TWI709309B - 網管裝置及其網管方法 - Google Patents
網管裝置及其網管方法 Download PDFInfo
- Publication number
- TWI709309B TWI709309B TW108134648A TW108134648A TWI709309B TW I709309 B TWI709309 B TW I709309B TW 108134648 A TW108134648 A TW 108134648A TW 108134648 A TW108134648 A TW 108134648A TW I709309 B TWI709309 B TW I709309B
- Authority
- TW
- Taiwan
- Prior art keywords
- address
- network management
- information
- legal
- network
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本發明提供一種具有通訊裝置、儲存裝置及處理器的網管裝置。通訊裝置用以在特定網路中傳送及接收封包。儲存裝置用以儲存合法位址資訊。處理器連接至通訊裝置及儲存裝置。處理器通過通訊裝置接收來自封鎖裝置的資訊封包,並獲取資訊封包中的目的地位址。處理器依據合法位址資訊判斷該目的地位址是否屬於合法位址資訊所記錄的合法位址。處理器在目的地位址屬於合法位址時,將資訊封包通過特定網路傳送至目的地位址。本發明另提供相應的網管方法。
Description
本發明是有關於一種網路技術,且特別是有關於一種網管裝置及其網管方法。
在現有的企業安全與網路安全中,對於內部網路的管控是相當重要的一環。一般而言,資訊安全管理人員所採用的一種方法是,通過ARP欺騙的手段,對內部有違規情形或者需要進行權限控管的裝置進行封鎖,以確保此裝置無法對機密資料進行存取,或者影響內部網路的運作。
然而,對於通過位址解析協定(Address resolution protocol,下稱ARP)欺騙而被封鎖的裝置,在該裝置需要連線到其他台電腦或伺服器進行系統或軟體更新時,需要先解除該裝置的封鎖,才能使該裝置順利連線進行更新。然而,這也表示該裝置能夠連線到網路中所有電腦。如此一來,在解除封鎖時間的空檔,無疑增加了網路暴露在危險中的時間,導致風險增高。
本發明提供一種網管裝置以及網管方法,用以讓封鎖裝置維持被封鎖的情形下,仍保持與特定裝置通訊的能力。
本發明一實施例的網管裝置具有通訊裝置、儲存裝置以及處理器。通訊裝置用以在特定網路中傳送及接收封包。儲存裝置用以儲存合法位址資訊。處理器連接至通訊裝置及儲存裝置。處理器通過通訊裝置接收來自封鎖裝置的資訊封包,並獲取該資訊封包中的目的地位址,依據合法位址資訊判斷目的地位址是否屬於合法位址資訊所記錄的合法位址。處理器在目的地位址屬於合法位址時,將資訊封包通過特定網路傳送至目的地位址。
本發明一實施例的網管方法具有下列步驟:接收來自封鎖裝置的資訊封包;獲取資訊封包中的目的地位址;依據合法位址資訊判斷目的地位址是否屬於合法位址資訊所記錄的合法位址;以及在目的地位址屬於合法位址時,將資訊封包通過特定網路傳送至目的地位址。
基於上述,在封鎖裝置需進行系統、軟體更新,或者執行必要任務時,網管裝置能夠通過合法位置資訊的設計,而在不解除封鎖裝置的封鎖下,將封包傳送到目的地裝置。基此,封鎖裝置能夠在被封鎖的情形下完成欲執行的任務,於此同時,也能夠保有特定網路的安全性,降低特定網路面對風險的機會。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖1繪示本發明一實施例的網路架構示意圖。請參照圖1,網管裝置100位在特定網路10中,在本發明下述的實施例中,特定網路是採用區域網路進行說明,然而本發明不限於此。
網管裝置100直接或間接地連接至骨幹交換器(Core switch)11,進而通過邊際交換器12(Edge switch)連接至其他裝置13以及系統伺服器14。骨幹交換器11、邊際交換器12、裝置13、系統伺服器14以及網管裝置100的數量以及彼此傳送、接收訊息的方法與細節為本領域技術人員所熟知的內容,於此不再贅述。
網管裝置100還連接到封鎖裝置20。詳細來說,封鎖裝置20是有違規情形或者需要進行權限控管的裝置,因此,封鎖裝置20會被封鎖,不能夠存取特定網路10。在本實施例中,網管裝置100是採用ARP封鎖機制對封鎖裝置20進行封鎖。也就是說,網管裝置100會擷取封鎖裝置20的網際網路協定位址(Internet Protocol Address,以下簡稱IP位址),並廣播ARP更新封包至特定網路10,進而使特定網路10中的所有裝置,即本實施例的骨幹交換器(Core switch)11、邊際交換器12(Edge switch)連接至其他裝置13以及系統伺服器14更新自身所儲存的ARP記錄表中,藉此,使原先記載對應封鎖裝置20的網際網路協定位址被更新為對應通訊裝置。
舉例來說,假設封鎖裝置20的倘若更新前的媒體存取控制位址(Media Access Control Address,下稱MAC位址)為00:0C:29:01:98:27,IP位址為192.168.1.1。網管裝置100的MAC位址為00:05:5D:E8:0F:A3,IP位址為192.168.110.2,ARP記錄表記載如表一:
表一:更新前的ARP記錄表
在網管裝置100所更新的ARP封包中,會使特定網路10中的所有裝置將ARP記錄表更新成表二:
表二:更新後的ARP記錄表
更新後的ARP記錄表中,原本屬於封鎖裝置20的IP位址192.168.1.1會被更改為對應於網管裝置100的IP位址。因此,在ARP解析技術下,所有在特定網路10中的裝置解析192.168.1.1的IP位址時,都會對應到網管裝置100的MAC位址,而使封包被傳送至網管裝置100,導致封鎖裝置20無法再接收到封包。然而,網管裝置100仍然會保留封鎖裝置20與自身的連接能力,並對封鎖裝置20所傳遞的封包進行控管。詳細的細節將於後方再進行說明。此外,圖1所繪示封鎖裝置20的數量僅為示意,封鎖裝置20的數量也可以為多個,本發明不限於此。
| IP位址 | MAC位址 | 對應的裝置 |
| 192.168.1.1 | 00:0C:29:01:98:27 | 封鎖裝置20 |
| 192.168.110.2 | 00:05:5D:E8:0F:A3 | 網管裝置100 |
| IP位址 | MAC位址 | 對應的裝置 |
| 192.168.1.1 | 00:05:5D:E8:0F:A3 | 網管裝置100 |
| 192.168.110.2 | 00:05:5D:E8:0F:A3 | 網管裝置100 |
圖2繪示本發明一實施例網管裝置的裝置示意圖。請參照圖2,網管裝置具有通訊裝置110、儲存裝置120以及處理器130。通訊裝置110具備通訊能力,用以傳送與接收各類封包。特別是,通訊裝置110會在特定網路10中傳送及接收封包。在本發明一實施例中,通訊裝置110是以通訊晶片及/或各類型的網路介面控制器(network interface controller,NIC)進行實作,通訊晶片可為支援乙太網路系統、無線保真(Wireless Fidelity,Wi-Fi)系統或藍牙的信號傳輸的元件。
儲存裝置120是用以儲存運行網管裝置100時所需的軟韌體、資料及各類程式碼。儲存裝置120可以是任何型態的固定或可移動隨機存取記憶體(Random Access Memory,RAM)、唯讀記憶體(Read-Only Memory,ROM)、快閃記憶體(flash memory)、硬碟(Hard Disk Drive,HDD)、固態硬碟(Solid State Drive,SSD)或類似元件或上述元件的組合。
處理裝置130連接於通訊單元110及儲存單元120。處理單元130可以是中央處理單元(Central Processing Unit,CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(Digital Signal Processor,DSP)、可程式化控制器、特殊應用積體電路(Application Specific Integrated Circuit,ASIC)或其他類似元件或上述元件的組合,本揭露不限於此。
圖3繪示本發明一實施例網管方法的流程示意圖。請參照圖3,此流程示意圖至少適用於圖1的網路架構及圖2的網管裝置100之中,然本發明不限於此。以下將通過圖1至圖3說明網管裝置100封鎖裝置20所傳遞的封包進行控管的細節。
需先說明的是,在下述的說明中是以「封鎖裝置20欲連接至系統伺服器14進行系統更新」作為示例,僅用以說明以利於理解,然本發明並不以此示例為限。
在步驟S310,由處理器130通過通訊裝置110接收來自封鎖裝置20的資訊封包。詳細而言,每一個資訊封包至少夾帶來源的IP位址以及目的地的IP位址。在此示例中,來源IP為封鎖裝置20的IP位址,目的地IP位址則為系統伺服器14的IP位址。
表三:資訊封包的結構示意表
| 來源IP | 目的地IP | 資訊內容 |
| 192.168.1.1 | 192.168.1.10 | 請求系統更新 |
在步驟S320,由處理器130獲取資訊封包中的目的地位址。處理器130會藉由解析資訊封包進而獲取來源IP位址與目的地IP位址。
在步驟S330,由處理器130依據合法位址資訊判斷目的地位址是否屬於合法位址資訊所記錄的合法位址。詳細而言,在儲存裝置120中記載了合法位址資訊。合法位址資訊表示的是,允許封鎖裝置20進行傳遞及接收封包的位址。在一實施例中,合法位址資訊記載著所有和系統、軟體更新相關的伺服器的IP位址,然本發明不限於此。
值得一提的是,合法位址資訊也可以針對不同的封鎖裝置進行設計。舉例來說,不同的封鎖裝置所採用的軟體並不相同,所需進行更新的軟體也不相同。此時,儲存裝置120可以儲存多個且分別對應至不同封鎖裝置的合法位址資訊。因此,處理器130會進一步獲取資訊封包中的來源位址,並依據來源位址找到對應的合法位址資訊。藉此,處理器130能夠依據來源位址對應的合法位址資訊,判斷目的地位址是否屬於此合法位址資訊中所記載的合法位址。
在步驟S340,由處理器130在目的地位址屬於合法位址時,將資訊封包通過特定網路10傳送至目的地位址。值得一提的是,處理器130在通過通訊裝置110傳送資訊封包時,仍會採用封鎖裝置20的IP位址傳送資訊封包,也就是說,由處理器130傳送的資訊封包仍為如表三的資訊封包格式。因此,當目的地位址的裝置,即在本示例的系統伺服器14解析資訊封包後,資訊封包的來源IP位址仍然為192.168.1.1。然而,誠如前述,由於處理器130已對特定網路10中的所有裝置更新ARP記錄表,從特定網路10中的所有裝置的角度而言,若採用ARP解析來源IP位址192.168.1.1時,此IP位址不再是對應封鎖裝置20,而是網管裝置100。基此,若系統伺服器14傳送相對應資訊封包的回應封包時,其會將目的地IP位址設定成來源IP位址,例如表四:
表四:回應封包的結構示意表
藉此,通過特定網路10,回應封包會被傳送回網管裝置100。
| 來源IP | 目的地IP | 資訊內容 |
| 192.168.1.10 | 192.168.1.1 | 系統更新檔 |
網管裝置100在接收到回應封包時,其會解析回應封包,以取得目的地IP位址,此即為傳送資訊封包裝置。基此,網管裝置100能夠獲知回應封包是發送給IP位址為192.168.1.1的封鎖裝置20。因此,網管裝置100會進一步將此回應封包轉發至封鎖裝置20。基此,封鎖裝置20能夠完成系統、軟體的更新,或者完成其他其欲執行的任務。
然而,若目的地位址不屬於合法位址時,即目的地位址不落在合法位址資訊中,在步驟S350,處理器130會捨棄資訊封包,而不協助封鎖裝置20轉發。
綜上所述,本發明的網管裝置及網管方法不僅能夠對欲封鎖的裝置進行封鎖,更進一步地,在封鎖裝置需進行系統、軟體更新,或者執行必要任務時,網管裝置能夠通過合法位置資訊的設計,而在不解除封鎖裝置的封鎖下,將封包傳送到目的地裝置。此外,網管裝置也能夠在接收到目的地裝置回傳的回應封包時,將回應封包轉發給封鎖裝置。基此,封鎖裝置能夠在被封鎖的情形下完成欲執行的任務,於此同時,也能夠保有特定網路的安全性,降低特定網路面對風險的機會。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:特定網路
11:骨幹交換器
12:邊際交會器
13:裝置
14:系統伺服器
20:封鎖裝置
100:電子裝置
110:通訊裝置
120:儲存裝置
130:處理器
S310~S350:步驟
圖1繪示本發明一實施例的網路架構示意圖。
圖2繪示本發明一實施例網管裝置的裝置示意圖。
圖3繪示本發明一實施例網管方法的流程示意圖。
S310~S350:步驟
Claims (12)
- 一種網管裝置,包括:通訊裝置,用以在一特定網路中傳送及接收封包;儲存裝置,用以儲存合法位址資訊;以及處理器,連接至該通訊裝置及該儲存裝置,其中該處理器通過該通訊裝置接收來自一封鎖裝置的資訊封包,並獲取該資訊封包中的目的地位址,依據該合法位址資訊判斷該目的地位址是否屬於該合法位址資訊所記錄的合法位址,該處理器在該目的地位址屬於該合法位址時,將該資訊封包通過該特定網路傳送至該目的地位址,其中,該處理器還發送ARP更新封包,而將該特定網路中的一ARP記錄表中對應該封鎖裝置的網際網路協定位址被更新為對應該通訊裝置。
- 如申請專利範圍第1項所述的網管裝置,其中,該處理器還在該目的地位址不屬於該合法位址時,捨棄該資訊封包。
- 如申請專利範圍第1項所述的網管裝置,其中,該封鎖裝置的數量為多個,且每一該封鎖裝置對應到不同的該合法位址資訊,該處理器會獲取該資訊封包中的來源位址,並依據該來源位址對應的該合法位址資訊判斷該目的地位址是否屬於該合法位址。
- 如申請專利範圍第1項所述的網管裝置,其中,該封鎖裝置不能存取該特定網路。
- 如申請專利範圍第1項所述的網管裝置,其中,該特定網路為區域網路。
- 如申請專利範圍第1項所述的網管裝置,其中,該處理器還在該通訊裝置從該特定網路接收到相對該封鎖裝置的回應封包時,將該回應封包轉發至該封鎖裝置。
- 一種網管方法,包括:接收來自一封鎖裝置的資訊封包;獲取該資訊封包中的目的地位址;依據該合法位址資訊判斷該目的地位址是否屬於該合法位址資訊所記錄的合法位址;以及在該目的地位址屬於該合法位址時,將該資訊封包通過該特定網路傳送至該目的地位址,發送ARP更新封包,而將該特定網路中的一ARP記錄表中對應該封鎖裝置的網際網路協定位址被更新為對應該通訊裝置。
- 如申請專利範圍第7項所述的網管方法,更包括:在該目的地位址不屬於該合法位址時,捨棄該資訊封包。
- 如申請專利範圍第7項所述的網管方法,其中,該封鎖裝置的數量為多個,且每一該封鎖裝置對應到不同的該合法位址資訊,並且,在依據該合法位址資訊判斷該目的地位址是否屬於該合法位址資訊所記錄的合法位址的步驟中,還包括: 獲取該資訊封包中的來源位址,並依據該來源位址對應的該合法位址資訊判斷該目的地位址是否屬於該合法位址。
- 如申請專利範圍第7項所述的網管方法,其中,該封鎖裝置不能存取該特定網路。
- 如申請專利範圍第7項所述的網管方法,其中,該特定網路為區域網路或網際網路。
- 如申請專利範圍第7項所述的網管方法,更包括:在該通訊裝置從該特定網路接收到相對該封鎖裝置的回應封包時,將該回應封包轉發至該封鎖裝置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108134648A TWI709309B (zh) | 2019-09-25 | 2019-09-25 | 網管裝置及其網管方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108134648A TWI709309B (zh) | 2019-09-25 | 2019-09-25 | 網管裝置及其網管方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI709309B true TWI709309B (zh) | 2020-11-01 |
| TW202114378A TW202114378A (zh) | 2021-04-01 |
Family
ID=74202270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108134648A TWI709309B (zh) | 2019-09-25 | 2019-09-25 | 網管裝置及其網管方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI709309B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070008981A1 (en) * | 2005-07-08 | 2007-01-11 | Pathan Arnavkumar M | Communication device client update system and method |
| WO2012108687A2 (en) * | 2011-02-08 | 2012-08-16 | Ahnlab., Inc. | Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method |
| CN103856443A (zh) * | 2012-11-29 | 2014-06-11 | 台众计算机股份有限公司 | 网点的判断与阻挡的方法 |
| TWI660284B (zh) * | 2016-01-21 | 2019-05-21 | 曜祥網技股份有限公司 | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 |
-
2019
- 2019-09-25 TW TW108134648A patent/TWI709309B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070008981A1 (en) * | 2005-07-08 | 2007-01-11 | Pathan Arnavkumar M | Communication device client update system and method |
| WO2012108687A2 (en) * | 2011-02-08 | 2012-08-16 | Ahnlab., Inc. | Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method |
| CN103856443A (zh) * | 2012-11-29 | 2014-06-11 | 台众计算机股份有限公司 | 网点的判断与阻挡的方法 |
| TWI660284B (zh) * | 2016-01-21 | 2019-05-21 | 曜祥網技股份有限公司 | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202114378A (zh) | 2021-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9729655B2 (en) | Managing transfer of data in a data network | |
| TWI455532B (zh) | 交換器、以及流表控制方法 | |
| US8375445B2 (en) | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method | |
| KR100954370B1 (ko) | 소프트웨어 실행 관리 장치 및 그 방법 | |
| JP5826320B2 (ja) | ネットワーク・ロケーション・サービス | |
| JP2008092465A (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| JPWO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| US8223756B2 (en) | Network device and computer product | |
| WO2017028391A1 (zh) | 虚拟网络通信的方法及装置 | |
| JP6193155B2 (ja) | 通信装置、通信システム、通信方法およびプログラム | |
| TWI709309B (zh) | 網管裝置及其網管方法 | |
| JP2007013263A (ja) | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 | |
| CN105939220A (zh) | 远程端口镜像的实现方法及装置 | |
| JP2020092318A (ja) | 中継装置、中継方法及びコンピュータプログラム | |
| JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
| JP2009225045A (ja) | 通信妨害装置及び通信妨害プログラム | |
| US20160248596A1 (en) | Reflecting mdns packets | |
| KR20210067400A (ko) | Ndn 기반 네트워크에서, as 경로 무결성 검증 방법 및 장치 | |
| JP2020047113A (ja) | 障害検出装置、障害検出方法及び障害検出プログラム | |
| US12021891B2 (en) | Server connection resets based on domain name server (DNS) information | |
| WO2017047087A1 (ja) | データ検査システム、データ検査方法とそのプログラムを格納した記憶媒体 | |
| JP5994459B2 (ja) | 情報処理装置、通信制御方法及び通信制御プログラム | |
| US20080263203A1 (en) | Method and apparatus for delegating responses to conditions in computing systems | |
| US20220217119A1 (en) | Method for indicating a use of an illicit ip address |