內網安全綜合管理的網絡接入控制方法
2023-07-02 04:01:21
專利名稱:內網安全綜合管理的網絡接入控制方法
技術領域:
本發明涉及終端安全管理、信息數據保密的技術領域,特別是一種內網安全綜合
管理的網絡接入控制技術。
背景技術:
隨著信息化建設的快速發展,單位內部計算機終端越來越多,如何對內網終端的網絡安全接入管理,以及終端信息數據的洩密,已成為企業首選問題。 目前大多數內網安全管理系統的網絡接人控制技術,大都基於"掃描一發現一阻
斷"的工作模式,通過網絡接入控制系統的管理中心,對網絡進行不斷的掃描,並對掃描的
計算機進行合法性檢查,判斷該終端是否為合法終端。當發現該終端為不合法終端時,採用
ARP欺騙方式,阻斷該終端接入網絡。 上述技術存在著以下不足 1、非法終端能在網上存活一段時間 由於需要對全網所有地址進行掃描,對每個地址有一定的掃描間隔周期,因此,這段時間內非法接入終端能在網絡中存活一定時間,而在這段時間內,攻擊者有可能已經完成部分攻擊行為。 2、在某些情況下.系統不能發現接入的非法終端 由於需要指定掃描的網絡範圍,當非法接入終端使用的地址在指定的掃描範圍之外時,系統無法"發現"接入的非法設備。
3、消耗寶貴的網絡資源 接人控制系統需要對網絡進行不斷的掃描以期發現非法接入的終端,這會消耗大量寶貴的網絡資源,尤其在大型網絡中,這個問題更加突出。
發明內容
鑑於上述技術的不足,本發明的目的是提供一種內網安全綜合管理的網絡接入控
制方法,能實現終端安全的管控。
本發明採用以下方案實現一種內網安全綜合管理的網絡接入控制方法,其特徵
在於通過內網綜合安全管理系統、交換機和Radius伺服器之間的聯動實現對網絡接入終
端的安全控制,包括以下步驟實現首先具有802. 1X接入認證功能的交換機將802. 1X認證
伺服器指向Radius伺服器,並劃分為工作區、來訪區及修復區三個vlan ;然後在Radius服
務器上配置各個vlan的訪問控制策略以及和內網安全管理系統的聯動配置; 所述的工作區供合法終端訪問,即正常授權認證通過且安裝內網安全系統客戶
端,且終端安全檢查符合內網綜合安全管理系統規定,能正常訪問網絡的所有資源; 所述的修復區供非法終端訪問,即正常授權認證通過且安裝內網安全系統客戶
端,但終端安全檢查不符合內網綜合安全管理系統要求,只能訪問修復伺服器; 所述的來訪區供非法終端訪問,S卩非授權認證或未安裝內網安全系統客戶端的終端,只能訪問內網安全管理系統的客戶端下載頁面。
本發明具有以下有益效果 —旦發現有非法終端接入網絡,即馬上給予阻斷,避免非法終端接入網絡後,存活 時間內所造成的安全威脅。 當終端地址不屬於指定的範圍情況下,只要是非法終端,沒有得到正確授權的用 戶,系統禁止接入網絡。 系統無需採用"不斷的掃描"方式,而是通過交換機與系統之間的授權方式,對非 法終端進行阻斷。
圖1是本發明原理示意圖。
具體實施例方式
下面結合附圖及實施例子對本發明做進一步說明。 如圖1所示,本發明利用網絡接入控制技術將控制目標轉向了計算機終端,從終 端著手,通過管理員指定的安全策略,對接入內部網絡的主機進行安全性檢測,自動拒絕不 安全的計算機接入內部網絡直到這些計算機符合網絡內的安全策略為止。其採用的架構為 客戶端/伺服器(C/S)模式,管理則採用瀏覽器/伺服器(B/S)模式,管理員可通過網頁方 式登錄內網安全管理系統並對終端下發安全策略,實現終端安全的管控。更具體的說,本 發明的特徵在於通過內網綜合安全管理系統、交換機和Radius伺服器之間的聯動實現對 網絡接入終端的安全控制,包括以下步驟實現首先具有802. 1X接入認證功能的交換機將 802. IX認證伺服器指向Radius伺服器,並劃分為工作區、來訪區及修復區三個vlan ;然後 在Radius伺服器上配置各個vlan的訪問控制策略以及和內網安全管理系統的聯動配置;
所述的工作區供合法終端訪問,即正常授權認證通過且安裝內網安全系統客戶 端,且終端安全檢查符合內網綜合安全管理系統規定,能正常訪問網絡的所有資源;
所述的修復區供非法終端訪問,即正常授權認證通過且安裝內網安全系統客戶 端,但終端安全檢查不符合內網綜合安全管理系統要求,只能訪問修復伺服器;
所述的來訪區供非法終端訪問,S卩非授權認證或未安裝內網安全系統客戶端的終 端,只能訪問內網安全管理系統的客戶端下載頁面。
其具體的工作原理包括以下方式 當終端接入網絡後,在規定時間內未進行802. 1X認證,終端連接交換機埠的 vlan狀態會自動跳轉到來訪區,且連接交換機的埠是處於邏輯關閉狀態,即拒絕終端接 入網絡。 對已通過802. 1X認證,此時內網安全管理系統會自動檢測終端是否安裝客戶端 程序,對未安裝客戶端的終端,系統會和Radius伺服器進行聯動,通過Radius伺服器下發 指令,將連接交換機的埠 vlan狀態轉換成來訪區,即該終端只能訪問內網安全管理系統 伺服器的客戶端下載頁面,以便進行客戶端程序的安裝。 對已安裝客戶端程序,但未通過802. 1X接入認證的終端,交換機埠會跳轉到來 訪區,因為交換機埠是邏輯關閉,即拒絕終端接入網絡。此情況下,可能是終端本地網絡配置不符合網絡規定或IP不屬於網絡接入的範圍。 對已安裝客戶端程序且通過802. IX認證的終端,但終端安全檢查不符合系統安全策略要求,如未安裝防病毒系統、系統存在漏洞、安裝違規軟體等;此時通過伺服器之間的聯動,交換機埠會自動跳轉到修復區,即只允許終端訪問修復伺服器,對系統存在的漏洞、防病毒系統、違規軟體等進行修復或安裝。 對已安裝客戶端程序、通過802. 1X認證且安檢符合系統安全策略要求的終端,此
時交換機埠屬於工作區,即網絡給予放行,可以訪問內網的伺服器群或資源。 此外要說明的是802. lx協議是一種基於埠的網絡接入控制(port based
networkaccess control)協議。"基於埠的網絡接入控制"是指在區域網接入控制設備
的埠這一級對所接入的設備進行認證和控制。連接在埠上的用戶設備如果能通過認
證,就可以訪問區域網中的資源;如果不能通過認證,則無法訪問區域網中的資源抓相當於
連接被物理斷開。 Radius是Remote Authentication Dial In User Service的簡稱,艮卩遠程驗證撥入用戶服務。當用戶想要通過某個網絡(如乙太網)與NAS(網絡接入伺服器)建立連接從而獲得訪問網絡的權利時,NAS可以選擇在NAS上進行本地認證計費,或把用戶信息傳遞給RADIUS伺服器,由Radius進行認證計費;RADIUS協議規定了 NAS與RADIUS伺服器之間如何傳遞用戶信息和記帳信息;RADIUS伺服器負責接收用戶的連接請求,完成驗證,並把傳遞服務給用戶所需的配置信息返回給NAS。
本發明具有如下優點 1、幫助確保所有的用戶網絡設備都符合安全策略,從而大幅度提高網絡的安全性,不受規模和複雜性的影響。 2、檢測並控制試圖連接網絡的所有終端,不受其訪問方法的影B向,從而提高企業安全性和可擴展性。 3、防止不符合策略和不可管理的終端設備影響網絡可用性或用戶生產率。 4、降低與識別和修復不符合策略的、不可管理的和受感染的系統相關的運行成本。 5、在終端接入網絡時就進行準入控制,不存在終端在網絡上的存活時間點。
6、降低網絡負載能力,無需通過"掃描"方式對終端進行檢測,對非法終端可直接進行接入控制。 以上所述僅為本發明的較佳實施例,凡依本發明申請專利範圍所做的均等變化與修飾,皆應屬本發明的涵蓋範圍。
權利要求
一種內網安全綜合管理的網絡接入控制方法,其特徵在於通過內網綜合安全管理系統、交換機和Radius伺服器之間的聯動實現對網絡接入終端的安全控制,包括以下步驟實現首先具有802.1X接入認證功能的交換機將802.1X認證伺服器指向Radius伺服器,並劃分為工作區、來訪區及修復區三個vlan;然後在Radius伺服器上配置各個vlan的訪問控制策略以及和內網安全管理系統的聯動配置;所述的工作區供合法終端訪問,即正常授權認證通過且安裝內網安全系統客戶端,且終端安全檢查符合內網綜合安全管理系統規定,能正常訪問網絡的所有資源;所述的修復區供非法終端訪問,即正常授權認證通過且安裝內網安全系統客戶端,但終端安全檢查不符合內網綜合安全管理系統要求,只能訪問修復伺服器;所述的來訪區供非法終端訪問,即非授權認證或未安裝內網安全系統客戶端的終端,只能訪問內網安全管理系統的客戶端下載頁面。
2. 根據權利要求1所述的內網安全綜合管理的網絡接入控制方法,其特徵在於當終 端接入網絡後,在規定時間內未進行802. IX認證,終端連接交換機埠的vlan狀態會自動 跳轉到來訪區,且連接交換機的埠是處於邏輯關閉狀態。
3. 根據權利要求1所述的內網安全綜合管理的網絡接入控制方法,其特徵在於對已 通過802. IX認證,內網安全管理系統會自動檢測終端是否安裝客戶端程序,對未安裝客戶 端的終端,系統會和Radius伺服器進行聯動,通過Radius伺服器下發指令,將連接交換機 的埠 vlan狀態轉換成來訪區。
4. 根據權利要求1所述的內網安全綜合管理的網絡接入控制方法,其特徵在於對已 安裝客戶端程序,但未通過802. IX接入認證的終端,交換機埠會跳轉到來訪區。
5. 根據權利要求1所述的內網安全綜合管理的網絡接入控制方法,其特徵在於對已 安裝客戶端程序且通過802. IX認證的終端,但終端安全檢查不符合系統安全策略要求,如 未安裝防病毒系統、系統存在漏洞、安裝違規軟體;此時通過伺服器之間的聯動,交換機端 口會自動跳轉到修復區。
6. 根據權利要求1所述的內網安全綜合管理的網絡接入控制方法,其特徵在於對已 安裝客戶端程序、通過802. IX認證且安檢符合系統安全策略要求的終端,此時交換機埠 屬於工作區,即網絡給予放行,可以訪問內網的伺服器群或資源。
全文摘要
本發明涉及一種內網安全綜合管理的網絡接入控制方法,其特徵在於通過內網綜合安全管理系統、交換機和Radius伺服器之間的聯動實現對網絡接入終端的安全控制,包括以下步驟實現首先具有802.1X接入認證功能的交換機將802.1X認證伺服器指向Radius伺服器,並劃分為工作區、來訪區及修復區三個vlan;然後在Radius伺服器上配置各個vlan的訪問控制策略以及和內網安全管理系統的聯動配置;本發明能夠實現終端安全的管控,無需採用「不斷的掃描」方式進行檢測,節省了網絡資源。
文檔編號H04L29/06GK101714927SQ201010300360
公開日2010年5月26日 申請日期2010年1月15日 優先權日2010年1月15日
發明者吳濱華, 楊小焰, 肖健, 許元進, 黃聰泉 申請人:福建伊時代信息科技股份有限公司