CN107277040A - 一种在内网进行终端接入控制的方法 - Google Patents

一种在内网进行终端接入控制的方法 Download PDF

Info

Publication number
CN107277040A
CN107277040A CN201710595184.4A CN201710595184A CN107277040A CN 107277040 A CN107277040 A CN 107277040A CN 201710595184 A CN201710595184 A CN 201710595184A CN 107277040 A CN107277040 A CN 107277040A
Authority
CN
China
Prior art keywords
terminal
intranet
unauthorized
information storehouse
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710595184.4A
Other languages
English (en)
Inventor
李涛
王兴华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XI'AN SKYLARK SOFTWARE Co Ltd
Original Assignee
XI'AN SKYLARK SOFTWARE Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by XI'AN SKYLARK SOFTWARE Co Ltd filed Critical XI'AN SKYLARK SOFTWARE Co Ltd
Priority to CN201710595184.4A priority Critical patent/CN107277040A/zh
Publication of CN107277040A publication Critical patent/CN107277040A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

所有基于802.1x的网络接入控制类系统都使用隔离Vlan的技术来解决终端无入网权限的问题,可是此类技术存在严重的不足。隔离区用于终端逃生,其隔离区内存在极少数可被访问的系统或由于不符合入网策略被置于隔离区的合法终端,这些终端或应用都可以直接被在隔离区内的非授权终端访问,此点存在极大的安全漏洞,非授权终端有可能会直接利用这些隔离区内极少数的系统或者终端当作跳板攻击内网或窃取授权终端上的资料。为了解决上述存在的问题,我们专门研发了一种在内网进行终端接入控制的方法。设立资产信息库,未存在于资产信息库的设备被定义为非授权设备,当此类设备入网时不是让其进入隔离区,而是直接阻断。当设备存在于资产信息库中,但是并未授权进入网络的,则是根据终端属性进入对应隔离Vlan,符合入网络策略的终端则推送至正常业务Vlan。

Description

一种在内网进行终端接入控制的方法
技术领域
本发明涉及网络安全技术,特别涉及一种内网的入网逻辑控制。使用此控制逻辑后将大大提升内网接入安全。
背景技术
当前被国家安全领域合法定义的网络接入技术为802.1x技术,大部分网络接入控制类系统都使用此技术,在802.1x技术中,有一项技术为Guest Vlan技术,就是当终端初次接入网络时,会被交换机自动置入Guest Vlan。
所有网络接入控制类系统都使用隔离Vlan的技术来解决隔离区的问题,可是此类技术存在严重的不足,非授权终端在隔离区内能够访问极少数的应用系统或访问因为违反接入规则而被置于隔离区的授权终端,此处存在很大的安全风险,当存在恶意攻击者时,电脑接入网络进入隔离区,可利用少数可访问的系统或终端当作跳板来攻击内网或窃取授权终端上的资料。
发明内容
为了解决上述存在的问题,我们专门研发了一种在内网进行终端接入控制的方法。
本发明提供终端资产信息库,需要入网的终端必须录入资产信息库,并标记是否可以使用内网。
本发明提供一种设置,用户可对未在资产信息库的终端定义为非授权终端,并定义非授权终端的处理方式为阻断。
本发明提供一种方法,不在资产信息库的非授权终端入网时,直接阻断而不是使其进入隔离Vlan。在资产信息库中的授权终端入网时,对其入网策略进行审查,符合入网策略进入其正常业务Vlan,不符合入网策略,则根据终端属性推送至其对应的隔离Vlan。
附图说明
图1为现有802.1x处理终端入网逻辑图。
图2为本发明处理终端入网逻辑图。
图3为本发明处理终端流程图。
具体实施方式
为了使本发明的创作特征、技术手段与达成目的易于明白理解,以下结合具体实施例进一步阐述本发明。
实施例
本发明中涉及一项关键技术SNMP协议。此协议为简单网络管理协议,可对交换机进行远程的管理
step1:一台终端开机连接网线进入网络,发送认证消息。S01
step2:判断终端是否存在于资产信息库。S02
step3:不存在于资产信息库,服务器发送阻断指令。S03
step4:关闭此交换机端口,终端被阻断入网。S04
step5:存在于资产信息库,检查入网属性是否合规。S05
step6:若符合入网策略,则推送至正常业务Vlan。S06
step7:若不符合入网策略,则按照终端的属性推送至对应隔离Vlan。S07

Claims (6)

1.一种在内网进行终端接入控制的方法,其特征在于,弥补当前接入控制系统在内网安全性的不足。
2.根据权利要求1所述的方法,其特征在于,提供资产信息库。
3.根据权利要求1-2所述的方法,其特征在于,接入网络的终端不在资产信息库中的,将被直接阻断进入网络,此终端被命名为非授权终端。
4.根据权利要求1-3所述的方法,其特征在于,提供标准的802.1x认证系统,并在此系统上进行扩展。
5.一种在内网进行终端接入控制的方法,包括如下步骤
A.对接入网络的终端进行入网特征检测;
B.对步骤A中的所述终端进行检测,当此终端不存在于资产信息库中时将其直接阻断,当此终端存在于资产信息库时,进行标准的802.1x准入,并检测其入网信息;
C.对步骤B中的所述终端,检测其入网信息,符合入网策略的进入正常业务Vlan,不符合入网策略的根据其终端属性进入对应的隔离Vlan;
D.对步骤B中的所述非授权终端记录非授权终端入网日志;
E.对步骤C中的所述授权终端记录授权终端入网与隔离日志。
6.根据权利要求5所述的方法,所述终端包括计算机、笔记本、网络打印机等所有支持网络接入的终端。
CN201710595184.4A 2017-07-20 2017-07-20 一种在内网进行终端接入控制的方法 Pending CN107277040A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710595184.4A CN107277040A (zh) 2017-07-20 2017-07-20 一种在内网进行终端接入控制的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710595184.4A CN107277040A (zh) 2017-07-20 2017-07-20 一种在内网进行终端接入控制的方法

Publications (1)

Publication Number Publication Date
CN107277040A true CN107277040A (zh) 2017-10-20

Family

ID=60077883

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710595184.4A Pending CN107277040A (zh) 2017-07-20 2017-07-20 一种在内网进行终端接入控制的方法

Country Status (1)

Country Link
CN (1) CN107277040A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110611682A (zh) * 2019-09-27 2019-12-24 深信服科技股份有限公司 一种网络访问系统及网络接入方法和相关设备
CN111147527A (zh) * 2020-03-09 2020-05-12 深信服科技股份有限公司 一种物联网系统及其设备认证方法、装置、设备及介质
CN115086035A (zh) * 2022-06-15 2022-09-20 北京融讯智晖技术有限公司 一种视频云指挥系统用信息识别系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714927A (zh) * 2010-01-15 2010-05-26 福建伊时代信息科技股份有限公司 内网安全综合管理的网络接入控制方法
CN103929376A (zh) * 2014-04-30 2014-07-16 尹志超 一种基于交换机端口管理的终端准入控制方法
CN105610839A (zh) * 2015-12-31 2016-05-25 国网浙江奉化市供电公司 一种终端接入网络的控制方法及装置
CN106411929A (zh) * 2016-11-08 2017-02-15 西安云雀软件有限公司 一种按照终端安全级别,将违规终端置入相应隔离区的方法
CN106937285A (zh) * 2017-02-15 2017-07-07 金钱猫科技股份有限公司 一种终端接入网络的方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714927A (zh) * 2010-01-15 2010-05-26 福建伊时代信息科技股份有限公司 内网安全综合管理的网络接入控制方法
CN103929376A (zh) * 2014-04-30 2014-07-16 尹志超 一种基于交换机端口管理的终端准入控制方法
CN105610839A (zh) * 2015-12-31 2016-05-25 国网浙江奉化市供电公司 一种终端接入网络的控制方法及装置
CN106411929A (zh) * 2016-11-08 2017-02-15 西安云雀软件有限公司 一种按照终端安全级别,将违规终端置入相应隔离区的方法
CN106937285A (zh) * 2017-02-15 2017-07-07 金钱猫科技股份有限公司 一种终端接入网络的方法和系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110611682A (zh) * 2019-09-27 2019-12-24 深信服科技股份有限公司 一种网络访问系统及网络接入方法和相关设备
CN111147527A (zh) * 2020-03-09 2020-05-12 深信服科技股份有限公司 一种物联网系统及其设备认证方法、装置、设备及介质
CN115086035A (zh) * 2022-06-15 2022-09-20 北京融讯智晖技术有限公司 一种视频云指挥系统用信息识别系统

Similar Documents

Publication Publication Date Title
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
CN111917714B (zh) 一种零信任架构系统及其使用方法
CN104796261A (zh) 一种网络终端节点的安全接入管控系统及方法
CN102347957A (zh) 一种云网络准入鉴别系统及准入鉴别技术方法
CN103248472A (zh) 一种处理操作请求的方法、系统以及攻击识别装置
CN104991526A (zh) 工业控制系统安全支撑框架及其数据安全传输和存储方法
EP3490212A1 (en) Actively identifying and neutralizing network hot spots
CN104202338A (zh) 一种适用于企业级移动应用的安全接入方法
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
CN106302550A (zh) 一种用于智能变电站自动化的信息安全方法及系统
US9608973B2 (en) Security management system including multiple relay servers and security management method
CN106899561B (zh) 一种基于acl的tnc权限控制方法和系统
CN107690791A (zh) 用于使电子通信中的认证安全的方法
CN107277040A (zh) 一种在内网进行终端接入控制的方法
CN109995769A (zh) 一种多级异构跨区域的全实时安全管控方法
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
CN112199700B (zh) 一种mes数据系统的安全管理方法及系统
CN204697072U (zh) 一种网络终端节点的安全接入管控系统
CN104601578A (zh) 一种攻击报文识别方法、装置及核心设备
CN104104745A (zh) 一种电网终端安全准入方法
CN105790935A (zh) 基于自主软硬件技术的可信认证服务器
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
CN105391720A (zh) 用户终端登录方法及装置
CN106411929A (zh) 一种按照终端安全级别,将违规终端置入相应隔离区的方法
US20150121504A1 (en) Identification process of application of data storage and identification hardware with ic card

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171020