本發(fā)明涉及網(wǎng)絡(luò)準入控制技術(shù)領(lǐng)域，特別涉及一種旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)及方法。

背景技術(shù)：

信息技術(shù)的快速發(fā)展大力推動了計算機網(wǎng)絡(luò)與信息系統(tǒng)在政府及企事業(yè)單位的廣泛應(yīng)用，為辦公及生產(chǎn)建設(shè)的電子化、自動化、信息化提供了堅實保障。在政府專網(wǎng)(公安、檢察院、法院、政府、財稅、電力等領(lǐng)域)中網(wǎng)絡(luò)環(huán)境龐大而又復(fù)雜，接入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備是否安全可信，是否被允許接入網(wǎng)絡(luò)，成為信息安全迫切需要解決的問題。

目前主要有下面幾種網(wǎng)絡(luò)準入控制技術(shù)：ARP準入控制技術(shù)，通過發(fā)送ARP干擾包，制造IP沖突來實現(xiàn)網(wǎng)絡(luò)準入控制，不需要專門的硬件，實現(xiàn)成本很低。但如果終端安裝了ARP防火墻，就使ARP攻擊和欺騙不能起作用。同時由于實現(xiàn)原理的局限性，ARP準入控制常常會造成網(wǎng)絡(luò)阻塞，影響網(wǎng)絡(luò)正常運行。DHCP準入控制技術(shù)，具有適用范圍廣，兼容性強的特點，但如果配置靜態(tài)IP就可以繞過準入控制?；诮粨Q機聯(lián)動的準入控制技術(shù)，通過向交換機發(fā)送指令來控制網(wǎng)絡(luò)設(shè)備的接入，實現(xiàn)較為復(fù)雜，并且和交換機品牌型號密切相關(guān)，存在兼容性問題。802.1x準入控制技術(shù)，802.1x準入控制技術(shù)是交換機廠家推薦的準入控制技術(shù)，交換機在實現(xiàn)802.1x協(xié)議時，是以交換機端口為基礎(chǔ)實現(xiàn)的。當(dāng)沒有完成認證之前，交換機端口是處于關(guān)閉狀態(tài)，或被放在隔離VLAN中。只有當(dāng)認證通過后，交換機端口會打開，并重新將交換機端口重新放在不同的VLAN中。但當(dāng)802.1x交換機端口下掛二層交換機時，一旦有一臺終端通過802.1x認證后，端口就會打開，這就造成同接在二層交換機上的其它終端就可以不經(jīng)過認證就可以接入網(wǎng)絡(luò)。同時由于低端交換機和老舊交換機不支持802.1x協(xié)議，企業(yè)要實現(xiàn)全網(wǎng)準入控制必須先要升級或者購買新的交換機。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)及方法，目的在于解決上述現(xiàn)有的多種網(wǎng)絡(luò)準入控制技術(shù)面臨的問題。

為解決上述問題，本發(fā)明實施例提供一種旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)，包括終端設(shè)備、交換機、準入控制設(shè)備，所述終端設(shè)備與所述交換機建立會話鏈路，所述準入控制設(shè)備放置于所述交換機的鏡像口上，終端設(shè)備內(nèi)設(shè)有檢查模塊和通信模塊，所述檢查模塊用于對用戶信息和終端的安全情況進行檢查生成安全信號，所述通信模塊耦接所述檢查模塊，用于響應(yīng)所述安全信號生成前導(dǎo)包并建立終端設(shè)備和交換機的會話鏈路，所述準入控制設(shè)備內(nèi)設(shè)有校驗?zāi)K，所述校驗?zāi)K用于響應(yīng)所述前導(dǎo)包允許生成前導(dǎo)包的終端設(shè)備接入專網(wǎng)。

作為一種實施方式，所述準入控制設(shè)備還包括反饋模塊，所述反饋模塊耦接所述校驗?zāi)K，用于響應(yīng)所述校驗?zāi)K未響應(yīng)到前導(dǎo)包的校驗結(jié)果生成跳轉(zhuǎn)包，并將所述跳轉(zhuǎn)包發(fā)送至未生成前導(dǎo)包的終端設(shè)備。

作為一種實施方式，所述終端設(shè)備還包括引導(dǎo)模塊，所述引導(dǎo)模塊響應(yīng)所述跳轉(zhuǎn)包使終端設(shè)備跳轉(zhuǎn)至指定的網(wǎng)頁下載安裝通信模塊。

作為一種實施方式，還包括應(yīng)用服務(wù)端，用于使校驗通過的終端設(shè)備接入專網(wǎng)。

本發(fā)明實施例還提供一種旁路部署的網(wǎng)絡(luò)準入控制方法，包括以下步驟：

在終端電腦與交換機每次建立會話鏈路時，通過旁路部署的準入控制設(shè)備偵聽網(wǎng)絡(luò)中的數(shù)據(jù)；

檢測偵聽到的數(shù)據(jù)中是否包含前導(dǎo)包；

若偵聽到的數(shù)據(jù)中包含前導(dǎo)包，則允許傳輸該數(shù)據(jù)的終端電腦接入專網(wǎng)。

作為一種實施方式還包括以下步驟：

若偵聽到的數(shù)據(jù)中不包含前導(dǎo)包，則通過準入控制設(shè)備發(fā)送跳轉(zhuǎn)包至終端設(shè)備使終端設(shè)備跳轉(zhuǎn)至指定網(wǎng)頁下載安裝通信模塊，使安裝所述通信模塊的終端設(shè)備生成前導(dǎo)包。

作為一種實施方式，所述前導(dǎo)包的字段內(nèi)容包括數(shù)據(jù)長度、設(shè)備ID、服務(wù)器IP、本機IP地址、本機IP掩碼和區(qū)域編號。

作為一種實施方式，還包括以下步驟：

對用戶信息和終端設(shè)備的安全情況進行檢查，若檢查通過，則生成安全信號。

本發(fā)明相比于現(xiàn)有技術(shù)的有益效果在于：本發(fā)明的旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)及方法通過旁路部署到核心交換中，監(jiān)聽保護區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)流，并做連接跟蹤，對非法連接進行跳轉(zhuǎn)或阻斷；部署時不影響原有用戶網(wǎng)絡(luò)結(jié)構(gòu)，準入過程不會對網(wǎng)絡(luò)造成任何影響；準入控制設(shè)備宕機后，不影響用戶正常業(yè)務(wù)訪問。

附圖說明

圖1為本發(fā)明的旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)的拓撲結(jié)構(gòu)圖；

圖2為本發(fā)明的旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)的結(jié)構(gòu)連接圖；

圖3為本發(fā)明的旁路部署的網(wǎng)絡(luò)準入控制方法的流程圖。

附圖標(biāo)注：1、終端設(shè)備；11、檢查模塊；12、通信模塊；13、引導(dǎo)模塊；2、交換機；3、準入控制設(shè)備；31、校驗?zāi)K；32、反饋模塊；4、應(yīng)用服務(wù)端。

具體實施方式

以下結(jié)合附圖，對本發(fā)明上述的和另外的技術(shù)特征和優(yōu)點進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明的部分實施例，而不是全部實施例。

如圖1所示，本發(fā)明實施例提供一種旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)，包括終端設(shè)備1、交換機2、準入控制設(shè)備3和應(yīng)用服務(wù)端4，其中，若干終端設(shè)備1通過交換機2接入應(yīng)用服務(wù)端4，準入控制設(shè)備3以旁路部署方式放置于所述交換機2的鏡像口上，用以偵聽終端設(shè)備1上傳的數(shù)據(jù)，圖中帶有雙向箭頭的終端設(shè)備1為準入控制設(shè)備3校驗未通過的終端設(shè)備1，帶有單箭頭的終端設(shè)備1為準入控制設(shè)備3校驗通過的終端設(shè)備1。

如圖2所示，終端設(shè)備1中包括通信模塊12、檢查模塊11和引導(dǎo)模塊13，準入控制設(shè)備3包括校驗?zāi)K31和反饋模塊32，具體工作過程如下所示：檢查模塊11對用戶信息和終端的安全情況進行檢查，檢查通過后生成安全信號，通信模塊12響應(yīng)安全信號后生成前導(dǎo)包并建立終端設(shè)備1和交換機2的會話鏈路，將包含前導(dǎo)包的數(shù)據(jù)上傳至應(yīng)用服務(wù)端4，準入控制設(shè)備3偵聽終端設(shè)備1上傳的數(shù)據(jù)，校驗?zāi)K31校驗偵聽數(shù)據(jù)中的是否存在前導(dǎo)包，若存在前導(dǎo)包，則允許生成前導(dǎo)包的終端設(shè)備1接入專網(wǎng)；若不存在前導(dǎo)包，則通過反饋模塊32生成并發(fā)送跳轉(zhuǎn)包至未生成前導(dǎo)包的終端設(shè)備1，引導(dǎo)模塊13接收該跳轉(zhuǎn)包，從而控制終端設(shè)備1跳轉(zhuǎn)至指定的網(wǎng)頁，下載安裝通信模塊12，用于使該終端設(shè)備1生成前導(dǎo)包，從而使所有終端設(shè)備1接入專網(wǎng)。

如圖3所示，本發(fā)明的旁路部署的網(wǎng)絡(luò)準入控制方法，包括以下步驟：

S100：在終端電腦與交換機每次建立會話鏈路時，通過旁路部署的準入控制設(shè)備偵聽網(wǎng)絡(luò)中的數(shù)據(jù)；

S200：檢測偵聽到的數(shù)據(jù)中是否包含前導(dǎo)包；

S300：若偵聽到的數(shù)據(jù)中包含前導(dǎo)包，則允許傳輸該數(shù)據(jù)的終端電腦接入專網(wǎng)；

S400：若偵聽到的數(shù)據(jù)中不包含前導(dǎo)包，則通過準入控制設(shè)備發(fā)送跳轉(zhuǎn)包至終端設(shè)備使終端設(shè)備跳轉(zhuǎn)至指定網(wǎng)頁下載安裝通信模塊，使安裝所述通信模塊的終端設(shè)備生成前導(dǎo)包。

前導(dǎo)包的字段內(nèi)容包括數(shù)據(jù)長度、設(shè)備ID、服務(wù)器IP、本機IP地址、本機IP掩碼和區(qū)域編號。

作為一種實施方式，還可以在建立會話鏈路之前包括在以下步驟：對用戶信息和終端設(shè)備的安全情況進行檢查，若檢查通過，則生成安全信號。

本發(fā)明相比于現(xiàn)有技術(shù)的有益效果在于：本發(fā)明的旁路部署的網(wǎng)絡(luò)準入控制系統(tǒng)及方法通過旁路部署到核心交換中，監(jiān)聽保護區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)流，并做連接跟蹤，對非法連接進行跳轉(zhuǎn)或阻斷；部署時不影響原有用戶網(wǎng)絡(luò)結(jié)構(gòu)，準入過程不會對網(wǎng)絡(luò)造成任何影響；準入控制設(shè)備宕機后，不影響用戶正常業(yè)務(wù)訪問。

以上所述的具體實施例，對本發(fā)明的目的、技術(shù)方案和有益效果進行了進一步的詳細說明，應(yīng)當(dāng)理解，以上所述僅為本發(fā)明的具體實施例而已，并不用于限定本發(fā)明的保護范圍。特別指出，對于本領(lǐng)域技術(shù)人員來說，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。