采集的方式,轮询方式在交换机数量较大的情况下速度会受到影响,交换机trap上报是比较理想的方式,可以不受交换机数量限制,但受交换机功能限制,一些型号的交换机不能支持trap上报)。
接入认证数据库的维护管理:
接入认证数据库的字段结构,至少应包含如下信息:MAC地址,该MAC机器的用户名,单位,电话等。
该MAC地址记录的建立时间,来源(批量导入/第三方获得/人工建立),如果是人工建立,应记录建立该记录的用户名。
准入控制库:
准入控制库是指本发明操作过的端口产生的相应记录的库。至少应包含以下字段信息:
MAC、所在交换机IP/MAC、on/off、time、用户名、单位、电话。
该库应确定数据老化时间,如三个月。
展示:
可全部展示或查询本发明管理的接入层交换机相应信息,特别是端口状态。可追加或删除管理的接入交换机。
展示和查询全网MAC地址。
展示和查询接入认证数据库内容。可作增删改。
展示和查询准入控制库内容。
设置界面,设置管理交换机的IP、community。设置窗口期时间长度、窗口期的频次N。
准入控制库数据老化时间。设置初始模式和运维模式的切换。
运维模式下,新出现的MAC计入报警库,同时报警提示;管理员可以对报警记录进行确认和注释。
多级架构和分布管理:
支持多台本发明的分布管理,在分布水平部署本发明的情况下,提供集中的准入管理。统一查询准入报警信息,统计数量。
在垂直部署SAED的情况下,支持多级管理,适应多级组织结构,提供上级部门对下属单位准入情况的查询管理。
启动控制:
实施模式下,违规终端接入端口关闭功能,需要设置开启/关闭开关。此开关开启前,本发明通过轮训方式获得接入交换机MAC表,获得全网接入的MAC地址,作为本发明的管理范围,获得外部准入认证MAC表,二者对比后,产生非法接入MAC地址表,自动剔除其中的交换机本身MAC地址,通过人机界面剔除非计算机设备MAC地址,作为端口关闭的执行依据。一旦开启端口关闭功能,本发明读取非法接入MAC地址表,逐个定位MAC地址所在端口,并执行关闭端口操作。第一次执行端口关闭操作后,即进入窗口操作。
运维模式下,违规终端接入端口关闭功能,需要设置开启/关闭开关。此开关开启前,SAED通过交换机上启动的“MAC地址变化通知”配置,自动向SAED上报新的MAC地址,依托实施模式依据获得的全网MAC地址表,确认上的MAC地址是否是新的,如果不是新的,则不执行任何操作,如果是新的,通过接入认证数据库确认其是否是合法接入,如是合法接入则不处理,如是非法接入则并产生记录和报警。报警的MAC地址通过人机界面,可由管理员确认为合法,则该MAC被追加入接入认证数据库。端口关闭功能开启后,新发现的MAC地址,在确认其非法后立即关闭该MAC所在端口。
实施模式到运维模式的转换:实施模式为运维模式奠定了全面严格准入的基础,实施模式完成后已经将大部分非法接入终端拒绝在网络之外,并为运维模式积累了大量的基础数据。实施模式可平滑转变为运维模式,转变后,本发明停止轮询交换机MAC地址表,获得新MAC地址的方式依托交换机“MAC地址变化通知”上报,主要完成处理非法接入的即时处理,要求高的反应速度,从非法MAC地址接入交换机到端口关闭应在1分钟之内完成。
主流品牌接入层交换机典型配置包括:思科、华为、中兴或锐捷。
强制驱逐:管理员通过本发明强制删除接入认证数据库里一项MAC地址记录,本发明则执行定位该MAC在接入交换机上的,关闭该端口,将该MAC地址强制驱逐出网络。管理员只能驱逐其管理范围内的MAC地址设备。
接入层交换机没有MAC地址变化通知时:
混合模式:
采用轮询和“MAC地址变化通知”两种方式结合,完成MAC定位、端口关闭。对于不支持“MAC地址变化通知”的接入交换机,无法实现新MAC的自动上报,需要通过MAC表轮询的方式获得新MAC,受MAC表轮询频频限制,系统的相应时间会受到影响,从新MAC出现到端口关闭时间可能增加到10分钟以上。MAC地址表轮询应根据初始标识,仅轮询不支持“MAC地址变化通知”的交换机。
对于支持“MAC地址变化通知”的交换机仍采用trap上报的方式,以提高系统综合反应速度。
应能对每台交换机设置实施模式/运维模式/混合模式。
混合模式
配置中对每台交换机的“MAC地址变化通知”是否启用做出识别和标识。
单端口多MAC问题的处理:
关闭端口的恢复:因非法MAC接入被本发明关闭的交换机端口,应在设定的时间周期到达时被打开,若仍然有非法接入的MAC被发现,则进入相应的处理流程,若没有MAC接入则保持端口打开状态。
为了防止因HUB接入引起的准入失效,对于出现多个MAC的端口,需要确认,然后关闭。
对于同时在线的MAC,应按上线时间优先的原则,拒绝后上线MAC的接入,即关闭其连接端口。
软件授权保护:
应采用适当方法保护软件的使用权,这些方法注如:安装license,与安装的机器硬件绑定,license有效时间控制等。
以上通过具体的和优选的实施例详细的描述了本发明,但本领域技术人员应该明白,本发明并不局限于以上所述实施例,凡在本发明的基本原理之内,所作的任何修改、组合及等同替换等,均包含在本发明的保护范围之内。
Claims (17)
1.一种基于交换机端口管理的终端准入控制方法,其特征在于,包括:
步骤一:新的终端接入网络后,通过交换机采集新接入的所述终端的身份信息;
步骤二:所述交换机提取所述终端的所述身份信息中的唯一标识;所述交换机将所述终端与所述交换机的端口关联起来;
步骤三:将所述唯一标识与服务器端的准入数据库中的MAC地址比对,在预先设置的所述准入数据库中进行查询,判断所述终端的身份信息;
若是在所述准入数据库中查询到所述唯一标识,则为合法的所述终端,不产生动作;
若是在所述准入数据库中查询不到所述唯一标识,则为不合法的所述终端或外部终端,立即关闭所述终端对应的所述交换机的端口,并记录关闭信息在所述准入数据库中;
步骤四:当再有新的终端接入网络时,加入到窗口期处理后;返回所述步骤一;
若没有新的终端接入网络,经过指定时间后自动打开被关闭的所述交换机的端口,使合法的所述终端正常使用曾经被关闭的所述交换机的端口;
所述窗口期是指下述时间段:在系统响应时间后,开启被关闭的所述交换机端口,持续所述系统响应时间后再关闭所述交换机端口,反复N次;使所述终端达到合法化。
2.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述交换机支持SNMP V1、SNMP V2或SNMP V3协议。
3.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述关闭信息包括所述终端对应的关闭的交换机端口、所述新的终端的MAC地址以及所述交换机端口关闭时间和开启时间的对应关系表。
4.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述N为设置值,所述N为1~99的自然数。
5.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述系统响应时间为1min~59min。
6.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述指定时间为设置值,所述指定时间为1min~59min。
7.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述步骤二中,所述唯一标识为MAC地址。
8.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述步骤二中,当所述终端与所述交换机的端口关联起来时,若出现一个所述交换机的端口对应两个或两个以上的所述MAC地址时,所述终端上接入了HUB,则关闭所述交换机的端口。
9.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述步骤二中,当所述终端与所述交换机的端口关联起来时,若合法的所述终端装有虚拟机并运行时,当出现一个所述交换机的端口对应两个或两个以上所述MAC地址时,其中一个所述MAC地址为所述终端的MAC地址,另外一个所述MAC地址为虚拟机的MAC地址;则根据内置在所述准入数据库中的MAC地址自动过滤所述虚拟机的MAC地址,再进行其余MAC地址的检测。
10.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述步骤三中,所述准入数据库包含:经所述终端的安全管理系统注册确认的所述终端的MAC地址、外部批量追加的所述终端的MAC地址以及人工录入的对日常增加的终端计算机和非计算机类节点的MAC地址。
11.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述准入数据库定期更新数据,所述定期更新的时间为90天。
12.根据权利要求1所述的基于交换机端口管理的终端准入控制方法,其特征在于,在所述终端设有客户端代理管理,所述终端安装所述客户端代理管理后,所述客户端代理管理采集所述终端的MAC地址并加密保存在所述终端,并同时上传给所述准入数据库进行备份。
13.根据权利要求12所述的基于交换机端口管理的终端准入控制方法,其特征在于,客户端代理管理在第一次安装完成后,所述准入数据库收到所述终端第一次上线消息后,对所述终端生成一个唯一标识,并下发给所述终端进行存储;所述终端每次上线时会给所述准入数据库发送一个上线消息,所述上线消息里面包含所述终端的唯一标识,当所述准入数据库发现所述终端的上线消息里不带所述终端的唯一标识或者所述唯一标识不正确时,则关闭所述终端对应的所述交换机的端口。
14.根据权利要求12所述的基于交换机端口管理的终端准入控制方法,其特征在于,客户端代理管理根据系统设定的频率检测所述终端的MAC地址,若发现所述终端的MAC地址变更时,所述客户端代理管理自动将所述终端的MAC地址还原并提示告警,阻止所述终端私自更改所述终端的MAC地址。
15.根据权利要求12所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述准入数据库根据系统设定的频率发送检测信号,当出现未收到所述终端的下线消息,又检测不到所述终端的检测信号时,所述准入数据库根据所述终端的唯一标识扫描所有的交换机,若发现所述终端的唯一标识,则所述终端上的客户端代理管理已被破坏,关闭所述终端对应的所述交换机端口。
16.根据权利要求14或15所述的基于交换机端口管理的终端准入控制方法,其特征在于,所述系统设定的频率为1min~59min/次。
17.根据权利要求12所述的基于交换机端口管理的终端准入控制方法,其特征在于,客户端代理管理的卸载仅能通过远程的服务端卸载,本地无法卸载。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410181478.9A CN103929376B (zh) | 2014-04-30 | 2014-04-30 | 一种基于交换机端口管理的终端准入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410181478.9A CN103929376B (zh) | 2014-04-30 | 2014-04-30 | 一种基于交换机端口管理的终端准入控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103929376A CN103929376A (zh) | 2014-07-16 |
| CN103929376B true CN103929376B (zh) | 2017-06-20 |
Family
ID=51147458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410181478.9A Expired - Fee Related CN103929376B (zh) | 2014-04-30 | 2014-04-30 | 一种基于交换机端口管理的终端准入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103929376B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753926B (zh) * | 2015-03-11 | 2019-04-12 | 华中科技大学 | 一种网关准入控制方法 |
| CN106470203B (zh) * | 2015-08-21 | 2021-01-22 | 中兴通讯股份有限公司 | 信息获取方法及装置 |
| CN106102070A (zh) * | 2016-05-31 | 2016-11-09 | 深圳市双赢伟业科技股份有限公司 | 交换机运行状态控制方法及装置 |
| CN107222436A (zh) * | 2017-05-26 | 2017-09-29 | 上海携程商务有限公司 | 基于mac地址的网络端口管理方法及系统 |
| CN107277040A (zh) * | 2017-07-20 | 2017-10-20 | 西安云雀软件有限公司 | 一种在内网进行终端接入控制的方法 |
| CN108200624B (zh) * | 2018-01-26 | 2020-12-15 | 北京博大光通物联科技股份有限公司 | 基于lpwan的具有自动入网功能的混合型网络组网通讯方法 |
| CN108712387A (zh) * | 2018-04-19 | 2018-10-26 | 深圳市联软科技股份有限公司 | 一种识别网络中用户身份的系统 |
| CN108900481A (zh) * | 2018-06-13 | 2018-11-27 | 四川微迪智控科技有限公司 | 一种交换机安全接入系统和方法 |
| CN109101789A (zh) * | 2018-06-28 | 2018-12-28 | 中译语通科技股份有限公司 | 一种数据安全管理方法 |
| CN109067755B (zh) * | 2018-08-17 | 2021-06-04 | 深圳市永达电子信息股份有限公司 | 一种安全交换机的访问控制方法和系统 |
| CN109617972B (zh) * | 2018-12-17 | 2021-11-26 | 新华三技术有限公司 | 一种连接建立方法、装置、电子设备及存储介质 |
| CN111327577B (zh) * | 2018-12-17 | 2022-10-04 | 浙江宇视科技有限公司 | 一种基于交换机的安全准入方法及装置 |
| CN109981344B (zh) * | 2019-02-19 | 2022-04-08 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
| CN110035082B (zh) * | 2019-04-15 | 2020-10-13 | 北京北信源信息安全技术有限公司 | 一种交换机准入认证方法、交换机及系统 |
| CN111010354B (zh) * | 2019-12-13 | 2022-03-08 | 苏州浪潮智能科技有限公司 | 一种光模块准入判别方法、装置、主干网交换机及介质 |
| CN111294279B (zh) * | 2020-02-03 | 2022-02-22 | 苏州浪潮智能科技有限公司 | Pxe环境中网络聚合组后备端口的设定装置及方法 |
| CN111343193B (zh) * | 2020-03-06 | 2022-06-07 | 咪咕文化科技有限公司 | 云网络端口安全防护方法、装置、电子设备及存储介质 |
| CN112672140A (zh) * | 2020-11-30 | 2021-04-16 | 新华三技术有限公司 | 一种摄像头的识别方法及装置 |
| CN112511666A (zh) * | 2020-12-14 | 2021-03-16 | 国网辽宁省电力有限公司盘锦供电公司 | 一种计算机终端资产定位方法 |
| CN113285929B (zh) * | 2021-05-10 | 2023-03-24 | 新华三技术有限公司 | 一种终端合法性检测方法及装置 |
| CN113783724A (zh) * | 2021-08-27 | 2021-12-10 | 国网江苏省电力有限公司南通供电分公司 | 一种终端准入监控预警平台 |
| CN114598511B (zh) * | 2022-02-24 | 2024-01-19 | 广东电网有限责任公司 | 涉网网络实时监测系统 |
| CN117240606A (zh) * | 2023-11-10 | 2023-12-15 | 新华三网络信息安全软件有限公司 | 哑终端的认证方法及认证系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN103078813A (zh) * | 2013-01-04 | 2013-05-01 | 西安交大捷普网络科技有限公司 | 基于snmp协议的终端安全接入的控制方法 |
-
2014
- 2014-04-30 CN CN201410181478.9A patent/CN103929376B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929483A (zh) * | 2006-09-19 | 2007-03-14 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN103078813A (zh) * | 2013-01-04 | 2013-05-01 | 西安交大捷普网络科技有限公司 | 基于snmp协议的终端安全接入的控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| MAC地址与交换机端口绑定方法的实践;张鸿波等;《中国数字医学》;20070715(第7期);第53-55页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103929376A (zh) | 2014-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103929376B (zh) | 一种基于交换机端口管理的终端准入控制方法 | |
| JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| CN107222462A (zh) | 一种局域网内部攻击源的自动定位、隔离方法 | |
| CN103888474B (zh) | 过程控制网络的一键安全上锁 | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| CN101098291B (zh) | 在接入设备上防止介质访问控制地址表扰乱的方法 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN104935572B (zh) | 多层级权限管理方法及装置 | |
| CN103957171B (zh) | 基于智能交换机物理端口和mac地址的接入控制方法和系统 | |
| CN100388684C (zh) | 宽带接入网络中防止点到点协议认证攻击的实现方法 | |
| CN1960376A (zh) | 自动化的网络阻隔方法和系统 | |
| CN109995796A (zh) | 工控系统终端安全防护方法 | |
| CN107995192A (zh) | 一种网络边界违规内联的检测与阻断系统 | |
| US20120047583A1 (en) | Cable fraud detection system | |
| CN101707587B (zh) | 检测客户端连接状态的方法、装置以及Radius服务器 | |
| CN106899612A (zh) | 一种自动检测假冒主机arp欺骗的方法 | |
| CN101188603A (zh) | 一种根据用户权限访问外部网络的方法 | |
| CN102970173B (zh) | 非法设备发现方法及其网管系统 | |
| CN106028356A (zh) | 无线接入设备处理方法及系统 | |
| CN110138622B (zh) | 基于云技术的无线局域网管理系统 | |
| CN109617918B (zh) | 一种安全运维网关及其运维方法 | |
| CN101599834A (zh) | 一种认证部署方法和一种管理设备 | |
| CN101193129A (zh) | 认证用户名生成方法和装置 | |
| CN103973678B (zh) | 一种终端计算机的接入管控方法 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170620 Termination date: 20180430 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |