本發(fā)明涉及網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)領(lǐng)域，特別涉及一種旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)及方法。

背景技術(shù)：

信息技術(shù)的快速發(fā)展大力推動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)在政府及企事業(yè)單位的廣泛應(yīng)用，為辦公及生產(chǎn)建設(shè)的電子化、自動(dòng)化、信息化提供了堅(jiān)實(shí)保障。在政府專網(wǎng)(公安、檢察院、法院、政府、財(cái)稅、電力等領(lǐng)域)中網(wǎng)絡(luò)環(huán)境龐大而又復(fù)雜，接入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備是否安全可信，是否被允許接入網(wǎng)絡(luò)，成為信息安全迫切需要解決的問題。

目前主要有下面幾種網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)：ARP準(zhǔn)入控制技術(shù)，通過發(fā)送ARP干擾包，制造IP沖突來實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，不需要專門的硬件，實(shí)現(xiàn)成本很低。但如果終端安裝了ARP防火墻，就使ARP攻擊和欺騙不能起作用。同時(shí)由于實(shí)現(xiàn)原理的局限性，ARP準(zhǔn)入控制常常會(huì)造成網(wǎng)絡(luò)阻塞，影響網(wǎng)絡(luò)正常運(yùn)行。DHCP準(zhǔn)入控制技術(shù)，具有適用范圍廣，兼容性強(qiáng)的特點(diǎn)，但如果配置靜態(tài)IP就可以繞過準(zhǔn)入控制?；诮粨Q機(jī)聯(lián)動(dòng)的準(zhǔn)入控制技術(shù)，通過向交換機(jī)發(fā)送指令來控制網(wǎng)絡(luò)設(shè)備的接入，實(shí)現(xiàn)較為復(fù)雜，并且和交換機(jī)品牌型號密切相關(guān)，存在兼容性問題。802.1x準(zhǔn)入控制技術(shù)，802.1x準(zhǔn)入控制技術(shù)是交換機(jī)廠家推薦的準(zhǔn)入控制技術(shù)，交換機(jī)在實(shí)現(xiàn)802.1x協(xié)議時(shí)，是以交換機(jī)端口為基礎(chǔ)實(shí)現(xiàn)的。當(dāng)沒有完成認(rèn)證之前，交換機(jī)端口是處于關(guān)閉狀態(tài)，或被放在隔離VLAN中。只有當(dāng)認(rèn)證通過后，交換機(jī)端口會(huì)打開，并重新將交換機(jī)端口重新放在不同的VLAN中。但當(dāng)802.1x交換機(jī)端口下掛二層交換機(jī)時(shí)，一旦有一臺(tái)終端通過802.1x認(rèn)證后，端口就會(huì)打開，這就造成同接在二層交換機(jī)上的其它終端就可以不經(jīng)過認(rèn)證就可以接入網(wǎng)絡(luò)。同時(shí)由于低端交換機(jī)和老舊交換機(jī)不支持802.1x協(xié)議，企業(yè)要實(shí)現(xiàn)全網(wǎng)準(zhǔn)入控制必須先要升級或者購買新的交換機(jī)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)及方法，目的在于解決上述現(xiàn)有的多種網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)面臨的問題。

為解決上述問題，本發(fā)明實(shí)施例提供一種旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，包括終端設(shè)備、交換機(jī)、準(zhǔn)入控制設(shè)備，所述終端設(shè)備與所述交換機(jī)建立會(huì)話鏈路，所述準(zhǔn)入控制設(shè)備放置于所述交換機(jī)的鏡像口上，終端設(shè)備內(nèi)設(shè)有檢查模塊和通信模塊，所述檢查模塊用于對用戶信息和終端的安全情況進(jìn)行檢查生成安全信號，所述通信模塊耦接所述檢查模塊，用于響應(yīng)所述安全信號生成前導(dǎo)包并建立終端設(shè)備和交換機(jī)的會(huì)話鏈路，所述準(zhǔn)入控制設(shè)備內(nèi)設(shè)有校驗(yàn)?zāi)K，所述校驗(yàn)?zāi)K用于響應(yīng)所述前導(dǎo)包允許生成前導(dǎo)包的終端設(shè)備接入專網(wǎng)。

作為一種實(shí)施方式，所述準(zhǔn)入控制設(shè)備還包括反饋模塊，所述反饋模塊耦接所述校驗(yàn)?zāi)K，用于響應(yīng)所述校驗(yàn)?zāi)K未響應(yīng)到前導(dǎo)包的校驗(yàn)結(jié)果生成跳轉(zhuǎn)包，并將所述跳轉(zhuǎn)包發(fā)送至未生成前導(dǎo)包的終端設(shè)備。

作為一種實(shí)施方式，所述終端設(shè)備還包括引導(dǎo)模塊，所述引導(dǎo)模塊響應(yīng)所述跳轉(zhuǎn)包使終端設(shè)備跳轉(zhuǎn)至指定的網(wǎng)頁下載安裝通信模塊。

作為一種實(shí)施方式，還包括應(yīng)用服務(wù)端，用于使校驗(yàn)通過的終端設(shè)備接入專網(wǎng)。

本發(fā)明實(shí)施例還提供一種旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制方法，包括以下步驟：

在終端電腦與交換機(jī)每次建立會(huì)話鏈路時(shí)，通過旁路部署的準(zhǔn)入控制設(shè)備偵聽網(wǎng)絡(luò)中的數(shù)據(jù)；

檢測偵聽到的數(shù)據(jù)中是否包含前導(dǎo)包；

若偵聽到的數(shù)據(jù)中包含前導(dǎo)包，則允許傳輸該數(shù)據(jù)的終端電腦接入專網(wǎng)。

作為一種實(shí)施方式還包括以下步驟：

若偵聽到的數(shù)據(jù)中不包含前導(dǎo)包，則通過準(zhǔn)入控制設(shè)備發(fā)送跳轉(zhuǎn)包至終端設(shè)備使終端設(shè)備跳轉(zhuǎn)至指定網(wǎng)頁下載安裝通信模塊，使安裝所述通信模塊的終端設(shè)備生成前導(dǎo)包。

作為一種實(shí)施方式，所述前導(dǎo)包的字段內(nèi)容包括數(shù)據(jù)長度、設(shè)備ID、服務(wù)器IP、本機(jī)IP地址、本機(jī)IP掩碼和區(qū)域編號。

作為一種實(shí)施方式，還包括以下步驟：

對用戶信息和終端設(shè)備的安全情況進(jìn)行檢查，若檢查通過，則生成安全信號。

本發(fā)明相比于現(xiàn)有技術(shù)的有益效果在于：本發(fā)明的旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)及方法通過旁路部署到核心交換中，監(jiān)聽保護(hù)區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)流，并做連接跟蹤，對非法連接進(jìn)行跳轉(zhuǎn)或阻斷；部署時(shí)不影響原有用戶網(wǎng)絡(luò)結(jié)構(gòu)，準(zhǔn)入過程不會(huì)對網(wǎng)絡(luò)造成任何影響；準(zhǔn)入控制設(shè)備宕機(jī)后，不影響用戶正常業(yè)務(wù)訪問。

附圖說明

圖1為本發(fā)明的旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖；

圖2為本發(fā)明的旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的結(jié)構(gòu)連接圖；

圖3為本發(fā)明的旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制方法的流程圖。

附圖標(biāo)注：1、終端設(shè)備；11、檢查模塊；12、通信模塊；13、引導(dǎo)模塊；2、交換機(jī)；3、準(zhǔn)入控制設(shè)備；31、校驗(yàn)?zāi)K；32、反饋模塊；4、應(yīng)用服務(wù)端。

具體實(shí)施方式

以下結(jié)合附圖，對本發(fā)明上述的和另外的技術(shù)特征和優(yōu)點(diǎn)進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明的部分實(shí)施例，而不是全部實(shí)施例。

如圖1所示，本發(fā)明實(shí)施例提供一種旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，包括終端設(shè)備1、交換機(jī)2、準(zhǔn)入控制設(shè)備3和應(yīng)用服務(wù)端4，其中，若干終端設(shè)備1通過交換機(jī)2接入應(yīng)用服務(wù)端4，準(zhǔn)入控制設(shè)備3以旁路部署方式放置于所述交換機(jī)2的鏡像口上，用以偵聽終端設(shè)備1上傳的數(shù)據(jù)，圖中帶有雙向箭頭的終端設(shè)備1為準(zhǔn)入控制設(shè)備3校驗(yàn)未通過的終端設(shè)備1，帶有單箭頭的終端設(shè)備1為準(zhǔn)入控制設(shè)備3校驗(yàn)通過的終端設(shè)備1。

如圖2所示，終端設(shè)備1中包括通信模塊12、檢查模塊11和引導(dǎo)模塊13，準(zhǔn)入控制設(shè)備3包括校驗(yàn)?zāi)K31和反饋模塊32，具體工作過程如下所示：檢查模塊11對用戶信息和終端的安全情況進(jìn)行檢查，檢查通過后生成安全信號，通信模塊12響應(yīng)安全信號后生成前導(dǎo)包并建立終端設(shè)備1和交換機(jī)2的會(huì)話鏈路，將包含前導(dǎo)包的數(shù)據(jù)上傳至應(yīng)用服務(wù)端4，準(zhǔn)入控制設(shè)備3偵聽終端設(shè)備1上傳的數(shù)據(jù)，校驗(yàn)?zāi)K31校驗(yàn)偵聽數(shù)據(jù)中的是否存在前導(dǎo)包，若存在前導(dǎo)包，則允許生成前導(dǎo)包的終端設(shè)備1接入專網(wǎng)；若不存在前導(dǎo)包，則通過反饋模塊32生成并發(fā)送跳轉(zhuǎn)包至未生成前導(dǎo)包的終端設(shè)備1，引導(dǎo)模塊13接收該跳轉(zhuǎn)包，從而控制終端設(shè)備1跳轉(zhuǎn)至指定的網(wǎng)頁，下載安裝通信模塊12，用于使該終端設(shè)備1生成前導(dǎo)包，從而使所有終端設(shè)備1接入專網(wǎng)。

如圖3所示，本發(fā)明的旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制方法，包括以下步驟：

S100：在終端電腦與交換機(jī)每次建立會(huì)話鏈路時(shí)，通過旁路部署的準(zhǔn)入控制設(shè)備偵聽網(wǎng)絡(luò)中的數(shù)據(jù)；

S200：檢測偵聽到的數(shù)據(jù)中是否包含前導(dǎo)包；

S300：若偵聽到的數(shù)據(jù)中包含前導(dǎo)包，則允許傳輸該數(shù)據(jù)的終端電腦接入專網(wǎng)；

S400：若偵聽到的數(shù)據(jù)中不包含前導(dǎo)包，則通過準(zhǔn)入控制設(shè)備發(fā)送跳轉(zhuǎn)包至終端設(shè)備使終端設(shè)備跳轉(zhuǎn)至指定網(wǎng)頁下載安裝通信模塊，使安裝所述通信模塊的終端設(shè)備生成前導(dǎo)包。

前導(dǎo)包的字段內(nèi)容包括數(shù)據(jù)長度、設(shè)備ID、服務(wù)器IP、本機(jī)IP地址、本機(jī)IP掩碼和區(qū)域編號。

作為一種實(shí)施方式，還可以在建立會(huì)話鏈路之前包括在以下步驟：對用戶信息和終端設(shè)備的安全情況進(jìn)行檢查，若檢查通過，則生成安全信號。

本發(fā)明相比于現(xiàn)有技術(shù)的有益效果在于：本發(fā)明的旁路部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)及方法通過旁路部署到核心交換中，監(jiān)聽保護(hù)區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)流，并做連接跟蹤，對非法連接進(jìn)行跳轉(zhuǎn)或阻斷；部署時(shí)不影響原有用戶網(wǎng)絡(luò)結(jié)構(gòu)，準(zhǔn)入過程不會(huì)對網(wǎng)絡(luò)造成任何影響；準(zhǔn)入控制設(shè)備宕機(jī)后，不影響用戶正常業(yè)務(wù)訪問。

以上所述的具體實(shí)施例，對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步的詳細(xì)說明，應(yīng)當(dāng)理解，以上所述僅為本發(fā)明的具體實(shí)施例而已，并不用于限定本發(fā)明的保護(hù)范圍。特別指出，對于本領(lǐng)域技術(shù)人員來說，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。