CN1389816A - 基于上下线机制的控制互联网访问的网桥系统 - Google Patents
基于上下线机制的控制互联网访问的网桥系统 Download PDFInfo
- Publication number
- CN1389816A CN1389816A CN 02125616 CN02125616A CN1389816A CN 1389816 A CN1389816 A CN 1389816A CN 02125616 CN02125616 CN 02125616 CN 02125616 A CN02125616 A CN 02125616A CN 1389816 A CN1389816 A CN 1389816A
- Authority
- CN
- China
- Prior art keywords
- module
- layer
- production line
- bridge
- rolling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种基于上下线机制的控制互联网访问的网桥系统。它包括IP层控制模块、中间通讯模块、数据库系统和Web服务器。IP层控制模块负责处理网桥上传的数据,控制网络的开启与关闭;中间通讯模块负责协调IP层控制模块和数据库系统之间的同步操作;数据库系统负责管理并保存整个系统的数据;WEB服务器负责和客户进行交互,即与浏览器进行通讯。本发明以网桥形式存在,以透明接入的方式连接在企业内部网络和Internet之间。本发明在传统的网桥结构上进行了改进,即在网桥的链路层的上一层即IP层进行了调控。当以太数据包到达链路层后,使之被传送到上层IP层,经过分析控制后,重新返回到数据链路层做数据帧分发工作。
Description
技术领域
本发明涉及一种控制互联网访问的控制系统,更具体地说,涉及一种基于上下线机制的控制互联网访问的网桥系统。更进一步地说,本发明涉及一种应用于企业内部网络的控制互联网的网桥系统,这个网桥系统实现了用户的互联网访问权限的打开和关闭,并且记录了用户访问时间和访问次数,从而为企业管理互联网使用提供量化的数据。
背景技术
随着网络技术的飞速发展,互联网越来越成为信息交流、电子商务等工作最便捷的一种工具。许多企业都在充分利用互联网的优势广泛地进行着交流,信息发布和电子商务等活动。由于互联网是一个信息集散地,员工上网进行工作的同时,不可避免会流连于“聊天”、“网络游戏”等与工作无关的网络访问,使公司的网络资源遭到内部人员的滥用,大大的影响了工作效率,给公司造成了严重的生产力损失。
企业在面临这个问题的时候,或者是放任自流不作控制,或者是使用传统的网络管理工具,如防火墙、代理服务器和日志统计,通过传统的管理模式限制员工与工作无关的上网。这些传统管理模式主要是通过限制访问或者减少访问来进行管理,例如:
端口控制:一些防火墙和代理服务器会关闭内部访问互联网的特殊端口,例如关闭OICQ(8000)。
时间段控制:网络资源根据企业工作时间安排开启或关闭某些网站。
监视:监视员工网络访问行为,并予以控制。
这些传统的网络控制方式,虽然提供了网络资源的管理方式,但是同时也带来了以下弊端:1、过多的限制对正常工作造成影响。员工往往无法掌握正常上网和违规上网之间的界限,譬如,为了不至于违规,不访问各种技术论坛,或者不用各种聊天工具和网上的技术高手进行技术交流。2、过多的限制和监视对系统管理技术水平提出了很高的要求,目前大多数中小企业没有能力达到这样的要求。3、公司缺乏对员工的信任,造成了公司和员工间的对立,不能充分调动员工自身的积极性。4、监视员工的上网记录更是侵犯了员工的隐私,而且谁有权利监视网络使用日志,以及员工在何种状况下应受到惩处都很难明确定义。
发明内容
为了更好的解决上述问题,本发明的目的是提供一种基于上下线机制的控制互联网防问的网桥系统。
为实现上述目的,本发明采用以下技术方案:一种基于上下线机制的控制互联网访问的网桥系统,它包括IP层控制模块、中间通讯模块、数据库应用模块和Web服务器;
所述IP层控制模块负责处理网桥上传的数据,控制网络访问权限的开启与关闭;所述中间通讯模块层负责协调IP层控制模块和数据库应用模块之间的同步操作;所述数据库应用模块负责保存整个系统的数据,并在用户上线时通过中间通讯模块通知IP层控制模块;所述的Web服务器负责系统和客户进行交互,即与浏览器进行通讯根据用户请求修改数据库记录。
本发明基于透明网桥结构,对经过网桥的IP包进行过滤操作。
所述的WEB服务器为用户提供通过WEB和系统交互的方式,用户通过浏览器进行上下线操作打开或者关闭互联网访问权限。
所述IP层控制模块为核心层模块,它是在系统核心注册了一个IP数据过滤模块。
所述的IP数据过滤模块由员工节点信息表、IP过滤模块、定时器和通讯模块组成。
所述的中间通讯模块是核心IP层控制模块和数据库应用模块的通讯通道。
所述的数据库应用层包括数据库存储系统和上下线触发器,数据库存储系统记录了所有员工的上下线状态和时间统计数据,上下线触发器利用了数据库的触发器机制来实现,用于监控数据库的记录。
附图说明
图1(A)、图1(B)为本发明的网络应用结构图
图2为本发明的网络数据流向图
图3为本发明的系统结构图
图4为本发明的员工节点信息表
图5为本发明的上线操作流程图
图6为本发明的定时器工作流程图
图7为本发明的数据处理流程图
具体实施方式
用户的网络访问状态分为三种:自由状态、下线状态和上线状态。自由状态可以作为非工作时间(例如休息日,下班时间)看待,用户在这种状态下,可以任意访问Internet而不受限制,并且所作的行为不被记录和统计。下线状态是用户在工作时间内的默认状态,用户在这种状态下没有网络访问的行为。所以,本发明所要监控的对象是:用户从下线状态转变成上线状态、从上线状态转变成下线状态、上线时间和上线次数。为了实现对上述监控对象的监控,本发明提出了一种基于上下线机制的控制网络访问的网桥系统。
网桥(bridge)是现有的数据通讯设备,主要用于OSI参考模型第二层,因此,又被称为数据链路层设备。桥接技术可以控制数据流量、处理传输错误、提供物理(相对逻辑而言)编址以及管理物理介质的防问。网桥首先分析所接收到的数据帧,并根据数据帧中包含的信息作出转发决定,然后将数据帧转发到目的节点。网桥的主要优点是上层协议透明。
如图1(A)、图1(B)所示,本发明的实施以网桥形式存在,以透明接入的方式连接在企业内部网络和Internet之间。在传统的企业网络结构中,还通常在企业内部网络和Internet之间增设防火墙,或者在Internet和防火墙之间再设一个路由器。本发明采用网桥的方式工作具有以下好处:透明接入,无需更改企业现有网络结构和应用方法,从物理上完全获得企业网络的控制权限。但是,本发明在传统的网桥结构上进行了改进。
如图2所示,本发明在网桥的链路层的上一层即IP层进行了调控。当以太数据包到达链路层后,本发明又使之传送到上层IP层,这样就可以在上层IP层上控制网络数据,也就是在数据链路层上数据帧被传送给上层IP层,经过分析控制后,重新返回到数据链路层做数据帧分发工作。数据传输的方向如图2中的箭头方向。
如图3所示,本发明一基于上下线机制的控制互联网访问的网桥系统主要包括Web服务器、数据库应用模块、中间通讯模块和IP层控制模块。Web服务器主要负责系统和客户进行交互,即与浏览器进行通讯,根据用户请求修改数据库记录。数据库应用模块包括数据库存储系统和上下线触发器,负责保存整个系统的数据并在用户上线时通过中间通讯层通知核心的IP层控制模块。中间通讯模块负责协调IP层控制模块和数据库之间的同步操作。IP层控制模块处理网桥上传的数据,控制网络访问权限的开启与关闭。
IP层控制模块是系统核心层模块,它是在系统核心注册了一个IP数据过滤模块,它由四部分组成:员工节点信息表、IP过滤模块、定时器和通讯模块。它负责控制网络数据通讯(通过或者禁止),更新员工节点信息表中上下线状态,更新节点信息表中的“最后网络访问时间”,控制员工下线。如图4所示,员工节点信息表记录了员工的相关信息,如:员工数据库中的唯一ID;访问网络时其客户机IP地址;当前的网络访问状态(上线,离线);强制离线时间(如果员工选择自己的离线方式为强制离线);自动离线时间(如果员工选择自己的离线方式为自动离线);最后网络访问时间(和自动离线配合)。IP过滤模块:过滤所有经过网桥的IP数据,根据员工信息表中的上下线状态给予相应操作——允许通过或者丢弃。定时器是一个系统计时器,每隔一段时间会进行一定的操作,它根据员工节点信息计算员工是否应该下线,如果员工到了下线时间,则更改节点信息表中员工的上下线状态为下线,并由通讯模块通过中间通讯模块,通知数据库应用层做相应处理。
中间通讯模块是IP层控制模块和数据库应用层的中间通讯通道,由于在系统核心不能直接和应用程序通讯,因此需要一个中间通讯层负责两者通讯,它是用户状态发生变化时,核心IP控制模块和数据库数据同步所需的通讯通道。
数据库应用模块包括数据库存储系统和上下线触发器,数据库存储系统记录所有员工的上下线状态、时间统计信息等数据,上下线触发器负责数据库系统数据与核心工P控制模块数据的同步以及在数据库中记录网络访问时间和访问次数,上下线触发器通过数据库提供的触发器机制来实现。
员工的上下线操作一般使用通用的浏览器来进行,例如IE,Netscape,Mozilla等。使用浏览器的好处是操作简便,减少使用难度,并且降低了企业的维护成本。员工的上线状态只能通过手动的方式获得。从上线状态切换至下线状态,员工可以在上线操作时选择自己的下线方式:手动方式下线、强制离线方式或者自动离线方式,并设定强制离线时间和自动离线时间。
本发明是一种基于上下线机制的控制系统,系统提供了基于用户的网络权限使用控制,为每个用户提供专用帐号,并统计每一用户的访问次数和访问时间。
如图5所示,员工通过浏览器访问Web服务器进行上线操作时,Web服务器接收请求后,修改数据库中关于此员工的数据,将IP地址设置成当前访问Internet的客户机IP地址,将网络状态更改为上线;数据库的上下线触发器观察到员工信息的改变,通知IP层控制模块;IP层控制模块发现这是一个上线操作,首先调出此员工的节点信息,更改其网络状态为上线,更改其上线时间为当前时间,如果员工设定了自动离线时间则设定节点信息中的自动离线时间,如果员工设定了强制离线时间则设定节点信息中的强制离线时间。
如图6所示,IP层控制模块的定时器每隔一段时间(几秒)遍历IP层控制模块中的节点信息表,首先检查此节点是否设置了“强制离线时间”——即此用户的网络访问时间长度,如果有此设定,那么就是计算当前用户已经在线的时间,计算方式为当前时间减去此节点的上线时间,如果在线时间大于强制离线时间,则此用户状态设置成下线,并通知中间通讯层,中间通讯层通知数据库系统更改数据库中的用户状态——设为下线;如果用户没有设定强制离线时间,或者还没有超过在线时间段,那么判断此节点是否设定了自动离线时间,如果设定了自动离线时间,那么计算当前用户的空闲时间,计算方式为当前时间减去节点信息中的最后活动时间,如果空闲时间大于自动离线时间,则做与强制离线相同的强制离线操作,如果此节点没有设定自动离线时间,则关于此节点的定时器操作结束。
从网桥的结构来说,所有的内部网络访问Internet的数据包,以及Internet上传送给内部网络的数据包,都需要通过本发明网桥系统。其数据传输过程如图7所示,以太网络数据被透明网桥接收到后,经由物理层、链路层,传送到IP层,IP层会调用IP层控制模块的IP过滤模块进行处理工作,工P层过滤模块也会遍历IP层控制模块维护的节点信息表,查询其中与此数据报IP相同的节点,如果没有此节点,那么对于此数据包的操作是丢弃,相对于此员工的行为就是禁止网络访问,如果发现此IP的节点,检查其网络当前状态,如果状态为“下线”,则同样丢弃此数据报,如果状态为“上线”,那么重新将数据返回链路层、物理层,选路通过,相对与此员工的行为为允许网络访问。
本发明的优点包括:1、用户可以自己通过上线和下线操作控制互联网防问权限的开启和关闭。2、网桥结构可以让新的系统可以透明存在与原有系统中,不影响原有的网络结构。3、IP控制模块注册在系统内核运行,可以保证系统的高效性。4、中间通讯层和数据库触发器一起保证内核的IP控制模块与外部应用的实时同步。5、通过Web访问控制用户上下线的方式使用方便,易于被用户所接受。6、强制离线和自动离线的机制可以帮助用户更好的自我控制互联网的使用。7、访问统计信息的记录可以成为企业控制互联网访问的重要依据。
公司可以定期以用户帐号为单位,通过查询和邮件订阅的方式将每一帐号的上网次数、时间、访问网站的名称等一一打印出来。
Claims (7)
1、一种基于上下线机制的控制互联网访问的网桥系统,其特征在于:它包括IP层控制模块、中间通讯模块、数据库应用模块和Web服务器;
所述IP层控制模块负责处理网桥上传的数据,控制网络访问权限的开启与关闭;所述中间通讯模块层负责协调IP层控制模块和数据库应用模块之间的同步操作;所述数据库应用模块负责保存整个系统的数据,并在用户上线时通过中间通讯模块通知IP层控制模块;所述的Web服务器负责系统和客户进行交互,即与浏览器进行通讯根据用户请求修改数据库记录。
2、根据权利要求1所述的基于上下线机制的控制互联网访问的网桥系统,其特征在于:本发明基于透明网桥结构,对经过网桥的IP包进行过滤操作。
3、根据权利要求2所述的基于上下线机制的控制互联网访问的网桥系统,其特征在于:所述的WEB服务器为用户提供通过WEB和系统交互的方式,用户通过浏览器进行上下线操作打开或者关闭互联网访问权限。
4、根据权利要求3所述的基于上下线机制的控制互联网访问的网桥系统,其特征在于:所述IP层控制模块为核心层模块,它是在系统核心注册了一个IP数据过滤模块。
5、根据权利要求4所述基于上下线机制的控制互联网访问的网桥系统,其特征在于:所述的IP数据过滤模块由员工节点信息表、IP过滤模块、定时器和通讯模块组成。
6、根据权利要求3所述的基于上下线机制的控制互联网访问的网桥系统,其特征在于:所述的中间通讯模块是核心IP层控制模块和数据库应用模块的通讯通道。
7、根据权利要求3所述的基于上下线机制的控制互联网访问的网桥系统,其特征在于:所述的数据库应用层包括数据库存储系统和上下线触发器,数据库存储系统记录了所有员工的上下线状态和时间统计数据,上下线触发器利用了数据库的触发器机制来实现,用于监控数据库的记录。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02125616 CN1228729C (zh) | 2002-07-24 | 2002-07-24 | 基于上下线机制的控制互联网访问的网桥系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02125616 CN1228729C (zh) | 2002-07-24 | 2002-07-24 | 基于上下线机制的控制互联网访问的网桥系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1389816A true CN1389816A (zh) | 2003-01-08 |
CN1228729C CN1228729C (zh) | 2005-11-23 |
Family
ID=4745617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02125616 Expired - Fee Related CN1228729C (zh) | 2002-07-24 | 2002-07-24 | 基于上下线机制的控制互联网访问的网桥系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1228729C (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100386992C (zh) * | 2005-07-11 | 2008-05-07 | 华为技术有限公司 | 用户上下线的处理方法 |
CN102932229A (zh) * | 2012-11-20 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
-
2002
- 2002-07-24 CN CN 02125616 patent/CN1228729C/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100386992C (zh) * | 2005-07-11 | 2008-05-07 | 华为技术有限公司 | 用户上下线的处理方法 |
CN102932229A (zh) * | 2012-11-20 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
CN102932229B (zh) * | 2012-11-20 | 2015-08-12 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1228729C (zh) | 2005-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878092A (zh) | 一种多源异构数据融合的网络运维实时监控与分析呈现平台 | |
CN108289104A (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
US6894972B1 (en) | Intelligent collaboration across network system | |
EP1367771B1 (en) | Passive network monitoring system | |
US6930978B2 (en) | System and method for traffic management control in a data transmission network | |
US6076107A (en) | Method for reducing SNMP instrumentation message flows | |
EP2375637A1 (en) | Network routing adaptation based on failure prediction | |
CN212259006U (zh) | 一种网络安全管理设备 | |
US20070011317A1 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
Popescu | Traffic self-similarity | |
DE102005053688A1 (de) | Verfahren und Mechanismus zum Identifizieren eines nicht-verwalteten Schalters in einem Netz | |
CN112333020B (zh) | 一种基于五元组的网络安全监测及数据报文解析系统 | |
CN110572280A (zh) | 一种网络监测方法及系统 | |
US20190007285A1 (en) | Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom | |
CN1228729C (zh) | 基于上下线机制的控制互联网访问的网桥系统 | |
Huang et al. | Communication-efficient tracking of distributed cumulative triggers | |
CN108768732A (zh) | 一种ip资产可视化管理方法及系统 | |
TWI389504B (zh) | IP network traffic error detection and analysis system | |
Prieto et al. | Adaptive distributed monitoring with accuracy objectives | |
CN101459546A (zh) | 对等节点流量的识别方法和装置 | |
Cisco | Configuring RMON | |
Braun et al. | Applied network research: 1994 annual status report | |
CN208424434U (zh) | 一种网间隔离交换系统 | |
JPH076109A (ja) | Snmp装置のメッセージ・フローを減少させる方法 | |
Liu et al. | End-to-end delay boundary prediction using maximum entropy principle (mep) for internet-based teleoperation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C19 | Lapse of patent right due to non-payment of the annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |