CN107707571A - 一种管理网络外联的方法和装置 - Google Patents
一种管理网络外联的方法和装置 Download PDFInfo
- Publication number
- CN107707571A CN107707571A CN201711130764.2A CN201711130764A CN107707571A CN 107707571 A CN107707571 A CN 107707571A CN 201711130764 A CN201711130764 A CN 201711130764A CN 107707571 A CN107707571 A CN 107707571A
- Authority
- CN
- China
- Prior art keywords
- access device
- external connection
- network
- equipment
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种管理网络外联的方法和装置,该方法包括:S1:侦测流经网卡的接入网络数据包;S2:当侦测到设备接入时,获取接入设备的标准服务数据和广播数据;S3:根据接入设备的标准服务数据和广播数据,判断该接入设备是否为非法外联设备;S4:当该接入设备为非法外联设备时,将该接入设备隔离出网络。本发明能够及时、准确、有效地判断出非法外联设备,并对非法外联设备进行控制,有效地解决了非法外联设备接入内部网络;方便内部网络的管理,同时能够保证内部数据信息的安全。并且能够准确定位各个终端的网络位置,有效地控制内网终端与外网终端,以及安全终端与非安全终端之间的数据传输,保证内网数据的安全。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种管理网络外联的方法和装置。
背景技术
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。企业或者机构为了保证其内部的信息安全,杜绝内部终端连接外网以及外部终端连接内部网络。
在现有技术中,企业或者机构需要花费一定的资金,购买硬件防火墙之类的产品,将其安装在内部网络与外部网交互的网络接口之间,对内部网络中的终端访问外部网的网站的网页请求在网络接口进行拦截,以进行企业内部封闭网的网络企业内网访问管理。该种方式操作需要在规定位置安装硬件设备,操作过程复杂,需要较高的硬件成本,并且后期维护成本较高。
同时,手机等许多智能设备可以随意接入内部网络,使内部网络设备管理困难,甚至通过内部网络设备构建WiFi网络,不仅再次增加管理难度,而且使内部数据信息处于危险之中。
发明内容
本发明实施例提供了一种管理网络外联的方法和装置,能够准确、实时、有效地判断出非法外联设备,方便内部网络的管理,同时能够保证内部数据信息的安全。
第一方面,本发明实施例提供了一种管理网络外联的方法,该方法包括:
S1:侦测流经网卡的接入网络数据包;
S2:当侦测到设备接入时,获取接入设备的标准服务数据和广播数据;
S3:根据接入设备的标准服务数据和广播数据,判断该接入设备是否为非法外联设备;
S4:当该接入设备为非法外联设备时,将该接入设备隔离出网络。
优选地,步骤S3的具体过程包括:
根据接入设备的标准服务数据和广播数据,获取接入设备的唯一标识信息,判断该接入设备的唯一标识信息是否属于合法的标识信息,若是,确定该接入设备为合法设备,并结束当前流程;否则,确定该接入设备为非法外联设备,并执行步骤S4。
优选地,接入设备的唯一标识信息包括但不限于IP地址或MAC地址。
优选地,步骤S3的具体过程包括:
根据接入设备的标准服务数据和广播数据,获取接入设备的网络通讯数据,判断该接入设备是否存在非法通讯,若是确定该接入设备为非法外联设备,并执行步骤S4;否则,确定该接入设备为合法设备。
优选地,非法通讯包括但不限于连接外部网络。
本发明实施例提供了一种管理网络外联的装置,该装置包括:侦测单元、探测单元、判断单元和处理单元,其中,
侦测单元,用于侦测流经网卡的接入网络数据包;
探测单元,用于当侦测到设备接入时,获取接入设备的标准服务数据和广播数据;
判断单元,用于根据接入设备的标准服务数据和广播数据,判断该接入设备是否为非法外联设备;
处理单元,用于当该接入设备为非法外联设备时,将该接入设备隔离出网络。
优选地,判断单元具体用于根据接入设备的标准服务数据和广播数据,获取接入设备的唯一标识信息,判断该接入设备的唯一标识信息是否属于合法的标识信息,若是,确定该接入设备为合法设备,并结束当前流程;否则,确定该接入设备为非法外联设备,并触发处理单元。
优选地,接入设备的唯一标识信息包括但不限于IP地址或MAC地址。
优选地,判断单元具体用于根据接入设备的标准服务数据和广播数据,获取接入设备的网络通讯数据,判断该接入设备是否存在非法通讯,若是确定该接入设备为非法外联设备,并触发处理单元;否则,确定该接入设备为合法设备。
优选地,非法通讯包括但不限于连接外部网络。
与现有技术相比,本发明至少具有以下有益效果:
1)能够及时、准确、有效地判断出非法外联设备,并对非法外联设备进行控制,有效地解决了非法外联设备接入内部网络;方便内部网络的管理,同时能够保证内部数据信息的安全。
2)能够准确定位各个终端的网络位置,有效地控制内网终端与外网终端,以及安全终端与非安全终端之间的数据传输,保证内网数据的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种管理网络外联的方法流程图;
图2是本发明一个实施例提供的一种管理网络外联的装置结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种管理网络外联的方法,该方法是一个基于网络发现、协议分析、禁止非法设备、禁止非法通讯的整体方案。在实际应用中需要在每一个内部终端上安装Agent插件,通过该插件发现通讯的非法外联设备。该方法可以包括以下步骤:
S1:侦测流经网卡的接入网络数据包。
在该步骤中,该数据包是现有技术标准协议的数据包,具有可靠的准确性。
S2:当侦测到设备接入时,探测该接入设备的标准服务数据和广播数据。
在该步骤中,对侦测到的接入设备,进行标准服务的探测,这些探测是基于操作系统提供的标准服务,比如文件共享服务、打印服务等。
S3:根据接入设备的标准服务数据和广播数据,判断该接入设备是否为非法外联设备。
在该步骤中,可以准确判断出接入设备的位置、IP地址和MAC地址等信息,可判断出非法外联设备。并且通过分析与终端通讯的数据,可以判断出异常上外网、异常连接WiFi服务器等非法外联行为,及非法外联行为对应的非法外联设备。因此,能够判断出内部终端是否通过代理非法上网、内部终端是否通过个人电脑的WiFi服务器非法上网、内部终端是否通过智能手机等设备的WiFi服务器非法上网、判断出是否有外部设备非法接入内部网络,同时还可以发现非安全终端并确定其位置,有效控制安全终端与非安全终端之间进行数据传输。
S4:当该接入设备为非法外联设备时,将该接入设备隔离出网络。
在该步骤中,可以通过网络特殊数据包,把该非法外联设备隔离出内部网络;同时,也可以对非法外联设备进行相关的处理。比如断网、关机等等。
该方法不同于传统的网络扫描,传统的网络扫描即耗时、又会给网络中增加大量的数据流程,并且无法准确、实时地判断出非法外联设备,更无法准确判断网络外联的情况。该方法能够及时、准确、有效地判断出非法外联设备,并对非法外联设备进行控制,有效地解决了非法外联设备接入内部网络,方便内部网络的管理。
如图2所示,本发明实施例提供了一种管理网络外联的装置,该装置包括:侦测单元1、探测单元2、判断单元3和处理单元4,其中,
侦测单元1,用于侦测流经网卡的接入网络数据包;
探测单元2,用于当侦测到设备接入时,获取接入设备的标准服务数据和广播数据;
判断单元3,用于根据接入设备的标准服务数据和广播数据,判断该接入设备是否为非法外联设备;
处理单元4,用于当该接入设备为非法外联设备时,将该接入设备隔离出网络。
在本发明一个实施例中,判断单元3具体用于根据接入设备的标准服务数据和广播数据,获取接入设备的唯一标识信息,判断该接入设备的唯一标识信息是否属于合法的标识信息,若是,确定该接入设备为合法设备,并结束当前流程;否则,确定该接入设备为非法外联设备,并触发处理单元。
在本发明一个实施例中,接入设备的唯一标识信息包括但不限于IP地址或MAC地址。
在本发明一个实施例中,判断单元3具体用于根据接入设备的标准服务数据和广播数据,获取接入设备的网络通讯数据,判断该接入设备是否存在非法通讯,若是确定该接入设备为非法外联设备,并触发处理单元;否则,确定该接入设备为合法设备。
在本发明一个实施例中,非法通讯包括但不限于连接外部网络。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例提供了一种可读介质,该可读介质包括:执行指令,当存储控制器的处理器执行所述执行指令时,存储控制器执行上述实施例中任一所述的管理网络外联的方法。
本发明实施例提供了一种存储控制器,该存储控制器包括:处理器、存储器和总线;处理器和存储器通过总线连接;
当存储控制器运行时,处理器执行存储器存储的执行指令,以使存储控制器执行上述实施例中任一所述的管理网络外联的方法。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种管理网络外联的方法,其特征在于,该方法包括:
S1:侦测流经网卡的接入网络数据包;
S2:当侦测到设备接入时,获取接入设备的标准服务数据和广播数据;
S3:根据接入设备的标准服务数据和广播数据判断该接入设备是否为非法外联设备;
S4:当该接入设备为非法外联设备时,将该接入设备隔离出网络。
2.根据权利要求1所述的管理网络外联的方法,其特征在于,步骤S3的具体过程包括:
根据接入设备的标准服务数据和广播数据,获取接入设备的唯一标识信息,判断该接入设备的唯一标识信息是否属于合法的标识信息,若是,确定该接入设备为合法设备,并结束当前流程;否则,确定该接入设备为非法外联设备,并执行步骤S4。
3.根据权利要求2所述的管理网络外联的方法,其特征在于,接入设备的唯一标识信息包括但不限于IP地址或MAC地址。
4.根据权利要求1所述的管理网络外联的方法,其特征在于,步骤S3的具体过程包括:
根据接入设备的标准服务数据和广播数据,获取接入设备的网络通讯数据,判断该接入设备是否存在非法通讯,若是确定该接入设备为非法外联设备,并执行步骤S4;否则,确定该接入设备为合法设备。
5.根据权利要求4所述的管理网络外联的方法,其特征在于,非法通讯包括但不限于连接外部网络。
6.一种管理网络外联的装置,其特征在于,该装置包括:侦测单元、探测单元、判断单元和处理单元,其中,
侦测单元,用于侦测流经网卡的接入网络数据包;
探测单元,用于当侦测到设备接入时,获取接入设备的标准服务数据和广播数据;
判断单元,用于根据接入设备的标准服务数据和广播数据,判断该接入设备是否为非法外联设备;
处理单元,用于当该接入设备为非法外联设备时,将该接入设备隔离出网络。
7.根据权利要求6所述的管理网络外联的装置,其特征在于,判断单元具体用于根据接入设备的标准服务数据和广播数据,获取接入设备的唯一标识信息,判断该接入设备的唯一标识信息是否属于合法的标识信息,若是,确定该接入设备为合法设备,并结束当前流程;否则,确定该接入设备为非法外联设备,并触发处理单元。
8.根据权利要求7所述的管理网络外联的装置,其特征在于,接入设备的唯一标识信息包括但不限于IP地址或MAC地址。
9.根据权利要求6所述的管理网络外联的装置,其特征在于,判断单元具体用于根据接入设备的标准服务数据和广播数据,获取接入设备的网络通讯数据,判断该接入设备是否存在非法通讯,若是确定该接入设备为非法外联设备,并触发处理单元;否则,确定该接入设备为合法设备。
10.根据权利要求9所述的管理网络外联的装置,其特征在于,非法通讯包括但不限于连接外部网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711130764.2A CN107707571A (zh) | 2017-11-15 | 2017-11-15 | 一种管理网络外联的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711130764.2A CN107707571A (zh) | 2017-11-15 | 2017-11-15 | 一种管理网络外联的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107707571A true CN107707571A (zh) | 2018-02-16 |
Family
ID=61178579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711130764.2A Pending CN107707571A (zh) | 2017-11-15 | 2017-11-15 | 一种管理网络外联的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107707571A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881447A (zh) * | 2018-06-25 | 2018-11-23 | 北京北信源信息安全技术有限公司 | 违规外联数据上报方法和装置 |
CN109067811A (zh) * | 2018-10-22 | 2018-12-21 | 南京科远自动化集团股份有限公司 | 用于物理隔离网闸的内外网处理单元自动识别位置的方法 |
CN109275145A (zh) * | 2018-09-21 | 2019-01-25 | 腾讯科技(深圳)有限公司 | 设备行为检测及阻隔处理方法、介质及电子设备 |
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201509204U (zh) * | 2009-09-07 | 2010-06-16 | 北京鼎普科技股份有限公司 | 计算机非法外联监控装置及其系统 |
CN102316457A (zh) * | 2011-09-21 | 2012-01-11 | 中国联合网络通信集团有限公司 | 非法接入设备的监测方法及装置 |
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
EP2733884A1 (en) * | 2011-07-15 | 2014-05-21 | Sony Corporation | Communication device, communication method, communication system, and computer program |
CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
CN105704780A (zh) * | 2014-11-24 | 2016-06-22 | 中兴通讯股份有限公司 | 一种无线网络接入方法及装置 |
CN106973068A (zh) * | 2017-05-11 | 2017-07-21 | 北京北信源软件股份有限公司 | 非法设备的发现方法和装置 |
-
2017
- 2017-11-15 CN CN201711130764.2A patent/CN107707571A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201509204U (zh) * | 2009-09-07 | 2010-06-16 | 北京鼎普科技股份有限公司 | 计算机非法外联监控装置及其系统 |
EP2733884A1 (en) * | 2011-07-15 | 2014-05-21 | Sony Corporation | Communication device, communication method, communication system, and computer program |
CN102316457A (zh) * | 2011-09-21 | 2012-01-11 | 中国联合网络通信集团有限公司 | 非法接入设备的监测方法及装置 |
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN105704780A (zh) * | 2014-11-24 | 2016-06-22 | 中兴通讯股份有限公司 | 一种无线网络接入方法及装置 |
CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
CN106973068A (zh) * | 2017-05-11 | 2017-07-21 | 北京北信源软件股份有限公司 | 非法设备的发现方法和装置 |
Non-Patent Citations (1)
Title |
---|
吴少华,等: ""基于ARP协议的非法入网检测与阻止技术研究"", 《微计算机信息》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881447A (zh) * | 2018-06-25 | 2018-11-23 | 北京北信源信息安全技术有限公司 | 违规外联数据上报方法和装置 |
CN109275145A (zh) * | 2018-09-21 | 2019-01-25 | 腾讯科技(深圳)有限公司 | 设备行为检测及阻隔处理方法、介质及电子设备 |
WO2020057177A1 (zh) * | 2018-09-21 | 2020-03-26 | 腾讯科技(深圳)有限公司 | 设备行为检测及阻隔处理方法、介质及电子设备 |
CN109067811A (zh) * | 2018-10-22 | 2018-12-21 | 南京科远自动化集团股份有限公司 | 用于物理隔离网闸的内外网处理单元自动识别位置的方法 |
CN109067811B (zh) * | 2018-10-22 | 2021-04-20 | 南京科远智慧科技集团股份有限公司 | 用于物理隔离网闸的内外网处理单元自动识别位置的方法 |
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107707571A (zh) | 一种管理网络外联的方法和装置 | |
CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN110166462B (zh) | 访问控制方法、系统、电子设备及计算机存储介质 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
US20060064598A1 (en) | Illegal access preventing program, apparatus, and method | |
WO2018182126A1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
CN112995166B (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
CN110324416B (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
CN108667828A (zh) | 一种风险控制方法、装置及存储介质 | |
CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
CN112688806A (zh) | 一种网络资产呈现的方法及系统 | |
CN105978844A (zh) | 一种基于路由器的网络访问控制方法、路由器和系统 | |
CN103780450A (zh) | 浏览器访问网址的检测方法和系统 | |
CN105260660A (zh) | 智能终端支付环境的监控方法、装置及系统 | |
CN110943984A (zh) | 一种资产安全保护方法及装置 | |
US11082866B2 (en) | Apparatus and method for diagnosing abnormality of mobile communication network using operational logic modeling and comparative analysis | |
CN112948224B (zh) | 一种数据处理方法、装置、终端及存储介质 | |
CN114238036A (zh) | 一种saas平台异常实时的监控方法及装置 | |
CN107819758A (zh) | 一种网络摄像头漏洞远程检测方法及装置 | |
CN105188059A (zh) | 一种基于Portal服务器异常的认证方法及无线接入点 | |
CN109922083B (zh) | 一种网络协议流量控制系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180216 |