專(zhuān)利名稱(chēng):內(nèi)網(wǎng)ip地址發(fā)現(xiàn)與阻斷系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種局域網(wǎng)絡(luò)安全管理系統(tǒng),尤其涉及一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)��。
背景技術(shù):
現(xiàn)今互聯(lián)網(wǎng)絡(luò)的應(yīng)用已經(jīng)成為各大公司提高勞動(dòng)生產(chǎn)率和利潤(rùn)率的革命性因素���,它們通過(guò)電子商務(wù)和廣域網(wǎng)獲得了新的商機(jī)����。與此同時(shí),越來(lái)越多的雇員通過(guò)互聯(lián)網(wǎng)絡(luò)的標(biāo)準(zhǔn)協(xié)議TCP/IP連接到一起�,這就導(dǎo)致了一個(gè)嚴(yán)重的問(wèn)題,即成倍增長(zhǎng)的IP地址超出了公司IT部門(mén)所能控制的范圍�。當(dāng)今各大公司網(wǎng)絡(luò)的擴(kuò)展是極其迅猛的,同時(shí)對(duì)網(wǎng)絡(luò)IP地址和名字空間的有序性和可靠性也提出了更高的要求���。因此�����,如何有效防止IP地址的非法盜用以及非法網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)是很多組織頭疼的問(wèn)題���。
地址解析協(xié)議(ARP)用于實(shí)現(xiàn)IP地址到網(wǎng)絡(luò)接口硬件地址的映射。當(dāng)某主機(jī)要向以太網(wǎng)中的另一臺(tái)主機(jī)發(fā)送IP數(shù)據(jù)時(shí)����,它首先根據(jù)目的主機(jī)的IP地址到相應(yīng)以太網(wǎng)地址的映射表。如果查到匹配的節(jié)點(diǎn)����,則相應(yīng)的以太網(wǎng)地址被寫(xiě)入以太網(wǎng)幀首部�����,數(shù)據(jù)報(bào)備加入到輸出隊(duì)列等候發(fā)送。如果查詢失敗����,ARP會(huì)先保留待發(fā)送的IP數(shù)據(jù)報(bào),然后廣播一個(gè)詢問(wèn)目的主機(jī)硬件地址的ARP報(bào)文��,等收到回答后再將IP數(shù)據(jù)報(bào)發(fā)送出去�。
發(fā)明內(nèi)容
本實(shí)用新型所要解決的技術(shù)問(wèn)題是提供一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其可在保證網(wǎng)絡(luò)整體性能前提下�,實(shí)現(xiàn)對(duì)局域網(wǎng)主機(jī)的及時(shí)發(fā)現(xiàn)和阻斷,且不影響任何網(wǎng)絡(luò)流量和傳輸?shù)膰?guó)際標(biāo)準(zhǔn)����。
為了解決上述技術(shù)問(wèn)題,本實(shí)用新型的技術(shù)方案為提供一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)��,包括網(wǎng)絡(luò)掃描模塊�,其掃描在線主機(jī)的IP地址、mac地址��、主機(jī)名���、工作組等信息�,將信息流發(fā)送給信息比對(duì)模塊����;信息比對(duì)模塊��,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì)��,將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊����;非法阻斷模塊�,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。
這樣����,本實(shí)用新型的優(yōu)點(diǎn)如下本實(shí)用新型的系統(tǒng)以Java、Web技術(shù)為架構(gòu)��,采用面向?qū)ο蠛蚆essageQueueing技術(shù)構(gòu)件信息交換平臺(tái)��,使產(chǎn)品的各項(xiàng)功能構(gòu)建于該平臺(tái)之上���,使整個(gè)系統(tǒng)具備靈活的擴(kuò)展性��。本實(shí)用新型可實(shí)現(xiàn)如下功能1、物理端口防護(hù)��;2、在線設(shè)備IP地址的實(shí)時(shí)檢測(cè)與分析����;3、IP地址���、MAC地址等信息的合法性判定�����;4�、警告并自動(dòng)阻斷非法的IP地址���;5���、查詢非法IP地址的使用歷史;6���、支持主動(dòng)檢測(cè)���、被動(dòng)偵聽(tīng)等多種檢測(cè)方式;7�����、同時(shí)支持動(dòng)態(tài)分配IP地址和靜態(tài)設(shè)定IP地址。
圖1是本實(shí)用新型的系統(tǒng)的結(jié)構(gòu)示意圖���。
具體實(shí)施方式
如圖1所示本實(shí)用新型的系統(tǒng)系統(tǒng)使用Java Servlet(Servlet是用Java編寫(xiě)的Server端程序)容器Tomcat(一個(gè)Web容器的名稱(chēng))作為網(wǎng)絡(luò)服務(wù)器1�,在最高層向用戶提供Web方式的操作界面�,系統(tǒng)內(nèi)置Postgresql(一種數(shù)據(jù)庫(kù)的名稱(chēng))數(shù)據(jù)庫(kù)2,該系統(tǒng)主要?jiǎng)澐譃榫W(wǎng)絡(luò)掃描模塊3��、信息比對(duì)模塊4�、非法阻斷模塊5、身份認(rèn)證模塊6和授權(quán)管理模塊7七個(gè)模塊����,各模塊之間通過(guò)消息對(duì)的方法(Message Queueing)相互通信,在最底層通過(guò)ICMP(因特網(wǎng)控制消息協(xié)議)���、ARP(地址解析協(xié)議)����、SNMP(簡(jiǎn)單網(wǎng)管協(xié)議)��、TELNET(遠(yuǎn)程登錄協(xié)議)��、FTP(文件傳輸協(xié)議)等標(biāo)準(zhǔn)協(xié)議獲取被管設(shè)備的信息。
其中�,網(wǎng)絡(luò)服務(wù)器1(WebService)提供對(duì)外的接口調(diào)用����;網(wǎng)絡(luò)掃描模塊3掃描在線主機(jī)的IP地址、mac(Media Access Control�����,介質(zhì)訪問(wèn)控制)地址�����、主機(jī)名�����、工作組等信息�,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)模塊4將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì)�,將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷模塊5對(duì)非法主機(jī)進(jìn)行阻斷攻擊����。
在用戶登陸系統(tǒng)時(shí)����,身份認(rèn)證模塊6對(duì)身份標(biāo)識(shí)進(jìn)行處理�����,并調(diào)用授權(quán)管理模塊7將該用戶擁有權(quán)限的頁(yè)面加載���。各子模塊通過(guò)ODBC(Open DatabaseConnectivity����,開(kāi)放數(shù)據(jù)庫(kù)互連)或JDBC(Java Database Connectivity����,Java數(shù)據(jù)庫(kù)互連)訪問(wèn)數(shù)據(jù)庫(kù)。
其中�����,所述的授權(quán)管理模塊7采用ePass授權(quán)驗(yàn)證管理系統(tǒng)�。ePass授權(quán)驗(yàn)證管理系統(tǒng)是一個(gè)管理一個(gè)或多個(gè)應(yīng)用系統(tǒng)的資源權(quán)限的通用軟件系統(tǒng),它可以對(duì)應(yīng)用中的資源�,比如應(yīng)用系統(tǒng)菜單、畫(huà)面、報(bào)表和文檔等資源的使用權(quán)進(jìn)行集中管理���,同時(shí)對(duì)應(yīng)用系統(tǒng)使用者的帳號(hào)進(jìn)行集中管理���,提供統(tǒng)一的標(biāo)準(zhǔn)登錄界面和應(yīng)用畫(huà)面模板,提供對(duì)指定帳號(hào)���、指定資源權(quán)限檢查的接口。
所述的網(wǎng)絡(luò)掃描模塊3對(duì)IP地址的自動(dòng)掃描發(fā)現(xiàn)可以通過(guò)ICMP�����、ARP等協(xié)議來(lái)完成��,考慮掃描效率以及MAC地址發(fā)現(xiàn)的情況�,本實(shí)用新型采用ARP協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)掃描。而主機(jī)名的自動(dòng)發(fā)現(xiàn)則可通過(guò)SNMP�����、Samba��、Ftp���、Telnet等多種技術(shù)結(jié)合實(shí)現(xiàn)�����。
本實(shí)用新型的數(shù)據(jù)交換方法可以采用兩種方法�,一種是通過(guò)MessageQueue消息同步機(jī)制,使用在不同系統(tǒng)之間傳遞消息���,再通過(guò)應(yīng)用程序做出一定的處理�����,完成數(shù)據(jù)同步工作����;另外一種是通過(guò)XML文件來(lái)表示數(shù)據(jù)庫(kù)數(shù)據(jù)�����,再通過(guò)網(wǎng)絡(luò)將XML文件發(fā)送到同步端���。Message Queue數(shù)據(jù)交換技術(shù)適用于實(shí)時(shí)性要求比較高�����,數(shù)據(jù)量相對(duì)較小的場(chǎng)合�����,XML(eXtensibleMarkup Language��,可擴(kuò)展標(biāo)記語(yǔ)言)數(shù)據(jù)交換技術(shù)則適用于實(shí)時(shí)性要求較低����,數(shù)據(jù)量相對(duì)較大的場(chǎng)合。
本實(shí)有新型采用BSMQ(Baosight Message Queuing�,寶信消息隊(duì)列)通信中間件作為數(shù)據(jù)同步的基礎(chǔ)技術(shù)�。BSMQ提供了在不同供應(yīng)商平臺(tái)上的連通性,向開(kāi)發(fā)人員提供了標(biāo)準(zhǔn)的信息交互的方法���。
權(quán)利要求1.一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)�����,其特征在于����,包括網(wǎng)絡(luò)掃描模塊(3)���,其掃描在線主機(jī)的IP地址�、mac地址、主機(jī)名�����、工作組等信息��,將信息流發(fā)送給信息比對(duì)模塊��;信息比對(duì)模塊(4)��,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì)�,將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷模塊(5)����,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊;網(wǎng)絡(luò)服務(wù)器(1)�����,其提供對(duì)外的接口調(diào)用���;身份認(rèn)證模塊(6)���,其用于用戶登陸時(shí)對(duì)身份標(biāo)識(shí)進(jìn)行處理���;授權(quán)管理模塊(7),其將該用戶擁有權(quán)限的頁(yè)面加載�����;所述的網(wǎng)絡(luò)掃描模塊(3)����、信息對(duì)比模塊(4)、非法阻斷模塊(5)�����、撥號(hào)監(jiān)控模塊��、設(shè)備管理模塊����、身份認(rèn)證模塊(6)���、授權(quán)管理模塊(7)之間相互通信連接��。
專(zhuān)利摘要本實(shí)用新型提供一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)�,包括網(wǎng)絡(luò)掃描模塊,其掃描在線主機(jī)的IP地址�、mac地址、主機(jī)名��、工作組等信息����,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)模塊�,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊�����;非法阻斷模塊�,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。這樣��,使用本發(fā)明可在保證網(wǎng)絡(luò)整體性能前提下����,實(shí)現(xiàn)對(duì)局域網(wǎng)主機(jī)的及時(shí)發(fā)現(xiàn)和阻斷,且不影響任何網(wǎng)絡(luò)流量和傳輸?shù)膰?guó)際標(biāo)準(zhǔn)�����。
文檔編號(hào)H04L12/24GK2819663SQ20052003924
公開(kāi)日2006年9月20日 申請(qǐng)日期2005年1月25日 優(yōu)先權(quán)日2005年1月25日
發(fā)明者覃明貴, 董文生, 周明, 苗舒, 李剛, 聞?chuàng)P, 佘彬, 徐培杰 申請(qǐng)人:上海寶信軟件股份有限公司