專(zhuān)利名稱(chēng):一種管理內(nèi)網(wǎng)主機(jī)的方法����、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種管理內(nèi)網(wǎng)主機(jī)的方法、裝 置及系統(tǒng)���。
背景技術(shù):
目前���,因特網(wǎng)的發(fā)展非常迅速,因特網(wǎng)的使用人數(shù)也逐年增加���,而因特 網(wǎng)IP地址也隨著使用人數(shù)的增加逐步呈現(xiàn)出稀缺的狀態(tài)��。為了解決此問(wèn)題����, 各種地址復(fù)用技術(shù)應(yīng)運(yùn)而生。傳統(tǒng)的路由設(shè)備越來(lái)越多的集成了這種地址復(fù) 用技術(shù)以滿足客戶(hù)的需求��,通過(guò)一個(gè)公共IP地址���,經(jīng)過(guò)設(shè)備處理��,映射成 一個(gè)私有內(nèi)網(wǎng)���,供多個(gè)主機(jī)上網(wǎng)已愈來(lái)愈普遍。比如���,家庭用戶(hù)向電信服務(wù) 商申請(qǐng)開(kāi)通一個(gè)公網(wǎng)IP,然后購(gòu)買(mǎi)一個(gè)小型路由器�����,通過(guò)該路由器將公網(wǎng) IP映射成一個(gè)私網(wǎng)�,這樣家里的各個(gè)終端計(jì)算積4皮配置成私網(wǎng)IP,就可以 共享上網(wǎng)了�。
現(xiàn)有的技術(shù)方案一般是由電信服務(wù)提供商在接入端進(jìn)行控制。在用戶(hù)申 請(qǐng)公網(wǎng)IP時(shí)�����,電信服務(wù)提供商不但向用戶(hù)提供撥號(hào)設(shè)備、撥號(hào)的用戶(hù)名和 撥號(hào)的密碼�,同時(shí)還指定客戶(hù)下載并使用專(zhuān)用的撥號(hào)程序。這種撥號(hào)程序屏
蔽掉Windows系統(tǒng)默認(rèn)的撥號(hào)程序�,控制系統(tǒng)的撥號(hào)過(guò)程。
在實(shí)現(xiàn)本發(fā)明的過(guò)程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問(wèn)題在用 戶(hù)主機(jī)需要安裝客戶(hù)端����,增加了人力和產(chǎn)品本身的成本。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種內(nèi)網(wǎng)管理的方法�����、裝置及系統(tǒng)�����,不需要在用戶(hù)主 機(jī)上安裝客戶(hù)端即可實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)的識(shí)別和管理�,節(jié)約了人力和產(chǎn)品本身的 成本。
5本發(fā)明實(shí)施方式提供一種管理內(nèi)網(wǎng)主機(jī)的方法�,包括 從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話,判斷所述會(huì)話是否經(jīng)過(guò)驗(yàn)證; 如果是未驗(yàn)證會(huì)話�,將所述會(huì)話重新定向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè),
獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信息����;
根據(jù)所述主機(jī)的WMI信息判斷主機(jī)的合法性,如果是合法主機(jī)則允許
其網(wǎng)絡(luò)連接���,否則終止其網(wǎng)絡(luò)連接���。
本發(fā)明實(shí)施方式還提供一種管理內(nèi)網(wǎng)主機(jī)的裝置,包括
會(huì)話獲取模塊��,用于從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話���;
第 一判斷模塊���,用于判斷所述HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證;
第一會(huì)話重定向模塊�����,用于如果是未經(jīng)過(guò)驗(yàn)證的HTTP會(huì)話�,將其重定
向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)���,以獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信 自
第二判斷模塊,用于根據(jù)所述主機(jī)的WMI信息判斷主機(jī)的合法性�����,并 將判斷結(jié)果發(fā)送給連接控制模塊���;
連接控制模塊���,接收第二判斷模塊的判斷結(jié)果,控制主機(jī)的網(wǎng)絡(luò)連接�����。 本發(fā)明實(shí)施方式還提供一種管理內(nèi)網(wǎng)主機(jī)的系統(tǒng)���,包括 管理內(nèi)網(wǎng)主機(jī)的裝置和配置庫(kù);
所述配置庫(kù)����,用于提供策略信息,所述配置庫(kù)的策略信息包括將用戶(hù)主 機(jī)的WMI信息是否符合合法主機(jī)的WMI信息作為判斷主機(jī)的合法性的依 據(jù)�;
所述管理內(nèi)網(wǎng)主機(jī)的裝置包括
會(huì)話獲取模塊,用于從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話; 第一判斷模塊��,用于判斷所述HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證���; 第一會(huì)話重定向模塊�����,用于如果是未經(jīng)過(guò)驗(yàn)證的HTTP會(huì)話��,將其重定 向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)����,以獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信第二判斷模塊��,用于根據(jù)所述配置庫(kù)的策略信息及所述主機(jī)的WMI信
息判斷主機(jī)的合法性��;
連接控制模塊���,用于根據(jù)所述第二判斷模塊的判斷結(jié)果控制主機(jī)的網(wǎng)絡(luò) 連接��。
本發(fā)明實(shí)施例通過(guò)將未驗(yàn)證的會(huì)話重新定向到一個(gè)嵌有WMI驗(yàn)證信息 的網(wǎng)頁(yè)以獲取請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信息���,才艮據(jù)互獲取的WMI信 息判斷請(qǐng)求HTTP會(huì)話的主機(jī)的合法性�����,從而不需要在主機(jī)上安裝客戶(hù)端也 可實(shí)現(xiàn)內(nèi)網(wǎng)主^^的管理����,節(jié)約了人力和成本��。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案�,下面將對(duì)實(shí)施例描述中 所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是 本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng) 性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。
圖1是本發(fā)明實(shí)施例一管理內(nèi)網(wǎng)主機(jī)的方法的流程示意圖2是本發(fā)明實(shí)施例二管理內(nèi)網(wǎng)主機(jī)的方法的流程示意圖3是本發(fā)明實(shí)施例管理內(nèi)網(wǎng)主機(jī)的裝置的結(jié)構(gòu)示意圖4是本發(fā)明實(shí)施例管理內(nèi)網(wǎng)主機(jī)的裝置的連接控制模塊的結(jié)果示意圖5是本發(fā)明實(shí)施例管理內(nèi)網(wǎng)主機(jī)的系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí) 施方式��,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施方 式僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明����。
請(qǐng)參考圖1���,為本發(fā)明實(shí)施例一管理內(nèi)網(wǎng)主機(jī)的方法的流程示意圖����,其 步驟具體包括
步驟S10:獲得HTTP會(huì)話��;具體實(shí)現(xiàn)時(shí)可從網(wǎng)絡(luò)數(shù)據(jù)流中分析出 一個(gè)HTTP會(huì)話��。
步驟S11:判斷所述獲得的HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證�,具體的�����,將所述 HTTP會(huì)話進(jìn)行拆包�,所獲得的數(shù)據(jù)包包括目的IP地址����、源IP地址、凈載 數(shù)據(jù)等����,根據(jù)這些信息可以判斷出該HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證。
步驟S12:如果是未經(jīng)過(guò)驗(yàn)證的會(huì)話��,則進(jìn)行會(huì)話重定向�����,將所述HTTP 會(huì)話重新定向到一個(gè)嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)�。具體的,對(duì)于HTTP會(huì)話 的重定向是基于對(duì)TCP數(shù)據(jù)包的截取和修改實(shí)現(xiàn)的�����。由于HTTP協(xié)議是建 立在TCP協(xié)議封裝基礎(chǔ)上的���,因此一個(gè)HTTP會(huì)話的建立必然要經(jīng)過(guò)TCP 會(huì)話的建立��,而TCP會(huì)話建立第一步就是要進(jìn)行三次握手����。當(dāng)進(jìn)行TCP握 手的時(shí)候��,用戶(hù)數(shù)據(jù)包中真正的目的地址是A,通過(guò)對(duì)三次握手過(guò)程的控制�����, 在獲取用戶(hù)的數(shù)據(jù)包后�,修改數(shù)據(jù)包中的目的地址為B ,在完成此過(guò)程后���, 用戶(hù)的網(wǎng)絡(luò)訪問(wèn)就被定向到目的地址B 了 ����,這里的地址B就是被用來(lái)進(jìn)行 主機(jī)識(shí)別和內(nèi)網(wǎng)管理的地址����,該地址包含了若干網(wǎng)頁(yè),網(wǎng)頁(yè)中嵌入了 WMI 腳本����。WMI是Windows操作系統(tǒng)提供的一種服務(wù)�,利用該服務(wù)可獲得計(jì)算 機(jī)的主板��、BIOS���、磁盤(pán)�����、網(wǎng)卡����、登錄用戶(hù)��、操作系統(tǒng)等用戶(hù)主機(jī)相關(guān)的WMI 信息���。
步驟S13:內(nèi)網(wǎng)主機(jī)識(shí)別�;通過(guò)步驟S12將HTTP會(huì)話重定向到B地址��, 獲得用戶(hù)主機(jī)的WMI信息�����,通過(guò)這些基本信息可以快速實(shí)現(xiàn)對(duì)用戶(hù)主機(jī)的 識(shí)別�。
步驟S14:通過(guò)對(duì)用戶(hù)主機(jī)的識(shí)別判斷該主機(jī)是否是合法主機(jī),如果是 則進(jìn)行步驟S15 ���,否則進(jìn)行步驟S16;
步驟S15:允許合法主機(jī)進(jìn)行網(wǎng)絡(luò)連接��;
步驟S16:如果是非法主機(jī)則終止其網(wǎng)絡(luò)連接��。
本發(fā)明實(shí)施例通過(guò)網(wǎng)絡(luò)數(shù)據(jù)流的分析���,將沒(méi)有經(jīng)過(guò)驗(yàn)證的會(huì)話重定向到 嵌入WMI的網(wǎng)頁(yè),獲得用戶(hù)主機(jī)的WMI信息����,當(dāng) 一個(gè)公網(wǎng)IP被多個(gè)內(nèi)網(wǎng) 主初 使用時(shí),可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主^=幾的識(shí)別和管理��。請(qǐng)參考圖2,為本發(fā)明實(shí)施例二管理內(nèi)網(wǎng)主機(jī)的方法的流程示意圖�����,其
步驟具體包括
步驟S20:獲得HTTP會(huì)話���;具體實(shí)現(xiàn)時(shí)可從網(wǎng)絡(luò)數(shù)據(jù)流中分析出 一 個(gè) HTTP會(huì)話��。
步驟S21:判斷所述獲得的HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證�,具體的,將所述 HTTP會(huì)話進(jìn)行拆包��,所獲得的數(shù)據(jù)包包括目的IP地址�����、源IP地址����、凈載 數(shù)據(jù)等,具體由哪部分判斷由配置庫(kù)設(shè)定��,本發(fā)明實(shí)施例在配置庫(kù)設(shè)定以源 IP地址判斷該HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證����,對(duì)于已經(jīng)驗(yàn)證過(guò)的HTTP會(huì)話,其 源IP地址在緩存中有記錄����,所以通過(guò)查找緩存中的記錄可知所述HTTP會(huì) 話是否經(jīng)過(guò)驗(yàn)證。
步驟S22:如果是未經(jīng)過(guò)驗(yàn)證的會(huì)話�,則進(jìn)行會(huì)話重定向����,將所述HTTP 會(huì)話重新定向到一個(gè)嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)��。具體的����,對(duì)于HTTP會(huì)話 的重定向是基于對(duì)TCP數(shù)據(jù)包的截取和修改實(shí)現(xiàn)的�����。由于HTTP協(xié)議是建 立在TCP協(xié)議封裝基礎(chǔ)上的�,因此一個(gè)HTTP會(huì)話的建立必然要經(jīng)過(guò)TCP 會(huì)話的建立,而TCP會(huì)話建立第一步就是要進(jìn)行三次握手���。當(dāng)進(jìn)行TCP握 手的時(shí)候��,用戶(hù)數(shù)據(jù)包中真正的目的地址是A�����,通過(guò)對(duì)三次握手過(guò)程的控制��, 在獲取用戶(hù)的數(shù)據(jù)包后����,修改數(shù)據(jù)包中的目的地址為B ,在完成此過(guò)程后���, 用戶(hù)的網(wǎng)絡(luò)訪問(wèn)就-故定向到目的地址B 了 ����,這里的地址B就是被用來(lái)進(jìn)行 主機(jī)識(shí)別和內(nèi)網(wǎng)管理的地址�����,該地址包含了若干網(wǎng)頁(yè)��,網(wǎng)頁(yè)中嵌入了 WMI 腳本�,WMI是一種COM組件,所以可以被腳本(如VBSCRIPT )訪問(wèn)并被 內(nèi)嵌到網(wǎng)頁(yè)中�����。并且����,WMI是Windows操作系統(tǒng)提供的一種服務(wù),利用該 服務(wù)可獲得計(jì)算機(jī)的主板�����、BIOS、磁盤(pán)����、網(wǎng)卡、登錄用戶(hù)���、操作系統(tǒng)等用 戶(hù)主機(jī)相關(guān)的WMI信息�。
如果是已經(jīng)經(jīng)過(guò)驗(yàn)證的HTTP會(huì)話����,并且如果其用戶(hù)是合法的內(nèi)網(wǎng)主機(jī) 用戶(hù)�,直接允許其訪問(wèn)網(wǎng)絡(luò),不需要再進(jìn)行會(huì)話重定向的操作��。
步驟S23:讀取配置庫(kù)的策略信息��;所述配置庫(kù)的策略信息包括配置項(xiàng)
9的定義���,所述配置項(xiàng)的定義���,用于確定所述內(nèi)網(wǎng)主機(jī)是否是合法主機(jī)的判定 規(guī)則�。所述配置項(xiàng)可自由定義����,這主要取決于所需實(shí)現(xiàn)的增值服務(wù)(所述增
值服務(wù)并不是必須的), 一般可供參考的配置項(xiàng)有WMI信息����,即指定哪
些主才幾可訪問(wèn)網(wǎng)癥各,哪些主才幾不可以訪問(wèn)網(wǎng)全各�����,以及同時(shí)可進(jìn)4亍網(wǎng)絡(luò)訪問(wèn)的
主機(jī)數(shù)目����;IP與WMI的綁定信息,即指定哪些被綁定IP的WMI主機(jī)信息 可進(jìn)行網(wǎng)絡(luò)訪問(wèn)�����,本發(fā)明實(shí)施例將配置庫(kù)中的配置項(xiàng)定義為用戶(hù)主機(jī)的 WMI信息�����,即是否符合合法主機(jī)的WMI信息將作為步驟S24中主機(jī)合法性 的判斷依據(jù)�����。
步驟S24:判斷主機(jī)的合法性;根據(jù)所述配置庫(kù)的策略信息確定的合法 主機(jī)的判定規(guī)則��,將所述主機(jī)的WMI信息與合法主機(jī)的WMI信息進(jìn)行比 較以判斷所述主機(jī)的合法性��。通過(guò)步驟S23 了解到配置庫(kù)的策略信息����,即, 將配置庫(kù)中的配置項(xiàng)定義為用戶(hù)主機(jī)的WMI信息�。將步驟S22中獲得的用 戶(hù)主機(jī)的WMI信息,與配置項(xiàng)的定義進(jìn)行比較�����,如果用戶(hù)主機(jī)的WMI信 息能夠符合配置項(xiàng)的定義說(shuō)明該用戶(hù)為合法主機(jī)�����,則執(zhí)行步驟S25�,否則是 非法主機(jī)���,則執(zhí)行步驟S27���。
步驟S25:會(huì)話重定向����;如果是合法主^f幾����,將所述HTTP會(huì)話從目的地 址B重定向到目的地址A,即���,將所述HTTP會(huì)話/人嵌有WMI驗(yàn)證信息的 網(wǎng)頁(yè)還原到原請(qǐng)求連接的網(wǎng)頁(yè)���,由此,合法主機(jī)用戶(hù)將順利完成網(wǎng)絡(luò)訪問(wèn)���。
步驟S26:將上述合法主機(jī)請(qǐng)求的HTTP會(huì)話加入緩存��,標(biāo)識(shí)為已驗(yàn)證 會(huì)話�����,以便下次該主機(jī)再次請(qǐng)求HTTP會(huì)話��,將不再進(jìn)行步驟S22-步驟S26�。
步驟S27:終止網(wǎng)絡(luò)連接;如果通過(guò)步驟S24判斷出所述請(qǐng)求HTTP會(huì) 話的主機(jī)為非法主機(jī)���,將不再將其從目的地址B重定向到目的地址A��,終止 其網(wǎng)絡(luò)連接�����。
步驟S28:系統(tǒng)管理�����;對(duì)于合法主機(jī)還可以提供一些增值服務(wù)以利于統(tǒng) 一管理�,如流量控制����、URL過(guò)濾等。
本發(fā)明實(shí)施例本發(fā)明實(shí)施例通過(guò)網(wǎng)絡(luò)數(shù)據(jù)流的分析��,將沒(méi)有經(jīng)過(guò)驗(yàn)證的會(huì)話重定向到嵌入WMI的網(wǎng)頁(yè)����,獲得用戶(hù)主機(jī)的WMI信息,當(dāng) 一個(gè)公網(wǎng) IP被多個(gè)內(nèi)網(wǎng)主機(jī)使用時(shí)�,可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主機(jī)的識(shí)別和管理。并且步驟
S22和步驟S25的會(huì)話重定向���,雖然改變了用戶(hù)正常的網(wǎng)絡(luò)訪問(wèn)�����,但這種改 變對(duì)用戶(hù)來(lái)說(shuō)是透明的�,也就是說(shuō)是在用戶(hù)不察覺(jué)的情況下進(jìn)行的�����,不會(huì)對(duì) 用戶(hù)的使用感受造成任何影響��。
請(qǐng)參考圖3���,為本發(fā)明實(shí)施例管理內(nèi)網(wǎng)主機(jī)的裝置的結(jié)構(gòu)示意圖��,所述 管理內(nèi)網(wǎng)主機(jī)的裝置包括會(huì)話獲取模塊30����、第一判斷模塊31�、第一會(huì)話 重定向模塊32、策略信息獲取模塊33、第二判斷模塊34�����、標(biāo)識(shí)模塊36和 連接控制模塊37����。
所述會(huì)話獲取模塊30,用于從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話。 所述第一判斷模塊31,用于判斷所述獲得的HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證�����, 具體的�����,將所述HTTP會(huì)話進(jìn)行拆包����,所獲得的數(shù)據(jù)包包括目的IP地址、 源IP地址��、凈載數(shù)據(jù)等��,具體由哪部分判斷由策略信息獲取模塊33獲取的 配置庫(kù)的策略信息決定�,本發(fā)明實(shí)施例本發(fā)明實(shí)施例在配置庫(kù)中設(shè)定以源IP 地址判斷該HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證,對(duì)于已經(jīng)驗(yàn)證過(guò)的HTTP會(huì)話�����,其源 IP地址在緩存中有記錄��,所以通過(guò)查找緩存中的記錄可知所述HTTP會(huì)話是 否經(jīng)過(guò)-險(xiǎn)i正����。
如果所述HTTP會(huì)話沒(méi)有經(jīng)過(guò)驗(yàn)證,則將判斷結(jié)果發(fā)送給所述第一會(huì)話 重定向模塊32��,如果是已經(jīng)經(jīng)過(guò)驗(yàn)證的會(huì)話則不需要將判斷結(jié)果發(fā)送給所 述第一會(huì)話重定向模塊32�����。
所述第一會(huì)話重定向模塊32����,用于接收所述第一判斷模塊的判斷結(jié)果, 如果是未經(jīng)過(guò)驗(yàn)證的會(huì)話�����,進(jìn)行會(huì)話重定向��,將所述HTTP會(huì)話重新定向到 一個(gè)嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè),具體的����,對(duì)于HTTP會(huì)話的重定向是基于 對(duì)TCP數(shù)據(jù)包的截取和〗務(wù)改實(shí)現(xiàn)的。由于HTTP協(xié)議是建立在TCP協(xié)議封 裝基礎(chǔ)上的���,因此一個(gè)HTTP會(huì)話的建立必然要經(jīng)過(guò)TCP會(huì)話的建立���,而 TCP會(huì)話建立第一步就是要進(jìn)行三次握手。當(dāng)進(jìn)行TCP握手的時(shí)候���,用戶(hù)數(shù)據(jù)包中真正的目的地址是A,通過(guò)對(duì)三次握手過(guò)程的控制�����,在獲取用戶(hù)的 數(shù)據(jù)包后���,修改數(shù)據(jù)包中的目的地址為B ,在完成此過(guò)程后,用戶(hù)的網(wǎng)絡(luò)
訪問(wèn)就^皮定向到目的地址B 了 ���,這里的地址B就是被用來(lái)進(jìn)行主機(jī)識(shí)別和 內(nèi)網(wǎng)管理的地址�,該地址包含了若干網(wǎng)頁(yè)���,網(wǎng)頁(yè)中嵌入了WMI腳本�,WMI 是一種COM組件,所以可以被腳本(如VBSCRIPT )訪問(wèn)并被內(nèi)嵌到網(wǎng)頁(yè) 中��。并且���,WMI是Windows操作系統(tǒng)提供的一種服務(wù),利用該服務(wù)可獲得 計(jì)算機(jī)的主板�、BIOS、磁盤(pán)���、網(wǎng)卡�����、登錄用戶(hù)��、操作系統(tǒng)等計(jì)算機(jī)相關(guān)的
4呂息�����。
所述策略信息獲取模塊33�,用于獲取配置庫(kù)的策略信息��,所述配置庫(kù) 的策略信息包括配置項(xiàng)的定義,本發(fā)明實(shí)施例將配置項(xiàng)定義為用戶(hù)主機(jī)的 WMI信息�����,即是否符合合法主機(jī)的WMI信息將作為第二判斷模塊34的判 斷依據(jù)����。
所述第二判斷模塊34,用于判斷主機(jī)的合法性,根據(jù)所述策略信息獲 取模塊33確定的判斷依據(jù)�����,將所述第一會(huì)話重定向模塊32中獲取的用戶(hù)的 WMI信息與合法主機(jī)的WMI信息進(jìn)行比較��,如果用戶(hù)的WMI信息能夠符 合所述合法主^L的WMI信息說(shuō)明該用戶(hù)為合法主機(jī)����,將所述用戶(hù)主機(jī)是合 法主機(jī)的判斷結(jié)果發(fā)送給第二會(huì)話重定向模塊35,如果所述用戶(hù)的WMI信 息不符合所述合法主機(jī)的WMI信息則所述用戶(hù)主機(jī)為非法主機(jī),將所述用 戶(hù)主機(jī)是非法主機(jī)的判斷結(jié)果發(fā)送給連接控制模塊37�。
所述連接控制模塊37用于接收第二判斷模塊34的判斷結(jié)果,對(duì)用戶(hù)主 機(jī)的網(wǎng)絡(luò)連接進(jìn)行控制�,包括第二會(huì)話重定向單元371和網(wǎng)絡(luò)連接終止單 元372。
所述第二會(huì)話重定向單元371���,用于如果所述第二判斷模塊34判斷出 所述用戶(hù)主才幾是合法主機(jī)��,則將所述HTTP會(huì)話從目的地址B重定向到目的 地址A���,即��,將所述HTTP會(huì)話從嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)還原到原請(qǐng)求 連接的網(wǎng)頁(yè)���,由此�,合法主才幾用戶(hù)將順利完成網(wǎng)絡(luò)訪問(wèn)。
12所述網(wǎng)絡(luò)連接終止模塊372,用于如果所迷第二判斷模塊34判斷出所 述用戶(hù)主機(jī)是非法主機(jī)���,終止其網(wǎng)絡(luò)連接�。
所述標(biāo)識(shí)模塊36����,用于將上述合法主機(jī)請(qǐng)求的HTTP會(huì)話加入緩存, 標(biāo)識(shí)為已-瞼ii會(huì)"^��。
本發(fā)明實(shí)施例通過(guò)第一會(huì)話重定向模塊32將所述HTTP會(huì)話重新定向 到 一個(gè)嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)���,然后利用第二判斷模塊34進(jìn)行內(nèi)網(wǎng)主機(jī) 的識(shí)別���,如果是合法主機(jī)則通過(guò)第二會(huì)話重定向單元371還原到原目的地 址�,否則利用網(wǎng)絡(luò)連接終止單元372終止其網(wǎng)絡(luò)連接�,合理利用了旁路設(shè)備 分析網(wǎng)絡(luò)數(shù)據(jù)流,不需要在用戶(hù)主機(jī)上安裝客戶(hù)端即可實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)的識(shí)別 和管理���,節(jié)約了人力和產(chǎn)品本身的成本,并且當(dāng)一個(gè)公網(wǎng)IP被多個(gè)內(nèi)網(wǎng)主 機(jī)使用時(shí)�����,也可以對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行識(shí)別�����。
在具體實(shí)現(xiàn)中���,所述第一判斷模塊31和第二判斷模塊34也可以根據(jù)其 它信息進(jìn)行判斷�,本發(fā)明實(shí)施例只是用來(lái)舉例說(shuō)明���,以解釋本發(fā)明���,并不用 于限定本發(fā)明。
請(qǐng)參考圖5,為本發(fā)明實(shí)施例管理內(nèi)網(wǎng)主機(jī)的系統(tǒng)的結(jié)構(gòu)示意圖�,所述 管理內(nèi)網(wǎng)主沖幾的系統(tǒng)包括管理內(nèi)網(wǎng)主機(jī)的裝置41和配置庫(kù)42。
所述管理內(nèi)網(wǎng)主^/L的裝置41���,用于對(duì)內(nèi)網(wǎng)主才幾的識(shí)別和管理�����,如圖3 所示���,所述管理內(nèi)網(wǎng)主機(jī)的裝置41包括會(huì)話獲取模塊30、第一判斷模塊31��、 第一會(huì)話重定向模塊32��、策略信息獲取模塊33�����、第二判斷模塊34�����、標(biāo)識(shí)模 塊36和網(wǎng)絡(luò)連接終止模塊37���,具體模塊的工作與上述實(shí)施例類(lèi)似�,在此不 再贅述�����;
所述配置庫(kù)42,用于提供策略信息��;所述配置庫(kù)的策略信息包括配置 項(xiàng)的定義�,所述配置項(xiàng)的定義,用于確定所述內(nèi)網(wǎng)主機(jī)是否是合法主機(jī)的判 定規(guī)則���。通過(guò)讀取配置庫(kù)了解其中配置項(xiàng)的定義�����,從而判斷主機(jī)的合法性�。 配置庫(kù)中的配置項(xiàng)可自由定義�����,這主要取決于所需實(shí)現(xiàn)的增值服務(wù)(所述增 值服務(wù)并不是必須的)��, 一般可供參考的配置項(xiàng)有WMI信息���,即指定哪些主機(jī)可訪問(wèn)網(wǎng)絡(luò)���,哪些不可以����,以及同時(shí)可進(jìn)行網(wǎng)絡(luò)訪問(wèn)的主機(jī)數(shù)目�����;IP與WMI的綁定信息�����,即指定哪些被綁定IP的WMI主機(jī)信息可進(jìn)行網(wǎng)絡(luò)訪 問(wèn)等�����。本發(fā)明實(shí)施例將配置庫(kù)中的配置項(xiàng)定義為用戶(hù)主機(jī)的WMI信息���,即 是否符合合法主機(jī)的WMI信息將作為步驟S24中主機(jī)合法性的判斷依據(jù)。所述配置庫(kù)42的策略信息是通過(guò)管理內(nèi)網(wǎng)主機(jī)的裝置41中策略信息獲 取模塊33獲得的����。本發(fā)明實(shí)施例通過(guò)管理內(nèi)網(wǎng)主機(jī)的裝置41中的第一會(huì)話重定向模塊32 將所述HTTP會(huì)話重新定向到一個(gè)嵌有WMI -瞼證信息的網(wǎng)頁(yè),并通過(guò)策略 信息獲取模塊33獲取配置庫(kù)42的策略信息,然后第二判斷模塊34根據(jù)所 述策略信息進(jìn)行內(nèi)網(wǎng)主機(jī)的識(shí)別���,如果是合法主機(jī)則通過(guò)第二會(huì)話重定向模 塊35還原到原目的地址���,可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主才幾的識(shí)別和管理,并且重定向 雖然改變了用戶(hù)正常的網(wǎng)絡(luò)訪問(wèn)���,但這種改變對(duì)用戶(hù)來(lái)說(shuō)是透明的��,也就是 說(shuō)是在用戶(hù)不察覺(jué)的情況下進(jìn)行的��,不會(huì)對(duì)用戶(hù)的使用感受造成任何影響��。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步 驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成���,所述程序可以存儲(chǔ)于一計(jì)算機(jī) 可讀取存儲(chǔ)介質(zhì)中,所述存儲(chǔ)介質(zhì)為ROM/RAM���、磁碟�����、光盤(pán)等�。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局 限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)��,可輕易 想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)���。因此����,本發(fā)明的保護(hù) 范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)���。
權(quán)利要求
1���、一種管理內(nèi)網(wǎng)主機(jī)的方法,其特征在于�,包括從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話,判斷所述會(huì)話是否經(jīng)過(guò)驗(yàn)證�����;如果是未驗(yàn)證會(huì)話��,將所述會(huì)話重新定向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)��,獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信息����;根據(jù)所述主機(jī)的WMI信息判斷主機(jī)的合法性,如果是合法主機(jī)則允許其網(wǎng)絡(luò)連接���,否則終止其網(wǎng)絡(luò)連接����。
2�、 如權(quán)利要求1所述的方法,其特征在于所述判斷所述會(huì)話是否經(jīng) 過(guò)驗(yàn)證根據(jù)配置庫(kù)的設(shè)定進(jìn)行判斷����。
3、 如權(quán)利要求2所述的方法��,其特征在于所述配置庫(kù)的設(shè)定包括以 HTTP會(huì)話的源IP地址判斷所述HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證�。
4、 如權(quán)利要求l所述的方法���,其特征在于所述根據(jù)所述主機(jī)的WMI 信息判斷主機(jī)的合法性之前還包括步驟讀取配置庫(kù)的策略信息���,所述配置 庫(kù)的策略信息包括將用戶(hù)主機(jī)的WMI信息是否符合合法主機(jī)的WMI信息 作為判斷主機(jī)的合法性的依據(jù)�����。
5�、 如權(quán)利要求1所述的方法����,其特征在于所述步驟根據(jù)所述主機(jī)的 WMI信息判斷主機(jī)的合法性,如果是合法主機(jī)則允許其網(wǎng)絡(luò)連接后����,還包 括步驟將所述嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)重定向到原請(qǐng)求HTTP會(huì)話的網(wǎng) 頁(yè),并且將所述會(huì)話標(biāo)識(shí)為已驗(yàn)證會(huì)話���。
6�����、 一種管理內(nèi)網(wǎng)主機(jī)的裝置����,包括會(huì)話獲取模塊,用于從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話����;第一判斷模塊����,用于判斷所述HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證;第一會(huì)話重定向模塊���,用于如果是未經(jīng)過(guò)驗(yàn)證的HTTP會(huì)話���,將其重定向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè),以獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信 自.第二判斷模塊�����,用于根據(jù)所述主機(jī)的WMI信息判斷主機(jī)的合法性���,并將判斷結(jié)果發(fā)送給連接控制模塊�����;連接控制模塊����,接收第二判斷模塊的判斷結(jié)果,控制主機(jī)的網(wǎng)絡(luò)連接�。
7、 如權(quán)利要求6所述的裝置����,其特征在于還包括策略信息獲取模塊, 用于獲取配置庫(kù)的策略信息�,所述配置庫(kù)的策略信息包括將用戶(hù)主機(jī)的 WMI信息是否符合合法主機(jī)的WMI信息作為判斷主機(jī)的合法性的依據(jù)。
8����、 如權(quán)利要求6所述的裝置,其特征在于所述連接控制模塊包括第 二會(huì)話重定向單元���,用于如果第二判斷模塊判斷出所述主機(jī)為合法主機(jī)���,將 所述嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)重定向到原請(qǐng)求HTTP會(huì)話的網(wǎng)頁(yè)。
9����、 如權(quán)利要求6所述的裝置,其特征在于還包括標(biāo)識(shí)模塊����,用于如 果第二判斷模塊判斷出所述主機(jī)為合法主機(jī)時(shí)�����,將所述HTTP會(huì)話標(biāo)識(shí)為已 驗(yàn)證會(huì)話。
10���、 如權(quán)利要求6所述的裝置����,其特征在于所述連接控制模塊包括網(wǎng) 絡(luò)終止單元��,用于如果第二判斷模塊判斷出所述主機(jī)為非法主機(jī)�,則終止其 網(wǎng)絡(luò)連接。
11���、 一種管理內(nèi)網(wǎng)主^L的的系統(tǒng)��,包括 管理內(nèi)網(wǎng)主機(jī)的裝置和配置庫(kù)�����;所述配置庫(kù)�,用于提供策略信息,所述配置庫(kù)的策略信息包括將用戶(hù)主 機(jī)的WMI信息是否符合合法主機(jī)的WMI信息作為判斷主機(jī)的合法性的依 據(jù)��;所述管理內(nèi)網(wǎng)主機(jī)的裝置包括會(huì)話獲取模塊�����,用于從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話�����;第一判斷模塊���,用于判斷所述HTTP會(huì)話是否經(jīng)過(guò)驗(yàn)證��;第一會(huì)話重定向模塊����,用于如果是未經(jīng)過(guò)驗(yàn)證的HTTP會(huì)話�����,將其重定向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)���,以獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信 自 第二判斷模塊���,用于根據(jù)所述配置庫(kù)的策略信息及所述主機(jī)的WMI信息判斷主機(jī)的合法性�����;連接控制模塊����,用于根據(jù)所述第二判斷模塊的判斷結(jié)果控制主機(jī)的網(wǎng)絡(luò) 連接���。
12、 如權(quán)利要求11所述的系統(tǒng)�,其特征在于所述管理內(nèi)網(wǎng)主機(jī)的裝 置還包括策略信息獲取模塊,用于獲取所述配置庫(kù)的策略信息�,所述配置 庫(kù)的策略信息包括將用戶(hù)主機(jī)的WMI信息是否符合合法主機(jī)的WMI信息 作為判斷主機(jī)的合法性的依據(jù),所述第二判斷模塊與所述策略信息獲取模塊 連接以獲取所述配置庫(kù)的策略信息���。
13����、 如權(quán)利要求11所述的系統(tǒng)��,其特征在于所述連接控制模塊包括 第二會(huì)話重定向單元��,用于如果第二判斷模塊判斷出所述主機(jī)為合法主機(jī) 時(shí),將所述嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)重定向到原請(qǐng)求HTTP會(huì)話的網(wǎng)頁(yè)���。
14��、 如權(quán)利要求11所述的系統(tǒng)�����,其特征在于所述管理內(nèi)網(wǎng)主機(jī)的裝 置還包括標(biāo)識(shí)模塊��,用于如果第二判斷模塊判斷出所述主機(jī)為合法主機(jī)�,將 所述HTTP會(huì)話標(biāo)識(shí)為已-瞼證會(huì)話����。
15、 如權(quán)利要求11所述的系統(tǒng)���,其特征在于所述連接控制模塊包括 網(wǎng)絡(luò)終止單元�����,用于如果第二判斷模塊判斷出所述主機(jī)為非法主機(jī)���,則終止 其網(wǎng)絡(luò)連接��。
全文摘要
本發(fā)明實(shí)施例提供一種管理內(nèi)網(wǎng)主機(jī)的方法����,包括從網(wǎng)絡(luò)數(shù)據(jù)流中分析出HTTP會(huì)話�����,判斷所述會(huì)話是否經(jīng)過(guò)驗(yàn)證���;如果是未驗(yàn)證會(huì)話���,將所述會(huì)話重新定向到嵌有WMI驗(yàn)證信息的網(wǎng)頁(yè)����,獲得請(qǐng)求HTTP會(huì)話的主機(jī)的WMI信息;根據(jù)所述主機(jī)的WMI信息判斷主機(jī)的合法性�,如果是合法主機(jī)則允許其網(wǎng)絡(luò)連接,否則終止其網(wǎng)絡(luò)連接���。本發(fā)明實(shí)施方式還提供一種管理內(nèi)網(wǎng)主機(jī)的裝置和系統(tǒng)���。本發(fā)明實(shí)施例利用旁路設(shè)備分析網(wǎng)絡(luò)數(shù)據(jù)流����,不需要修改客戶(hù)端的網(wǎng)絡(luò)結(jié)構(gòu)�,也不需要客戶(hù)端用戶(hù)進(jìn)行任何相關(guān)活動(dòng),即可實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主機(jī)的識(shí)別和管理����。
文檔編號(hào)H04L9/00GK101505217SQ20081024221
公開(kāi)日2009年8月12日 申請(qǐng)日期2008年12月31日 優(yōu)先權(quán)日2008年12月31日
發(fā)明者欣 劉 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司