CN104618469B - 一种基于代理网络架构的局域网访问控制方法及管理机 - Google Patents
一种基于代理网络架构的局域网访问控制方法及管理机 Download PDFInfo
- Publication number
- CN104618469B CN104618469B CN201510035106.XA CN201510035106A CN104618469B CN 104618469 B CN104618469 B CN 104618469B CN 201510035106 A CN201510035106 A CN 201510035106A CN 104618469 B CN104618469 B CN 104618469B
- Authority
- CN
- China
- Prior art keywords
- agent equipment
- access control
- supervisor
- type
- linux server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于代理网络架构的局域网访问控制方法及管理机,涉及通信技术领域,可以实现对局域网内主机的更加方便、快捷、细化的访问控制管理。所述方法包括:所述管理机自动识别代理设备类型,并基于SSH协议建立与代理设备的安全通道,将用户访问控制需求自动组装为ACL访问控制列表或Iptables控制规则,然后将控制规则通过安全通道发送至代理设备,触发代理设备执行控制规则。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于代理网络架构的局域网访问控制方法及管理机。
背景技术
随着计算机技术和通信技术的发展,网络已经深入到人们工作、生活、休闲、娱乐等各个方面,成为一个必须的工具。随着基于网络的应用的增加,使用网络的行为变得越来越混乱,这对于提高网络资源的使用率、提高工作质量、保障网络的安全稳定带来了挑战,因此迫切需要一种方便、快捷、功能强大的局域网访问控制工具来规范网络的使用行为,尤其对于学校公共机房、企事业单位办公网络等,更需要有效的管控手段来监管局域网的使用。
目前,软件市场上的大部分局域网访问控制管理软件,如网络剪刀手、网络执法官等都是基于ARP(Address Resolution Protocol,地址解析协议)协议来实现局域网内用户主机的访问控制管理的。ARP位于TCP/IP协议栈的网络层,其基本功能是通过目标设备的IP地址,查询目标设备的MAC地址,然后组装数据帧,进行局域网数据的发送和接收。众所周知,局域网内主机间的通信是基于MAC地址进行的,但是主机配置的是IP地址,因此需将主机的IP地址转换为MAC地址。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存。局域网内主机与外网通信时,首先需要获取网关的MAC地址,然后基于MAC地址与网关通信。如果切断主机与网关的联系,使其不能与网关通信,也就不能连接外网。ARP协议是基于局域网内主机间互相信任的基础进行的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存表。
基于ARP协议实现网络的访问控制管理的基本原理是通过发送欺骗性的ARP应答数据包致使接收者受到数据包后更新其ARP缓存表,从而建立错误的IP与MAC对应关系,以此来切断与网关的联系,实现访问控制管理。
上述访问控制的功能相对单一,不能实现更加细化的访问控制,如禁止访问指定的一些网站,禁止某类网络应用软件的使用等等,且容易受到局域网内主机安全的安全防护软件的干扰,甚至删除、屏蔽。
发明内容
本发明的实施例提供一种基于代理网络架构的局域网访问控制方法及管理机,可以实现对局域网内主机的更加方便、快捷、细化的访问控制管理。如,禁止访问某些网站,其他网站正常访问;禁止某类应用,其他应用正常等,能够实现基于协议、端口级别的细化的网络访问控制;软件安装、部署方便快捷,不需要在局域网内的主机上安装附加的客户端软件。
为达到上述目的,本发明的实施例采用如下技术方案:
一种基于代理网络架构的局域网访问控制方法,包括:
识别代理设备的类型,所述代理设备的类型包括以下三种:路由器、三层交换机、Linux服务器;
若所述代理设备的类型为路由器或三层交换机,则基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道,然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL,并通过所述安全通道发送所述ACL到所述代理设备,使得所述代理设备触发执行所述ACL;
若所述代理设备的类型为Linux服务器,则基于SSH协议建立一条管理机与所述
Linux服务器之间的安全通信通道,然后根据用户需求组装Iptables访问控制规则,接着将
所述Iptables访问控制规则通过所述安全通信通道发送到所述Linux服务器,使得所述
Linux服务器立即执行所述Iptables访问控制规则。
可选的,所述方法还包括:
待所述代理设备执行访问控制结束时,将所述代理设备的控制状态自动恢复至原始状态。
所述方法还包括:
根据用户的使用需求,手动将所述代理设备的控制状态恢复至原始状态。
一种管理机,所述管理机是以路由器、三层交换机或Linux服务器为代理设备的网络架构的局域网内的除了代理设备和客户端主机外的任意一台机器;所述管理机具有管理代理设备的权限;所述管理机包括访问控制管理模块,所述访问控制管理模块包括:
智能识别子模块,用于识别代理设备的类型,所述代理设备的类型包括以下三种:路由器、三层交换机、Linux服务器;
访问控制规则组装子模块,用于在所述智能识别模块识别出所述代理设备的类型为路由器或三层交换机时,基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道,然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL,并通过所述安全通道发送所述ACL到所述代理设备,使得所述代理设备触发执行所述ACL;
所述访问控制规则组装子模块,还用于在所述智能识别模块识别出所述代理设备
的类型为Linux服务器时,基于SSH协议建立一条管理机与所述Linux服务器之间的安全通
信通道,然后根据用户需求组装Iptables访问控制规则,接着将所述Iptables访问控制规
则通过所述安全通信通道发送到所述Linux服务器,使得所述Linux服务器立即执行所述
Iptables访问控制规则。
可选的,所述访问控制管理模块还包括:
自动恢复子模块,用于待所述代理设备执行访问控制结束时,将所述代理设备的控制状态自动恢复至原始状态。
上述技术方案提供的基于代理网络架构的局域网访问控制方法及管理机,对基于代理架构的局域网络进行细化到协议、端口的访问控制管理。对局域网中的电脑上安装的病毒防护软件、安全防护软件无任何影响。局域网中的电脑无需安装附加客户端程序。局域网中的任意一台电脑都可以安装管理端软件,实施对整个网络的访问控制管理。此发明方案部署简单、快捷,使用方便,效果良好。
附图说明
图1为本发明实施例提供的一种基于代理网络架构的局域网访问控制方法的流程示意图;
图2为本发明实施例提供的一种基于代理的网络架构的结构框图;
图3为本发明实施例提供的一种管理机中的访问控制管理模块的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种基于代理网络架构的局域网访问控制方法,所述方法包括:
S1、识别代理设备的类型。
其中,所述代理设备的类型包括以下三种:路由器、三层交换机、Linux服务器。
本发明实施例提供的方法主要针对基于代理的网络架构的局域网内主机进行访问控制管理。由于IPv4地址资源的限制,很多单位包括高等教育学校和一些企事业单位,局域网络都采用代理的架构接入互联网,以解决IPv4地址资源相对需要联入互联网的主机数量不足的问题。基于代理架构的互联网接入方案,其网络架构如图2所示。
充当代理的设备,可以是路由器、三层交换机或服务器。一般根据内部网络的规模、单位预算等因素决定采用哪种设备充当代理。代理设备处于内部局域网络与互联网的连接处,一般配置有至少2个网络接口,一个网络接口配置有若干个公网IP地址,用以接入互联网;另一个网络接口配置内部私有地址,用以接入内部局域网,并且作为内部局域网络内的主机的网关。代理设备的主要功能是,将内部网络主机发送的数据包的私有地址转换为合法的公有地址,以此实现内网主机共享几个合法的公有地址与互联网的有效联通。
通过对基于代理的网络架构分析发现,代理设备是内、外网数据流通的必经之路。如果能在代理设备上设置相应的访问控制规则对进出的数据包进行过滤,则可以实现对内网主机的访问控制管理,并且这种方案不需要在局域网内的每台主机上安装附加的客户端软件,只需在一台管理机(如图2所示)上安装访问控制管理模块,即可实现对整个局域网透明的访问控制管理。
管理机拥有代理设备(路由器、三层交换机或Linux服务器)的管理权限授权。管理机智能识别模块能够识别出代理设备的类型,判断代理设备是路由器,三层交换机,还是Linux服务器,进而针对不同的代理设备,实施不同的网络访问控制。
S2、若所述代理设备的类型为路由器或三层交换机,则针对路由器或三层交换机进行访问控制管理。
若所述代理设备的类型为路由器或三层交换机,则基于SSH(Secure Shell,安全套接层)协议建立一条管理机与代理设备间的安全通道,然后根据用户的访问控制需求自动建立代理设备的ACL(Access Control List,访问控制列表),并通过所述安全通道发送所述ACL到所述代理设备,使得所述代理设备触发执行所述ACL。
S3、若所述代理设备的类型为Linux服务器,则针对Linux服务器进行访问控制管理。
若所述代理设备的类型为Linux服务器,则基于SSH协议建立一条管理机与所述
Linux服务器之间的安全通信通道,然后根据用户需求组装Iptables访问控制规则,接着将
所述Iptables访问控制规则通过所述安全通信通道发送到所述Linux服务器,使得所述
Linux服务器立即执行所述Iptables访问控制规则。
S4、待所述代理设备执行访问控制结束时,管理机将所述代理设备的控制状态自动恢复至原始状态。
可选的,根据用户的使用需求,用户还可以自己手动将所述代理设备的控制状态恢复至原始状态。
本发明实施例还提供了一种管理机,如图2所示,所述管理机是以路由器、三层交换机或Linux服务器为代理设备的网络架构所在的局域网内的除了代理设备和客户端主机外的任意一台机器;所述管理机具有管理代理设备的权限;所述管理机包括访问控制管理模块,如图3所示,所述访问控制管理模块包括:智能识别子模块11,访问控制规则组装子模块12和自动恢复子模块13。
智能识别子模块11,用于识别代理设备的类型,所述代理设备的类型包括以下三种:路由器、三层交换机、Linux服务器。
访问控制规则组装子模块12,用于在所述智能识别模块11识别出所述代理设备的类型为路由器或三层交换机时,基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道,然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL,并通过所述安全通道发送所述ACL到所述代理设备,使得所述代理设备触发执行所述ACL;
所述访问控制规则组装子模块12,还用于在所述智能识别模块11识别出所述代理
设备的类型为Linux服务器时,基于SSH协议建立一条管理机与所述Linux服务器之间的安
全通信通道,然后根据用户需求组装Iptables访问控制规则,接着将所述Iptables访问控
制规则通过所述安全通信通道发送到所述Linux服务器,使得所述Linux服务器立即执行所
述Iptables访问控制规则。
如图3所示,所述访问控制管理模块还包括:自动恢复子模块13;所述自动恢复子模块13用于待所述代理设备执行访问控制结束时,将所述代理设备的控制状态自动恢复至原始状态。
上述技术方案,是针对基于代理设备(路由器、三层交换机或Linux服务器)网络架
构的局域网络的访问控制管理,部署在管理机上的访问控制管理模块,能够自动识别代理
设备类型,并基于SSH协议建立与代理设备的安全通道,将用户访问控制需求自动组装为
ACL访问控制列表或Iptables控制规则,然后将控制规则通过安全通道发送至代理设备,触
发代理设备执行控制规则,以此来实现对整个局域网络的透明的、访问控制管理。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (5)
1.一种基于代理网络架构的局域网访问控制方法,其特征在于,包括:
识别代理设备的类型,所述代理设备的类型包括以下三种:路由器、三层交换机、Linux服务器;
若所述代理设备的类型为路由器或三层交换机,则基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道,然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL,并通过所述安全通道发送所述ACL到所述代理设备,使得所述代理设备触发执行所述ACL;
若所述代理设备的类型为Linux服务器,则基于SSH协议建立一条管理机与所述Linux服务器之间的安全通信通道,然后根据用户需求组装Iptables访问控制规则,接着将所述Iptables访问控制规则通过所述安全通信通道发送到所述Linux服务器,使得所述Linux服务器立即执行所述Iptables访问控制规则。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
待所述代理设备执行访问控制结束时,将所述代理设备的控制状态自动恢复至原始状态。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据用户的使用需求,手动将所述代理设备的控制状态恢复至原始状态。
4.一种管理机,其特征在于,所述管理机是以路由器、三层交换机或Linux服务器为代理设备的网络架构的局域网内的除了代理设备和客户端主机外的任意一台机器;所述管理机具有管理代理设备的权限;所述管理机包括访问控制管理模块,所述访问控制管理模块
包括:
智能识别子模块,用于识别代理设备的类型,所述代理设备的类型包括以下三种:路由器、三层交换机、Linux服务器;
访问控制规则组装子模块,用于在所述智能识别模块识别出所述代理设备的类型为路由器或三层交换机时,基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道,然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL,并通过所述安全通道发送所述ACL到所述代理设备,使得所述代理设备触发执行所述ACL;
所述访问控制规则组装子模块,还用于在所述智能识别模块识别出所述代理设备的类型为Linux服务器时,基于SSH协议建立一条管理机与所述Linux服务器之间的安全通信通道,然后根据用户需求组装Iptables访问控制规则,接着将所述Iptables访问控制规则通过所述安全通信通道发送到所述Linux服务器,使得所述Linux服务器立即执行所述Iptables访问控制规则。
5.根据权利要求4所述的管理机,其特征在于,所述访问控制管理模块还包括:
自动恢复子模块,用于待所述代理设备执行访问控制结束时,将所述代理设备的控制状态自动恢复至原始状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510035106.XA CN104618469B (zh) | 2014-12-24 | 2015-01-21 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410852269 | 2014-12-24 | ||
| CN2014108522692 | 2014-12-24 | ||
| CN201510035106.XA CN104618469B (zh) | 2014-12-24 | 2015-01-21 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104618469A CN104618469A (zh) | 2015-05-13 |
| CN104618469B true CN104618469B (zh) | 2018-11-02 |
Family
ID=53152744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510035106.XA Expired - Fee Related CN104618469B (zh) | 2014-12-24 | 2015-01-21 | 一种基于代理网络架构的局域网访问控制方法及管理机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104618469B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737441B (zh) * | 2018-06-06 | 2021-06-18 | 浙江华途信息安全技术股份有限公司 | 一种智能识别并处理网络数据流的方法 |
| CN112019361A (zh) * | 2019-05-30 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1253685A (zh) * | 1997-03-11 | 2000-05-17 | 西格技术公司 | 管理因特网和企业内部网活动的方法和装置 |
| CN101083659A (zh) * | 2006-05-30 | 2007-12-05 | 美国凹凸微系有限公司 | 便携式设备的安全策略与环境 |
| CN101453460A (zh) * | 2007-12-07 | 2009-06-10 | 华为技术有限公司 | 一种访问控制方法及通讯系统以及相关设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
| CN102307114A (zh) * | 2011-09-21 | 2012-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络的管理方法 |
-
2015
- 2015-01-21 CN CN201510035106.XA patent/CN104618469B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1253685A (zh) * | 1997-03-11 | 2000-05-17 | 西格技术公司 | 管理因特网和企业内部网活动的方法和装置 |
| CN101083659A (zh) * | 2006-05-30 | 2007-12-05 | 美国凹凸微系有限公司 | 便携式设备的安全策略与环境 |
| CN101453460A (zh) * | 2007-12-07 | 2009-06-10 | 华为技术有限公司 | 一种访问控制方法及通讯系统以及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104618469A (zh) | 2015-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11263305B2 (en) | Multilayered approach to protecting cloud credentials | |
| TWI727059B (zh) | 處理網路流量的方法及裝置 | |
| US9847965B2 (en) | Asset detection system | |
| EP2837159B1 (en) | System asset repository management | |
| EP2837157B1 (en) | Network address repository management | |
| US7607021B2 (en) | Isolation approach for network users associated with elevated risk | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| CN108616490A (zh) | 一种网络访问控制方法、装置及系统 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| ES2687351T3 (es) | Dispositivo de control de flujo de red y método de configuración de estrategia de seguridad y dispositivo del mismo | |
| CN106686070A (zh) | 一种数据库数据迁移方法、装置、终端及系统 | |
| CN112134891B (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
| US10440054B2 (en) | Customized information networks for deception and attack mitigation | |
| CN103946834A (zh) | 虚拟网络接口对象 | |
| WO2013159518A1 (en) | Migration of a security policy of a virtual machine | |
| CN110493195A (zh) | 一种网络准入控制方法及系统 | |
| CN105743878A (zh) | 使用蜜罐的动态服务处理 | |
| US10397225B2 (en) | System and method for network access control | |
| US20150156079A1 (en) | Methods and Apparatus to Dynamically Provide Network Policies | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| EP3016423A1 (en) | Network safety monitoring method and system | |
| CN109617753A (zh) | 一种网络平台管理方法、系统及电子设备和存储介质 | |
| CN104618469B (zh) | 一种基于代理网络架构的局域网访问控制方法及管理机 | |
| CN107786539A (zh) | 一种基于dns进行防cc攻击的方法 | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice | ||
| DD01 | Delivery of document by public notice |
Addressee: Huo Yingqiu Document name: Notice of termination of patent |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181102 Termination date: 20200121 |