CN106411929A - 一种按照终端安全级别,将违规终端置入相应隔离区的方法 - Google Patents
一种按照终端安全级别,将违规终端置入相应隔离区的方法 Download PDFInfo
- Publication number
- CN106411929A CN106411929A CN201610977549.5A CN201610977549A CN106411929A CN 106411929 A CN106411929 A CN 106411929A CN 201610977549 A CN201610977549 A CN 201610977549A CN 106411929 A CN106411929 A CN 106411929A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- isolation area
- violation
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
所有网络准入控制类系统都使用隔离Vlan的技术来解决终端违规的问题,可是此类技术存在严重的不足:就是当终端因为违反定义的入网策略,违规入网后,将被置到同一个隔离区内,此时这个隔离区内可能存在较低安全级别的终端,也可能存在较高安全级别的终端,按规定,不同安全级别的终端是不能进行互访的,但是他们因为在一个隔离区内,所以他们之间可以直接互访,造成严重的违规行为。为了解决上述存在的问题,我们专门研发了一种能够根据终端安全级别或者终端使用人的安全级别将违规终端置入相应隔离区的方法。各种安全级别的终端在各自对应的安全级别的隔离区内,不能夸隔离区互访,杜绝了不同安全级别的终端在隔离区能够互访的严重问题。
Description
技术领域
本发明涉及网络安全技术,特别涉及一种按照终端安全级别将违规终端置入相应隔离区的方法,是一种能将接入网络的终端,因为终端安全原因,或者接入信息不合法等因素,根据终端安全级别或者终端使用人的安全级别将终端置入相应隔离区的方法。
背景技术
当前被国家安全领域合法定义的网络准入技术为802.1x技术,大部分网络准入控制类系统都使用的此技术,在802.1x技术中,有一项技术为隔离Vlan技术,就是当终端认证失败时,会被交换机自动置入隔离Vlan,也叫Guest Vlan。
所有网络准入控制类系统都使用隔离Vlan的技术来解决终端违规的问题,可是此类技术存在严重的不足:就是当终端因为违反定义的入网策略,违规入网后,将被置到同一个隔离区内,此时这个隔离区内可能存在较低安全级别的终端,也可能存在较高安全级别的终端,按规定,不同安全级别的终端是不能进行互访的,但是他们因为在一个隔离区内,所以他们之间可以直接互访,造成严重的违规行为。
发明内容
为了解决上述存在的问题,我们专门研发了一种能够根据终端安全级别或者终端使用人的安全级别将违规终端置入相应隔离区的方法。各种安全级别的终端在各自对应的安全级别的隔离区内,不能夸隔离区互访,杜绝了不同安全级别的终端在隔离区能够互访的严重问题。
本发明提供了多种隔离区的设置,可对任何单位中自定义的安全级别进行设置,比如分别设置普通隔离区、内部隔离区、秘密隔离区、机密隔离区、绝密隔离区等。
本发明提供终端安全级别与人员安全级别列表,可由接口直接同步终端与人员安全级别或进行人工维护。
本发明提供一种隔离方法,可将入违规终端使用动态Vlan推送的方式,将违规终端置入对应密级的隔离区。
附图说明
图1为现有802.1x处理违规终端逻辑图。
图2为本发明处理违规终端逻辑图。
图3为本发明处理违规终端流程图。
具体实施方式
为了使本发明的创作特征、技术手段与达成目的易于明白理解,以下结合具体实施例进一步阐述本发明:
实施例:
本发明中涉及一项关键技术为动态Vlan技术。此技术是根据终端用户的MAC地址,决定终端数据哪一个Vlan,而以前的静态Vlan是根据交换机的端口划分Vlan:
step1:一台终端开机连接网线进入网络S01
step2:此终端先进性标准的802.1x认证,交换机将其终端信息发送至验证服务器。S02
step3:验证服务器验证其用户身份的正确性。当身份合法后,验证其入网策略与终端策略,并获取数据库中此终端的安全级别。S03
step4:判断当前终端的入网策略与终端策略是否有任一项违规。S04
step5:如未违规,此时向交换机发送认证成功的指令,并根据此终端的对应的Vlan,向交换机推送动态Vlan,终端进入正常Vlan。S05
step6:若此终端违规,则向交换机发送认证成功指令,一并推送此终端的隔离Vlan信息。S06
step7:终端进入对应安全级别的隔离Vlan中。S07
Claims (6)
1.一种按照终端安全级别,将违规终端置入相应隔离区的方法,其特征在于,弥补当前802.1x标准中 Guest Vlan功能的不足,根据终端或者终端使用人的安全级别,将违规终端推送至相应安全级别的隔离域中,保障保密工作。
2.根据权利要求1所述的方法,其特征在于,提供人员与设备的安全级别列表。
3.根据权利要求1-2所述的方法,其特征在于,使用动态Vlan的方式对交换机端口进行对应安全级别的动态授权。
4.根据权利要求1-3所述的方法,其特征在于,提供标准的802.1x认证系统,并在此系统上进行扩展。
5.一种按照终端安全级别,将违规终端置入相应隔离区的方法,包括如下步骤:
A.对接入网络的终端进行入网特征检测;
B.对步骤A中的所述终端进行检测,当检测结果不符时,向交换机发送认证成功指令,并将所述终端设备推送至对应密级的隔离区域;
C.记录所述终端入网检测的过程;
D.对所述终端下发对应安全级别隔离区的IP地址。
6.根据权利要求1-5所述的方法,所述终端包括计算机、笔记本、网络打印机等所有支持网络接入的终端设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610977549.5A CN106411929A (zh) | 2016-11-08 | 2016-11-08 | 一种按照终端安全级别,将违规终端置入相应隔离区的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610977549.5A CN106411929A (zh) | 2016-11-08 | 2016-11-08 | 一种按照终端安全级别,将违规终端置入相应隔离区的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106411929A true CN106411929A (zh) | 2017-02-15 |
Family
ID=58015183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610977549.5A Pending CN106411929A (zh) | 2016-11-08 | 2016-11-08 | 一种按照终端安全级别,将违规终端置入相应隔离区的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106411929A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107277040A (zh) * | 2017-07-20 | 2017-10-20 | 西安云雀软件有限公司 | 一种在内网进行终端接入控制的方法 |
CN111683040A (zh) * | 2020-04-21 | 2020-09-18 | 视联动力信息技术股份有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
CN102185867A (zh) * | 2011-05-19 | 2011-09-14 | 苏州九州安华信息安全技术有限公司 | 一种实现网络安全的方法和一种星形网络 |
-
2016
- 2016-11-08 CN CN201610977549.5A patent/CN106411929A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101714927A (zh) * | 2010-01-15 | 2010-05-26 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
CN102185867A (zh) * | 2011-05-19 | 2011-09-14 | 苏州九州安华信息安全技术有限公司 | 一种实现网络安全的方法和一种星形网络 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107277040A (zh) * | 2017-07-20 | 2017-10-20 | 西安云雀软件有限公司 | 一种在内网进行终端接入控制的方法 |
CN111683040A (zh) * | 2020-04-21 | 2020-09-18 | 视联动力信息技术股份有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
CN111683040B (zh) * | 2020-04-21 | 2023-07-14 | 视联动力信息技术股份有限公司 | 一种网络隔离方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108684041B (zh) | 登录认证的系统和方法 | |
CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
CN103227776B (zh) | 配置方法、配置设备、计算机程序产品和控制系统 | |
CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
CN102843669B (zh) | 数据访问方法和装置 | |
CN106304264B (zh) | 一种无线网络接入方法及装置 | |
CN104767713A (zh) | 账号绑定的方法、服务器及系统 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
CN104469736B (zh) | 一种数据处理方法、服务器及终端 | |
CN104796383A (zh) | 一种终端信息防篡改的方法和装置 | |
CN106230587A (zh) | 一种长连接防重放攻击的方法 | |
CN115102792B (zh) | 一种多系统同步登录方法及系统 | |
CN110881186B (zh) | 非法设备识别方法、装置、电子设备及可读存储介质 | |
CN105162763A (zh) | 通讯数据的处理方法和装置 | |
CN103905514A (zh) | 服务器、终端设备以及网络数据存取权限管理方法 | |
CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
CN106411929A (zh) | 一种按照终端安全级别,将违规终端置入相应隔离区的方法 | |
CN103714017A (zh) | 一种认证方法、认证装置及认证设备 | |
CN107277040A (zh) | 一种在内网进行终端接入控制的方法 | |
CN110166471A (zh) | 一种Portal认证方法及装置 | |
CN106330950B (zh) | 加密信息的访问方法、系统及适配器 | |
CN105812338A (zh) | 一种数据访问管控方法及网络管理设备 | |
CN104540183B (zh) | 一种无线热点的控制方法和装置 | |
CN112261103A (zh) | 一种节点接入方法及相关设备 | |
CN106162644A (zh) | 一种可防止伪装设备的WiFi系统及其安全验证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170215 |