CN106686003A - 旁路部署的网络准入控制系统及方法 - Google Patents

旁路部署的网络准入控制系统及方法 Download PDF

Info

Publication number
CN106686003A
CN106686003A CN201710112692.2A CN201710112692A CN106686003A CN 106686003 A CN106686003 A CN 106686003A CN 201710112692 A CN201710112692 A CN 201710112692A CN 106686003 A CN106686003 A CN 106686003A
Authority
CN
China
Prior art keywords
access control
terminal device
network
module
bypass
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710112692.2A
Other languages
English (en)
Other versions
CN106686003B (zh
Inventor
傅如毅
沈勇
姚龙飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co Ltd
Original Assignee
Zhejiang Yuanwang Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co Ltd filed Critical Zhejiang Yuanwang Information Co Ltd
Priority to CN201710112692.2A priority Critical patent/CN106686003B/zh
Publication of CN106686003A publication Critical patent/CN106686003A/zh
Application granted granted Critical
Publication of CN106686003B publication Critical patent/CN106686003B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种旁路部署的网络准入控制系统,包括终端设备、交换机、准入控制设备,终端设备与所述交换机建立会话链路,准入控制设备放置于交换机的镜像口上,终端设备内设有检查模块和通信模块,检查模块用于对用户信息和终端设备的安全情况进行检查生成安全信号,通信模块耦接所述检查模块,用于响应安全信号生成前导包并建立终端设备和交换机的会话链路,准入控制设备内设有校验模块,校验模块用于响应前导包允许生成前导包的终端设备接入专网。本发明的旁路部署的网络准入控制系统及方法通过旁路部署到数据交换中,监听保护区域的网络数据流,在部不影响原有用户网络结构的情况下,对非法连接的终端设备进行跳转或阻断。

Description

旁路部署的网络准入控制系统及方法
技术领域
本发明涉及网络准入控制技术领域,特别涉及一种旁路部署的网络准入控制系统及方法。
背景技术
信息技术的快速发展大力推动了计算机网络与信息系统在政府及企事业单位的广泛应用,为办公及生产建设的电子化、自动化、信息化提供了坚实保障。在政府专网(公安、检察院、法院、政府、财税、电力等领域)中网络环境庞大而又复杂,接入网络的网络设备是否安全可信,是否被允许接入网络,成为信息安全迫切需要解决的问题。
目前主要有下面几种网络准入控制技术:ARP准入控制技术,通过发送ARP干扰包,制造IP冲突来实现网络准入控制,不需要专门的硬件,实现成本很低。但如果终端安装了ARP防火墙,就使ARP攻击和欺骗不能起作用。同时由于实现原理的局限性,ARP准入控制常常会造成网络阻塞,影响网络正常运行。DHCP准入控制技术,具有适用范围广,兼容性强的特点,但如果配置静态IP就可以绕过准入控制。基于交换机联动的准入控制技术,通过向交换机发送指令来控制网络设备的接入,实现较为复杂,并且和交换机品牌型号密切相关,存在兼容性问题。802.1x准入控制技术,802.1x准入控制技术是交换机厂家推荐的准入控制技术,交换机在实现802.1x协议时,是以交换机端口为基础实现的。当没有完成认证之前,交换机端口是处于关闭状态,或被放在隔离VLAN中。只有当认证通过后,交换机端口会打开,并重新将交换机端口重新放在不同的VLAN中。但当802.1x交换机端口下挂二层交换机时,一旦有一台终端通过802.1x认证后,端口就会打开,这就造成同接在二层交换机上的其它终端就可以不经过认证就可以接入网络。同时由于低端交换机和老旧交换机不支持802.1x协议,企业要实现全网准入控制必须先要升级或者购买新的交换机。
发明内容
本发明提供一种旁路部署的网络准入控制系统及方法,目的在于解决上述现有的多种网络准入控制技术面临的问题。
为解决上述问题,本发明实施例提供一种旁路部署的网络准入控制系统,包括终端设备、交换机、准入控制设备,所述终端设备与所述交换机建立会话链路,所述准入控制设备放置于所述交换机的镜像口上,终端设备内设有检查模块和通信模块,所述检查模块用于对用户信息和终端的安全情况进行检查生成安全信号,所述通信模块耦接所述检查模块,用于响应所述安全信号生成前导包并建立终端设备和交换机的会话链路,所述准入控制设备内设有校验模块,所述校验模块用于响应所述前导包允许生成前导包的终端设备接入专网。
作为一种实施方式,所述准入控制设备还包括反馈模块,所述反馈模块耦接所述校验模块,用于响应所述校验模块未响应到前导包的校验结果生成跳转包,并将所述跳转包发送至未生成前导包的终端设备。
作为一种实施方式,所述终端设备还包括引导模块,所述引导模块响应所述跳转包使终端设备跳转至指定的网页下载安装通信模块。
作为一种实施方式,还包括应用服务端,用于使校验通过的终端设备接入专网。
本发明实施例还提供一种旁路部署的网络准入控制方法,包括以下步骤:
在终端电脑与交换机每次建立会话链路时,通过旁路部署的准入控制设备侦听网络中的数据;
检测侦听到的数据中是否包含前导包;
若侦听到的数据中包含前导包,则允许传输该数据的终端电脑接入专网。
作为一种实施方式还包括以下步骤:
若侦听到的数据中不包含前导包,则通过准入控制设备发送跳转包至终端设备使终端设备跳转至指定网页下载安装通信模块,使安装所述通信模块的终端设备生成前导包。
作为一种实施方式,所述前导包的字段内容包括数据长度、设备ID、服务器IP、本机IP地址、本机IP掩码和区域编号。
作为一种实施方式,还包括以下步骤:
对用户信息和终端设备的安全情况进行检查,若检查通过,则生成安全信号。
本发明相比于现有技术的有益效果在于:本发明的旁路部署的网络准入控制系统及方法通过旁路部署到核心交换中,监听保护区域的网络数据流,并做连接跟踪,对非法连接进行跳转或阻断;部署时不影响原有用户网络结构,准入过程不会对网络造成任何影响;准入控制设备宕机后,不影响用户正常业务访问。
附图说明
图1为本发明的旁路部署的网络准入控制系统的拓扑结构图;
图2为本发明的旁路部署的网络准入控制系统的结构连接图;
图3为本发明的旁路部署的网络准入控制方法的流程图。
附图标注:1、终端设备;11、检查模块;12、通信模块;13、引导模块;2、交换机;3、准入控制设备;31、校验模块;32、反馈模块;4、应用服务端。
具体实施方式
以下结合附图,对本发明上述的和另外的技术特征和优点进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的部分实施例,而不是全部实施例。
如图1所示,本发明实施例提供一种旁路部署的网络准入控制系统,包括终端设备1、交换机2、准入控制设备3和应用服务端4,其中,若干终端设备1通过交换机2接入应用服务端4,准入控制设备3以旁路部署方式放置于所述交换机2的镜像口上,用以侦听终端设备1上传的数据,图中带有双向箭头的终端设备1为准入控制设备3校验未通过的终端设备1,带有单箭头的终端设备1为准入控制设备3校验通过的终端设备1。
如图2所示,终端设备1中包括通信模块12、检查模块11和引导模块13,准入控制设备3包括校验模块31和反馈模块32,具体工作过程如下所示:检查模块11对用户信息和终端的安全情况进行检查,检查通过后生成安全信号,通信模块12响应安全信号后生成前导包并建立终端设备1和交换机2的会话链路,将包含前导包的数据上传至应用服务端4,准入控制设备3侦听终端设备1上传的数据,校验模块31校验侦听数据中的是否存在前导包,若存在前导包,则允许生成前导包的终端设备1接入专网;若不存在前导包,则通过反馈模块32生成并发送跳转包至未生成前导包的终端设备1,引导模块13接收该跳转包,从而控制终端设备1跳转至指定的网页,下载安装通信模块12,用于使该终端设备1生成前导包,从而使所有终端设备1接入专网。
如图3所示,本发明的旁路部署的网络准入控制方法,包括以下步骤:
S100:在终端电脑与交换机每次建立会话链路时,通过旁路部署的准入控制设备侦听网络中的数据;
S200:检测侦听到的数据中是否包含前导包;
S300:若侦听到的数据中包含前导包,则允许传输该数据的终端电脑接入专网;
S400:若侦听到的数据中不包含前导包,则通过准入控制设备发送跳转包至终端设备使终端设备跳转至指定网页下载安装通信模块,使安装所述通信模块的终端设备生成前导包。
前导包的字段内容包括数据长度、设备ID、服务器IP、本机IP地址、本机IP掩码和区域编号。
作为一种实施方式,还可以在建立会话链路之前包括在以下步骤:对用户信息和终端设备的安全情况进行检查,若检查通过,则生成安全信号。
本发明相比于现有技术的有益效果在于:本发明的旁路部署的网络准入控制系统及方法通过旁路部署到核心交换中,监听保护区域的网络数据流,并做连接跟踪,对非法连接进行跳转或阻断;部署时不影响原有用户网络结构,准入过程不会对网络造成任何影响;准入控制设备宕机后,不影响用户正常业务访问。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种旁路部署的网络准入控制系统,其特征在于,包括终端设备、交换机、准入控制设备,所述终端设备与所述交换机建立会话链路,所述准入控制设备放置于所述交换机的镜像口上,终端设备内设有检查模块和通信模块,所述检查模块用于对用户信息和终端设备的安全情况进行检查生成安全信号,所述通信模块耦接所述检查模块,用于响应所述安全信号生成前导包并建立终端设备和交换机的会话链路,所述准入控制设备内设有校验模块,所述校验模块用于响应所述前导包允许生成前导包的终端设备接入专网。
2.根据权利要求1中所述的旁路部署的网络准入控制系统,其特征在于,所述准入控制设备还包括反馈模块,所述反馈模块耦接所述校验模块,用于响应所述校验模块未响应到前导包的校验结果生成跳转包,并将所述跳转包发送至未生成前导包的终端设备。
3.根据权利要求2中所述的旁路部署的网络准入控制系统,其特征在于,所述终端设备还包括引导模块,所述引导模块响应所述跳转包使终端设备跳转至指定的网页下载安装通信模块。
4.根据权利要求1中所述的旁路部署的网络准入控制系统,其特征在于,还包括应用服务端,用于使校验通过的终端设备接入专网。
5.一种旁路部署的网络准入控制方法,其特征在于,包括以下步骤:
在终端电脑与交换机每次建立会话链路时,通过旁路部署的准入控制设备侦听网络中的数据;
检测侦听到的数据中是否包含前导包;
若侦听到的数据中包含前导包,则允许传输该数据的终端电脑接入专网。
6.根据权利要求5中所述的旁路部署的网络准入控制方法,其特征在于,还包括以下步骤:
若侦听到的数据中不包含前导包,则通过准入控制设备发送跳转包至终端设备使终端设备跳转至指定网页下载安装通信模块,使安装所述通信模块的终端设备生成前导包。
7.根据权利要求5中所述的旁路部署的网络准入控制方法,其特征在于,所述前导包的字段内容包括数据长度、设备ID、服务器IP、本机IP地址、本机IP掩码和区域编号。
8.根据权利要求5中所述的旁路部署的网络准入控制方法,其特征在于,还包括以下步骤:
对用户信息和终端设备的安全情况进行检查,若检查通过,则生成安全信号。
CN201710112692.2A 2017-02-28 2017-02-28 旁路部署的网络准入控制系统及方法 Active CN106686003B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710112692.2A CN106686003B (zh) 2017-02-28 2017-02-28 旁路部署的网络准入控制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710112692.2A CN106686003B (zh) 2017-02-28 2017-02-28 旁路部署的网络准入控制系统及方法

Publications (2)

Publication Number Publication Date
CN106686003A true CN106686003A (zh) 2017-05-17
CN106686003B CN106686003B (zh) 2019-05-24

Family

ID=58861990

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710112692.2A Active CN106686003B (zh) 2017-02-28 2017-02-28 旁路部署的网络准入控制系统及方法

Country Status (1)

Country Link
CN (1) CN106686003B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483461A (zh) * 2017-08-30 2017-12-15 北京奇安信科技有限公司 一种nat环境下的终端准入控制方法及装置
CN111917700A (zh) * 2020-03-24 2020-11-10 北京融汇画方科技有限公司 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题
CN113923045A (zh) * 2021-10-29 2022-01-11 北京天融信网络安全技术有限公司 安全监控式内网准入控制方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1591868A1 (en) * 2004-04-26 2005-11-02 Avaya Technology Corp. Method and apparatus for providing network security based on device security status
CN101908906A (zh) * 2010-08-18 2010-12-08 西安空间无线电技术研究所 一种基于wcdma体制的用户信道星上捕获方法
CN103269343A (zh) * 2013-05-21 2013-08-28 福建畅云安鼎信息科技有限公司 业务数据安全管控平台
CN104158767A (zh) * 2014-09-03 2014-11-19 吕书健 一种网络准入装置及方法
CN105025016A (zh) * 2015-06-30 2015-11-04 公安部第一研究所 一种内网终端准入控制方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1591868A1 (en) * 2004-04-26 2005-11-02 Avaya Technology Corp. Method and apparatus for providing network security based on device security status
CN101908906A (zh) * 2010-08-18 2010-12-08 西安空间无线电技术研究所 一种基于wcdma体制的用户信道星上捕获方法
CN103269343A (zh) * 2013-05-21 2013-08-28 福建畅云安鼎信息科技有限公司 业务数据安全管控平台
CN104158767A (zh) * 2014-09-03 2014-11-19 吕书健 一种网络准入装置及方法
CN105025016A (zh) * 2015-06-30 2015-11-04 公安部第一研究所 一种内网终端准入控制方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483461A (zh) * 2017-08-30 2017-12-15 北京奇安信科技有限公司 一种nat环境下的终端准入控制方法及装置
CN107483461B (zh) * 2017-08-30 2020-06-12 奇安信科技集团股份有限公司 一种nat环境下的终端准入控制方法及装置
CN111917700A (zh) * 2020-03-24 2020-11-10 北京融汇画方科技有限公司 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题
CN113923045A (zh) * 2021-10-29 2022-01-11 北京天融信网络安全技术有限公司 安全监控式内网准入控制方法及系统

Also Published As

Publication number Publication date
CN106686003B (zh) 2019-05-24

Similar Documents

Publication Publication Date Title
CN106533883B (zh) 一种网络专线的建立方法、装置及系统
AU757668B2 (en) Method and system for enforcing a communication security policy
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
CN104243210A (zh) 远程访问路由器管理页面的方法和系统
CN103873449B (zh) 网络接入方法与系统
CN106686003A (zh) 旁路部署的网络准入控制系统及方法
CN1938982A (zh) 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置
CN103166996A (zh) Http连接和https连接自适应方法、装置及系统
CN103442358A (zh) 一种集中认证本地转发的方法及控制装置
CN100486158C (zh) 一种宽带接入网中用户认证的实现方法
CN107040429A (zh) 一种端口转发性能的测试方法及系统
CN104811439A (zh) 一种Portal认证的方法和设备
CN103475660A (zh) 页面推送方法、装置和系统
CN100471167C (zh) 无线接入宽带用户的管理方法及其装置
CN111884863B (zh) 一种用于云计算环境的vpc服务链实现方法及系统
CN109104424A (zh) 一种opc通讯的安全防护方法及装置
CN205510108U (zh) 用于局域网络的网络准入系统
KR101703491B1 (ko) 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템
CN107071900A (zh) 一种用户设备定位方法及装置
CN101170733B (zh) 一种wap业务的鉴权计费控制方法、装置及系统
CN104253755A (zh) 用于网络终端装置间建立连线的方法
CN109474588A (zh) 一种终端认证方法及装置
CN103841050B (zh) 一种核电站模拟机的局域网准入控制方法和系统
CN105407095B (zh) 不同网络间安全通信装置及其通信方法
US20090158386A1 (en) Method and apparatus for checking firewall policy

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 13th Floor, Shanke Intelligent Building, No. 89 Qizhi Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province, 310000

Patentee after: ZHEJIANG YUANWANG INFORMATION Co.,Ltd.

Address before: 15th Floor, Haiyue Building, No. 788 Danfeng Road, Binjiang District, Hangzhou City, Zhejiang Province, 310053

Patentee before: ZHEJIANG YUANWANG INFORMATION Co.,Ltd.