CN110611682A - 一种网络访问系统及网络接入方法和相关设备 - Google Patents

Abstract

本申请公开了一种网络访问系统及其安全网关、网络接入方法和计算机可读存储介质，该方法应用于安全网关，包括：获取首次认证的视频终端的信息；向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性；获取所述管理中心发送的审核结果；将所述审核结果发送至交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，目标VLAN允许视频终端进行网络访问。本申请由管理员对首次认证的视频终端进行合法性审核，仅允许审核通过的目标视频终端接入允许网络访问的目标VLAN中上线使用，可有效禁止恶意终端对管理中心的网络访问以及对其他合法视频终端的攻击，提高网络访问的安全可靠性。

Description

一种网络访问系统及网络接入方法和相关设备

技术领域

本申请涉及网络管理技术领域，特别涉及一种网络访问系统及其安全网关、网络接入方法和计算机可读存储介质。

背景技术

随着物联网等技术的发展与进步，网络安全问题也愈发突出。例如，在视频监控应用领域，视频终端设备(如摄像头)的弱密码以及相关软件的各种漏洞，都给不怀好意的攻击者提供了可乘之机。

为了防止不可信视频终端的非法操作，例如访问核心区域内的管理中心等，现有技术中采用了一些安全防护措施，包括MAC旁路认证和在防火墙处利用访问控制列表(Access Control List，ACL)只放行特定协议的流量。但是，这些方案无法防止恶意终端横向攻击其他合法的可信终端，甚至，恶意终端还可以通过操控被攻击的终端来窃取管理中心的数据。

鉴于此，提供一种解决上述技术问题的方案，已经是本领域技术人员所亟需关注的。

发明内容

本申请的目的在于提供一种网络访问系统及其安全网关、网络接入方法和计算机可读存储介质，以便有效地禁止恶意终端对管理中心的数据访问以及对其他合法视频终端的攻击，提高网络访问的安全可靠性。

为解决上述技术问题，第一方面，本申请公开了一种网络接入方法，应用于安全网关，所述方法包括：

获取首次认证的视频终端的信息；

向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性；

获取所述管理中心发送的审核结果；

将所述审核结果发送至交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，所述目标VLAN允许视频终端进行网络访问。

可选地，所述获取首次认证的视频终端的信息，包括：

识别首次认证的视频终端；

获取所述视频终端的厂家信息、设备型号、设备序列号和MAC地址。

可选地，在所述识别首次认证的视频终端之后，还包括：

向所述交换机发送识别结果，以使所述交换机将所述视频终端接入与所述目标VLAN隔离的安全VLAN；其中，所述安全VLAN禁止视频终端进行网络访问。

可选地，在所述交换机将审核结果为合法的目标视频终端接入目标VLAN之后，还包括：

获取所述目标VLAN中的视频终端的信息；

将所述信息发送至所述管理中心进行复审；

将复审结果发送至所述交换机，以使所述交换机对复审结果为不合法的视频终端进行下线处理。

可选地，在所述交换机将审核结果为合法的目标视频终端接入目标VLAN之后，还包括：

获取所述目标VLAN中传输的数据包；

判断所述数据包所访问的管理中心的IP地址和端口是否分别属于预设IP地址和预设端口；

若否，则丢弃所述数据包。

可选地，在所述判断所述数据包所访问的管理中心的IP地址和端口是否分别属于预设IP地址和预设端口之后，还包括：

若是，则解析获取所述数据包所符合的协议特征；

确定与所述预设IP地址和所述预设端口对应的协议类型；

判断所述协议特征与所述协议类型是否匹配；

若所述协议特征与所述协议类型不匹配，则记录安全事件和/或丢弃所述数据包。

可选地，在所述判断所述协议特征与所述协议类型是否匹配之后，还包括：

若所述协议特征与所述协议类型匹配，则解析识别所述数据包中的特类字符；所述特类字符所表征的通信请求为能耗型通信请求；

判断所述特类字符的当前出现频率是否超过预设阈值；

若所述当前出现频率超过预设阈值，则记录安全事件和/或丢弃所述数据包。

第二方面，本申请还公开了一种安全网关，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如上所述的任一种网络接入方法的步骤。

第三方面，本申请还公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如上所述的任一种网络接入方法的步骤。

第四方面，本申请还公开了一种网络访问系统，包括依次连接的管理中心、安全网关和交换机；

所述安全网关用于获取首次认证的视频终端的信息并发送至所述管理中心，以使管理员根据所述信息审核所述视频终端的合法性；获取所述管理中心发送的审核结果并发送至所述交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，所述目标VLAN允许视频终端进行网络访问。

本申请所提供的网络接入方法应用于安全网关，包括：获取首次认证的视频终端的信息；向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性；获取所述管理中心发送的审核结果；将所述审核结果发送至交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，所述目标VLAN允许视频终端进行网络访问。

可见，本申请由管理员对首次认证的视频终端进行合法性审核，仅允许审核通过的目标视频终端接入允许网络访问的目标VLAN中上线使用，而未通过合法性审核的视频终端则无法上线访问网络，从而可有效禁止恶意终端对管理中心的网络访问以及对其他合法视频终端的攻击，提高网络访问的安全可靠性。本申请所提供的网络访问系统、安全网关及计算机可读存储介质同样具有上述有益效果。

附图说明

为了更清楚地说明现有技术和本申请实施例中的技术方案，下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然，下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图，所获得的其他附图也属于本申请的保护范围。

图1为本申请实施例公开的一种网络接入方法的应用场景图；

图2为本申请实施例公开的一种网络接入方法的流程图；

图3为本申请实施例公开的一种网络接入方法的设备配置示意图；

图4为本申请实施例公开的一种网络接入方法的原理示意图；

图5为本申请实施例公开的一种流量管控方法的流程图；

图6为本申请实施例公开的一种网络访问系统的结构框图。

具体实施方式

本申请的核心在于提供一种网络访问系统及其安全网关、网络接入方法和计算机可读存储介质，以便有效地禁止恶意终端对管理中心的数据访问以及对其他合法终端的攻击，提高网络访问的安全可靠性。

为了对本申请实施例中的技术方案进行更加清楚、完整地描述，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行介绍。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

当前，为了防止不可信终端的非法操作，例如访问核心区域内的管理中心等，现有技术中采用了一些安全防护措施，包括MAC旁路认证和在防火墙处利用访问控制列表(Access Control List，ACL)只放行特定协议的流量。但是，这些方案无法防止恶意终端横向攻击其他合法的可信终端，甚至，恶意终端还可以通过操控被攻击的终端来窃取管理中心的数据。鉴于此，本申请提供了一种网络接入方法，可有效解决上述问题。

参见图1所示，图1为本申请实施例所公开的网络接入方法的应用场景图。

各种视频终端通过与交换机连接而接入网络系统，交换机与管理中心的安全网关如防火墙连接，在防火墙的管控下与管理中心进行数据通信。其中，以视频监控应用为例，视频终端可具体为网络摄像头(IP Camera，IPC)、网络硬盘录像机(Network VideoRecorder，NVR)等。

参见图2所示，本申请实施例公开了一种网络接入方法，应用于安全网关，主要包括：

S11：获取首次认证的视频终端的信息。

S12：向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性。

需要指出的是，为了防止恶意终端的上线访问，本申请实施例所提供的网络接入方法采取了对首次认证的视频终端进行审核的策略，从而只允许通过审核的合法终端上线，保障网络访问的安全性和可靠性。

其中，首次认证指的是针对视频终端的radius认证。一般地，交换机会定期针对交换机上所接入的视频终端向配置在安全网关中的radius服务器发送radius认证请求；同时，交换机在检测到某个端口上接入了新的视频终端后，也会针对该新接入的视频终端进行radius认证。安全网关包括但不限于防火墙。

radius是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。radius服务器负责接收用户的连接请求、认证用户，然后返回客户机所有必要的配置信息以将服务发送到用户。radius服务器可配置在安全网关中。具体可参照图3，图3为本申请实施例公开的一种网络接入方法的设备配置示意图。

交换机可启用802.1x MAC旁路认证(MAC Authentication Bypass，MAB)，将AAA(认证Authentication、授权Authorization、计费Accounting)配置为radius方式。其中，AAA是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/终端通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/终端进行认证。在认证通过以后，正常的数据可以顺利地通过以太网端口。

在某些情况下，出于网络管理的安全考虑，即便无802.1X认证客户端，网络管理员仍然需要控制这些接入设备的合法性。MAC旁路认证功能为该种情况提供了一种解决方案，它以MAC地址为用户名和密码向认证服务器发起认证，通过服务器返回的认证结果判断该MAC地址是否允许访问网络。

一般地，交换机发送至安全网关的radius认证请求中携带了对应视频终端的MAC地址。而安全网关则可以利用MAC地址识别首次认证的视频终端。具体地，安全网关可提取radius认证请求中的MAC地址；在本地认证信息库中查找是否存在与MAC地址对应的认证信息；若查找失败，则判定对应的视频终端为首次认证的视频终端；若查找成功，则判定对应的视频终端不是首次认证的视频终端。其中，本地认证信息库中存储有各个视频终端的相关认证记录和信息。

还需说明的是，与radius认证请求中的信息不同，用于供管理员进行审核的信息，不仅可包括该视频终端的网络信息如MAC地址，还可以包括能更多地反映该视频终端设备属性的设备信息，如设备型号、序列号等。因此，作为一种具体实施例，步骤S11可具体包括：识别首次认证的视频终端；获取视频终端的厂家信息、设备型号、设备序列号和MAC地址。以此可有效识别伪造合法MAC地址的情况，进而有效提高审核结果的准确性。

S13：获取管理中心发送的审核结果。

管理中心提供了供管理员对视频终端的合法性进行审核交互的网络用户界面(Website User Interface，Web UI)。当审核员审核完毕后，管理中心可将相关审核结果下发至安全网关，安全网关可将审核结果也更新存储在本地认证信息库中。

S14：将审核结果发送至交换机，以使交换机将审核结果为合法的目标视频终端接入目标VLAN。其中，目标VLAN允许视频终端进行网络访问。

若视频终端通过了管理员的合法性审核，则交换机可将对应的视频终端接入目标VLAN中，目标VLAN中的视频终端可正常地进行网络访问，以便该视频终端的上线使用。

本申请实施例提供的网络接入方法应用于安全网关，包括获取首次认证的视频终端的信息；向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性；获取所述管理中心发送的审核结果；将所述审核结果发送至交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN。

可见，本申请由管理员对首次认证的视频终端进行合法性审核，仅允许审核通过的目标视频终端接入允许网络访问的目标VLAN中上线使用，而未通过合法性审核的视频终端则无法上线访问网络，从而可有效禁止恶意终端对管理中心的网络访问以及对其他合法视频终端的攻击，提高网络访问的安全可靠性。

在上述内容的基础上，作为一种具体实施例，本申请实施例所提供的网络接入方法中，在识别首次认证的视频终端之后，还包括：向交换机发送识别结果，以使交换机将所述视频终端接入与目标VLAN隔离的安全VLAN。其中，安全VLAN禁止视频终端进行网络访问。

具体地，由于审核员的审核过程需要一定的时间，因此，本实施例中交换机可启用Guest vlan功能，对于首次认证的视频终端，可直接在审核之前先接入安全VLAN。待审核结束后，通过了的视频终端可被接入目标VLAN中，而未通过的视频终端则可删除或者继续留在安全VLAN中。

具体可参照图4，图4为本申请实施例所提供的一种网络接入方法的原理示意图。其中，安全网关具体为防火墙，vlan A表示目标VLAN的连接端口，而vlan B表示安全VLAN的连接端口。其中，目标VLAN中的视频终端可正常地进行网络访问，而安全VLAN中的视频终端则不被允许进行网络访问。

容易理解的是，目标VLAN中的视频终端均是通过了审核、可以信任的合法视频终端，安全VLAN中的视频终端是未经过审核或者审核失败的视频终端。而且目标VLAN和安全VLAN相互隔离，因此，即使安全VLAN中存在有恶意视频终端，其也无法渗透和攻击目标VLAN中的视频终端。

由此，本实施例利用交换机的Guest vlan功能，为首次认证的视频终端设置了专用于合法性审核的安全网络区域，从而将其与目标VLAN中审核通过的目标视频终端进行了有效隔离，有效提高了网络系统的安全可靠性。

需要补充的是，在步骤S11中，安全网关具体可定期扫描安全VLAN中的各个视频终端以便获取信息等待审核。当然，当安全VLAN中新添加了某个视频终端后也可立刻针对该新接入的视频终端进行信息的获取。

具体地，安全网关可在定时扫描触发时，通过遍历安全VLAN的IP地址范围内的各个IP地址，分别扫描位于各个IP地址处的视频终端的相应端口以获取该视频终端的信息，并且具体可以以上报队列的形式进行信息发送。容易理解的是，不同厂家生产的不同类型的视频终端，用于进行设备发现和设备信息读取的端口号不同，设备发现所采用的协议也不同，本领域技术人员可根据实际应用而自行选择并设置实现，本申请对此并不做进一步限定。

在上述内容的基础上，作为一种具体实施例，本申请实施例所提供的网络接入方法中，在所述交换机将审核结果为合法的目标视频终端接入目标VLAN之后，还包括：获取所述目标VLAN中的视频终端的信息；将所述信息发送至所述管理中心进行复审；将复审结果发送至所述交换机，以使所述交换机对复审结果为不合法的视频终端进行下线处理。

一般地，对于已经上线的视频终端，交换机也会定时进行radius认证的刷新；并且，鉴于实际应用中视频终端多应用在公众场所，存在被恶意替换的风险，因此，本实施例针对目标VLAN中的目标视频终端还会进行合法性的复审，以便确保对视频终端审核结果的实时有效性。

当复审结果从管理中心返回至安全网关之后，安全网关可对本地认证信息库进行更新，以便对交换机定时发来的radius认证的刷新请求做出响应。若复审通过，则交换机无需做任何调整；若复审未通过，则交换机可将复审未通过的视频终端从目标VLAN中移除下线。

类似地，对于安全VLAN中上一次审核失败的视频终端，安全网关也可定期重新获取视频终端的信息并发送至管理中心请求进行复审，以便交换机将复审通过的视频终端接入目标VLAN。

视频终端本申请实施例所提供的网络接入方法，作为一种具体实施例，在上述内容的基础上，还可以进一步基于相关协议对认证成功的终端进行流量管控。

参见图5所示，图5为本申请实施例所提供的一种流量管控方法的流程图，应用于安全网关，主要包括：

S21：获取目标VLAN中传输的数据包。

S22：判断数据包所访问的管理中心的IP地址和端口是否分别属于预设IP地址和预设端口；若否，则进入S23；若是，则进入S24。

具体地，本实施例对目标视频终端所传输的流量数据进行了数据包层面的分析：基于访问控制列表，对接入目标VLAN的目标视频终端的访问权限进行管控，即，仅允许访问管理中心的预设IP地址和预设端口。

S23：丢弃数据包。

一般地，出于安全管控目的，安全网关可只允许管理中心的预设IP地址和预设端口被视频终端访问。由此，当发现数据包试图访问管理中心的其他IP地址或者其他端口时，可进行丢包处理。当然，还可以进一步进行上报处理。

S24：解析获取数据包所符合的协议特征。

S25：确定与预设IP地址和预设端口对应的协议类型。

S26：判断协议特征与协议类型是否匹配；若是，则进入S27；若否，则进入S29。

进一步地，本实施例在上述内容的基础上，还可以对流量数据进行数据包层面的解析，以判断数据包的协议特征是否与对应协议类型匹配。对于不匹配的情况，可记录下安全事件和/或通过丢弃数据包进行阻断。

S27：解析识别数据包中的特类字符；特类字符所表征的通信请求为能耗型通信请求。

S28：判断特类字符的当前出现频率是否超过预设阈值；若是，则进入S29。

S29：记录安全事件和/或丢弃数据包。

进一步地，本实施例在上述内容的基础上，还可以对数据包所表征的通信请求进行监测。容易理解的是，当某些通信请求如呼叫请求等的出现频率较高时，会造成管理中心资源消耗过多，影响管理中心的业务性能。该类通信请求可具体称为能耗型通信请求。

由此，为了进一步降低对管理中心的资源消耗，本实施例中通过解析数据包来识别能耗型通信请求，并计算能耗型通信请求的当前出现频率，若当前出现频率超过预设阈值，则可同样记录下安全事件，和/或通过丢弃数据包来对该能耗型通信请求进行阻断。

进一步地，本申请还公开了一种安全网关，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如上所述的任一种网络接入方法的步骤。

进一步地，本申请还公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如上所述的任一种网络接入方法的步骤。

进一步地，本申请还公开了一种网络访问系统，主要包括依次连接的管理中心、安全网关和交换机；

安全网关用于获取首次认证的视频终端的信息并发送至管理中心，以使管理员根据所述信息审核所述视频终端的合法性；获取管理中心发送的审核结果并发送至交换机，以使交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，目标VLAN允许视频终端进行网络访问。

关于上述具体内容，可参考前述网络接入方法的详细介绍，这里就不再赘述。

可见，本申请所公开的网络访问系统，由管理员对首次认证的视频终端进行合法性审核，仅允许审核通过的目标视频终端接入允许网络访问的目标VLAN中上线使用，而未通过合法性审核的视频终端则无法上线访问网络，从而可有效禁止恶意终端对管理中心的网络访问以及对其他合法视频终端的攻击，提高网络访问的安全可靠性。

参见图6所示，图6为本申请实施例公开的一种网络访问系统的结构框图。其中，交换机具体可以包括：

MAC旁路认证模块，用于向安全网关发送针对于视频终端的radius认证请求；

Guest vlan模块，用于根据安全网关发送的识别结果，将首次认证的视频终端接入与目标VLAN隔离的安全VLAN。

安全网关具体可以包括：

radius服务模块，用于接收交换机发送的针对于视频终端的radius认证请求；通过查询本地认证信息库识别首次认证的视频终端；并对所述交换机定时发送的radius认证请求进行响应；

设备识别模块，用于获取首次认证的视频终端的信息，并向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性；

策略模块，用于存储本地认证信息库，并根据所述管理中心返回的审核结果更新所述本地认证信息库。

管理中心具体可以包括：

信息收集模块，用于接收安全网关发送的信息并进行显示；

配置管理模块，用于接收管理员输入的审核结果信息并下发至安全网关。

其中，进一步地，安全网关还可以包括：

流量管控模块，用于获取目标VLAN中传输的数据包；判断所述数据包所访问的管理中心的IP地址和端口是否分别属于预设IP地址和预设端口；若否，则丢弃所述数据包。

进一步地，流量管控模块还用于：若所述数据包所访问的管理中心的IP地址和端口并不分别为预设IP地址和预设端口，则解析获取所述数据包所符合的协议特征；确定与所述预设IP地址和所述预设端口对应的协议类型；判断所述协议特征与所述协议类型是否匹配；若否，则记录安全事件和/或丢弃所述数据包。

进一步地，流量管控模块还用于：若所述协议特征与所述协议类型匹配，则解析识别所述数据包中的特类字符；所述特类字符所表征的通信请求为能耗型通信请求；判断所述特类字符的当前出现频率是否超过预设阈值；若所述当前出现频率超过预设阈值，则记录安全事件和/或丢弃所述数据包。

进一步地，设备识别模块还用于扫描获取目标VLAN中的视频终端的信息，并发送至所述管理中心请求进行复审；策略模块还用于根据所述管理中心返回的复审结果更新所述本地认证信息库；radius服务模块还用于根据更新后的所述本地认证信息库，对所述交换机定时发送的radius认证的刷新请求进行响应，以便所述交换机对复审未通过的视频终端进行下线处理。

进一步地，在上述内容的基础上，radius服务模块具体用于：提取所述radius认证请求中的MAC地址；在所述本地认证信息库中查找是否存在与所述MAC地址对应的认证信息；若查找失败，则判定所述视频终端是首次认证；若查找成功，则判定所述视频终端不是首次认证。

进一步地，在上述内容的基础上，所述设备信息具体可以包括终端的厂家信息、设备型号、设备序列号和MAC地址。

本申请中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的设备而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需说明的是，在本申请文件中，诸如“第一”和“第二”之类的关系术语，仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。此外，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请的保护范围内。

Claims (10)

1.一种网络接入方法，其特征在于，应用于安全网关，所述方法包括：

获取首次认证的视频终端的信息；

向管理中心发送所述信息，以使管理员根据所述信息审核所述视频终端的合法性；

获取所述管理中心发送的审核结果；

将所述审核结果发送至交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，所述目标VLAN允许视频终端进行网络访问。

2.根据权利要求1所述的方法，其特征在于，所述获取首次认证的视频终端的信息，包括：

识别首次认证的视频终端；

获取所述视频终端的厂家信息、设备型号、设备序列号和MAC地址。

3.根据权利要求1所述的方法，其特征在于，在所述识别首次认证的视频终端之后，还包括：

向所述交换机发送识别结果，以使所述交换机将所述视频终端接入与所述目标VLAN隔离的安全VLAN；其中，所述安全VLAN禁止视频终端进行网络访问。

4.根据权利要求1所述的方法，其特征在于，在所述交换机将审核结果为合法的目标视频终端接入目标VLAN之后，还包括：

获取所述目标VLAN中的视频终端的信息；

将所述信息发送至所述管理中心进行复审；

将复审结果发送至所述交换机，以使所述交换机对复审结果为不合法的视频终端进行下线处理。

5.根据权利要求1至4任一项所述的方法，其特征在于，在所述交换机将审核结果为合法的目标视频终端接入目标VLAN之后，还包括：

获取所述目标VLAN中传输的数据包；

判断所述数据包所访问的管理中心的IP地址和端口是否分别属于预设IP地址和预设端口；

若否，则丢弃所述数据包。

6.根据权利要求5所述的方法，其特征在于，在所述判断所述数据包所访问的管理中心的IP地址和端口是否分别属于预设IP地址和预设端口之后，还包括：

若是，则解析获取所述数据包所符合的协议特征；

确定与所述预设IP地址和所述预设端口对应的协议类型；

判断所述协议特征与所述协议类型是否匹配；

若所述协议特征与所述协议类型不匹配，则记录安全事件和/或丢弃所述数据包。

7.根据权利要求6所述的方法，其特征在于，在所述判断所述协议特征与所述协议类型是否匹配之后，还包括：

若所述协议特征与所述协议类型匹配，则解析识别所述数据包中的特类字符；所述特类字符所表征的通信请求为能耗型通信请求；

判断所述特类字符的当前出现频率是否超过预设阈值；

若所述当前出现频率超过预设阈值，则记录安全事件和/或丢弃所述数据包。

8.一种安全网关，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如权利要求1至7任一项所述网络接入方法的步骤。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如权利要求1至7任一项所述网络接入方法的步骤。

10.一种网络访问系统，其特征在于，包括依次连接的管理中心、安全网关和交换机；

所述安全网关用于获取首次认证的视频终端的信息并发送至所述管理中心，以使管理员根据所述信息审核所述视频终端的合法性；获取所述管理中心发送的审核结果并发送至所述交换机，以使所述交换机将审核结果为合法的目标视频终端接入目标VLAN；其中，所述目标VLAN允许视频终端进行网络访问。