專利名稱：內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法
技術領域：
本發(fā)明涉及終端安全管理、信息數(shù)據(jù)保密的技術領域，特別是一種內網(wǎng)安全綜合
管理的網(wǎng)絡接入控制技術。
背景技術：
隨著信息化建設的快速發(fā)展，單位內部計算機終端越來越多，如何對內網(wǎng)終端的網(wǎng)絡安全接入管理，以及終端信息數(shù)據(jù)的泄密，已成為企業(yè)首選問題。 目前大多數(shù)內網(wǎng)安全管理系統(tǒng)的網(wǎng)絡接人控制技術，大都基于"掃描一發(fā)現(xiàn)一阻
斷"的工作模式，通過網(wǎng)絡接入控制系統(tǒng)的管理中心，對網(wǎng)絡進行不斷的掃描，并對掃描的
計算機進行合法性檢查，判斷該終端是否為合法終端。當發(fā)現(xiàn)該終端為不合法終端時，采用
ARP欺騙方式，阻斷該終端接入網(wǎng)絡。 上述技術存在著以下不足 1、非法終端能在網(wǎng)上存活一段時間 由于需要對全網(wǎng)所有地址進行掃描，對每個地址有一定的掃描間隔周期，因此，這段時間內非法接入終端能在網(wǎng)絡中存活一定時間，而在這段時間內，攻擊者有可能已經(jīng)完成部分攻擊行為。 2、在某些情況下.系統(tǒng)不能發(fā)現(xiàn)接入的非法終端 由于需要指定掃描的網(wǎng)絡范圍，當非法接入終端使用的地址在指定的掃描范圍之外時，系統(tǒng)無法"發(fā)現(xiàn)"接入的非法設備。
3、消耗寶貴的網(wǎng)絡資源 接人控制系統(tǒng)需要對網(wǎng)絡進行不斷的掃描以期發(fā)現(xiàn)非法接入的終端，這會消耗大量寶貴的網(wǎng)絡資源，尤其在大型網(wǎng)絡中，這個問題更加突出。

發(fā)明內容
鑒于上述技術的不足，本發(fā)明的目的是提供一種內網(wǎng)安全綜合管理的網(wǎng)絡接入控
制方法，能實現(xiàn)終端安全的管控。
本發(fā)明采用以下方案實現(xiàn)一種內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征
在于通過內網(wǎng)綜合安全管理系統(tǒng)、交換機和Radius服務器之間的聯(lián)動實現(xiàn)對網(wǎng)絡接入終
端的安全控制，包括以下步驟實現(xiàn)首先具有802. 1X接入認證功能的交換機將802. 1X認證
服務器指向Radius服務器，并劃分為工作區(qū)、來訪區(qū)及修復區(qū)三個vlan ;然后在Radius服
務器上配置各個vlan的訪問控制策略以及和內網(wǎng)安全管理系統(tǒng)的聯(lián)動配置； 所述的工作區(qū)供合法終端訪問，即正常授權認證通過且安裝內網(wǎng)安全系統(tǒng)客戶
端，且終端安全檢查符合內網(wǎng)綜合安全管理系統(tǒng)規(guī)定，能正常訪問網(wǎng)絡的所有資源； 所述的修復區(qū)供非法終端訪問，即正常授權認證通過且安裝內網(wǎng)安全系統(tǒng)客戶
端，但終端安全檢查不符合內網(wǎng)綜合安全管理系統(tǒng)要求，只能訪問修復服務器； 所述的來訪區(qū)供非法終端訪問，S卩非授權認證或未安裝內網(wǎng)安全系統(tǒng)客戶端的終端，只能訪問內網(wǎng)安全管理系統(tǒng)的客戶端下載頁面。
本發(fā)明具有以下有益效果 —旦發(fā)現(xiàn)有非法終端接入網(wǎng)絡，即馬上給予阻斷，避免非法終端接入網(wǎng)絡后，存活 時間內所造成的安全威脅。 當終端地址不屬于指定的范圍情況下，只要是非法終端，沒有得到正確授權的用 戶，系統(tǒng)禁止接入網(wǎng)絡。 系統(tǒng)無需采用"不斷的掃描"方式，而是通過交換機與系統(tǒng)之間的授權方式，對非 法終端進行阻斷。


圖1是本發(fā)明原理示意圖。
具體實施例方式
下面結合附圖及實施例子對本發(fā)明做進一步說明。 如圖1所示，本發(fā)明利用網(wǎng)絡接入控制技術將控制目標轉向了計算機終端，從終 端著手，通過管理員指定的安全策略，對接入內部網(wǎng)絡的主機進行安全性檢測，自動拒絕不 安全的計算機接入內部網(wǎng)絡直到這些計算機符合網(wǎng)絡內的安全策略為止。其采用的架構為 客戶端/服務器(C/S)模式，管理則采用瀏覽器/服務器(B/S)模式，管理員可通過網(wǎng)頁方 式登錄內網(wǎng)安全管理系統(tǒng)并對終端下發(fā)安全策略，實現(xiàn)終端安全的管控。更具體的說，本 發(fā)明的特征在于通過內網(wǎng)綜合安全管理系統(tǒng)、交換機和Radius服務器之間的聯(lián)動實現(xiàn)對 網(wǎng)絡接入終端的安全控制，包括以下步驟實現(xiàn)首先具有802. 1X接入認證功能的交換機將 802. IX認證服務器指向Radius服務器，并劃分為工作區(qū)、來訪區(qū)及修復區(qū)三個vlan ;然后 在Radius服務器上配置各個vlan的訪問控制策略以及和內網(wǎng)安全管理系統(tǒng)的聯(lián)動配置；
所述的工作區(qū)供合法終端訪問，即正常授權認證通過且安裝內網(wǎng)安全系統(tǒng)客戶 端，且終端安全檢查符合內網(wǎng)綜合安全管理系統(tǒng)規(guī)定，能正常訪問網(wǎng)絡的所有資源；
所述的修復區(qū)供非法終端訪問，即正常授權認證通過且安裝內網(wǎng)安全系統(tǒng)客戶 端，但終端安全檢查不符合內網(wǎng)綜合安全管理系統(tǒng)要求，只能訪問修復服務器；
所述的來訪區(qū)供非法終端訪問，S卩非授權認證或未安裝內網(wǎng)安全系統(tǒng)客戶端的終 端，只能訪問內網(wǎng)安全管理系統(tǒng)的客戶端下載頁面。
其具體的工作原理包括以下方式 當終端接入網(wǎng)絡后，在規(guī)定時間內未進行802. 1X認證，終端連接交換機端口的 vlan狀態(tài)會自動跳轉到來訪區(qū)，且連接交換機的端口是處于邏輯關閉狀態(tài)，即拒絕終端接 入網(wǎng)絡。 對已通過802. 1X認證，此時內網(wǎng)安全管理系統(tǒng)會自動檢測終端是否安裝客戶端 程序，對未安裝客戶端的終端，系統(tǒng)會和Radius服務器進行聯(lián)動，通過Radius服務器下發(fā) 指令，將連接交換機的端口 vlan狀態(tài)轉換成來訪區(qū)，即該終端只能訪問內網(wǎng)安全管理系統(tǒng) 服務器的客戶端下載頁面，以便進行客戶端程序的安裝。 對已安裝客戶端程序，但未通過802. 1X接入認證的終端，交換機端口會跳轉到來 訪區(qū)，因為交換機端口是邏輯關閉，即拒絕終端接入網(wǎng)絡。此情況下，可能是終端本地網(wǎng)絡配置不符合網(wǎng)絡規(guī)定或IP不屬于網(wǎng)絡接入的范圍。 對已安裝客戶端程序且通過802. IX認證的終端，但終端安全檢查不符合系統(tǒng)安全策略要求，如未安裝防病毒系統(tǒng)、系統(tǒng)存在漏洞、安裝違規(guī)軟件等；此時通過服務器之間的聯(lián)動，交換機端口會自動跳轉到修復區(qū)，即只允許終端訪問修復服務器，對系統(tǒng)存在的漏洞、防病毒系統(tǒng)、違規(guī)軟件等進行修復或安裝。 對已安裝客戶端程序、通過802. 1X認證且安檢符合系統(tǒng)安全策略要求的終端，此
時交換機端口屬于工作區(qū)，即網(wǎng)絡給予放行，可以訪問內網(wǎng)的服務器群或資源。 此外要說明的是802. lx協(xié)議是一種基于端口的網(wǎng)絡接入控制(port based
networkaccess control)協(xié)議。"基于端口的網(wǎng)絡接入控制"是指在局域網(wǎng)接入控制設備
的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認
證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源抓相當于
連接被物理斷開。 Radius是Remote Authentication Dial In User Service的簡稱，艮卩遠程驗證撥入用戶服務。當用戶想要通過某個網(wǎng)絡(如以太網(wǎng))與NAS(網(wǎng)絡接入服務器)建立連接從而獲得訪問網(wǎng)絡的權利時，NAS可以選擇在NAS上進行本地認證計費，或把用戶信息傳遞給RADIUS服務器，由Radius進行認證計費；RADIUS協(xié)議規(guī)定了 NAS與RADIUS服務器之間如何傳遞用戶信息和記賬信息；RADIUS服務器負責接收用戶的連接請求，完成驗證，并把傳遞服務給用戶所需的配置信息返回給NAS。
本發(fā)明具有如下優(yōu)點 1、幫助確保所有的用戶網(wǎng)絡設備都符合安全策略，從而大幅度提高網(wǎng)絡的安全性，不受規(guī)模和復雜性的影響。 2、檢測并控制試圖連接網(wǎng)絡的所有終端，不受其訪問方法的影B向，從而提高企業(yè)安全性和可擴展性。 3、防止不符合策略和不可管理的終端設備影響網(wǎng)絡可用性或用戶生產率。 4、降低與識別和修復不符合策略的、不可管理的和受感染的系統(tǒng)相關的運行成本。 5、在終端接入網(wǎng)絡時就進行準入控制，不存在終端在網(wǎng)絡上的存活時間點。
6、降低網(wǎng)絡負載能力，無需通過"掃描"方式對終端進行檢測，對非法終端可直接進行接入控制。 以上所述僅為本發(fā)明的較佳實施例，凡依本發(fā)明申請專利范圍所做的均等變化與修飾，皆應屬本發(fā)明的涵蓋范圍。
權利要求
一種內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于通過內網(wǎng)綜合安全管理系統(tǒng)、交換機和Radius服務器之間的聯(lián)動實現(xiàn)對網(wǎng)絡接入終端的安全控制，包括以下步驟實現(xiàn)首先具有802.1X接入認證功能的交換機將802.1X認證服務器指向Radius服務器，并劃分為工作區(qū)、來訪區(qū)及修復區(qū)三個vlan；然后在Radius服務器上配置各個vlan的訪問控制策略以及和內網(wǎng)安全管理系統(tǒng)的聯(lián)動配置；所述的工作區(qū)供合法終端訪問，即正常授權認證通過且安裝內網(wǎng)安全系統(tǒng)客戶端，且終端安全檢查符合內網(wǎng)綜合安全管理系統(tǒng)規(guī)定，能正常訪問網(wǎng)絡的所有資源；所述的修復區(qū)供非法終端訪問，即正常授權認證通過且安裝內網(wǎng)安全系統(tǒng)客戶端，但終端安全檢查不符合內網(wǎng)綜合安全管理系統(tǒng)要求，只能訪問修復服務器；所述的來訪區(qū)供非法終端訪問，即非授權認證或未安裝內網(wǎng)安全系統(tǒng)客戶端的終端，只能訪問內網(wǎng)安全管理系統(tǒng)的客戶端下載頁面。
2. 根據(jù)權利要求1所述的內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于當終 端接入網(wǎng)絡后，在規(guī)定時間內未進行802. IX認證，終端連接交換機端口的vlan狀態(tài)會自動 跳轉到來訪區(qū)，且連接交換機的端口是處于邏輯關閉狀態(tài)。
3. 根據(jù)權利要求1所述的內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于對已 通過802. IX認證，內網(wǎng)安全管理系統(tǒng)會自動檢測終端是否安裝客戶端程序，對未安裝客戶 端的終端，系統(tǒng)會和Radius服務器進行聯(lián)動，通過Radius服務器下發(fā)指令，將連接交換機 的端口 vlan狀態(tài)轉換成來訪區(qū)。
4. 根據(jù)權利要求1所述的內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于對已 安裝客戶端程序，但未通過802. IX接入認證的終端，交換機端口會跳轉到來訪區(qū)。
5. 根據(jù)權利要求1所述的內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于對已 安裝客戶端程序且通過802. IX認證的終端，但終端安全檢查不符合系統(tǒng)安全策略要求，如 未安裝防病毒系統(tǒng)、系統(tǒng)存在漏洞、安裝違規(guī)軟件；此時通過服務器之間的聯(lián)動，交換機端 口會自動跳轉到修復區(qū)。
6. 根據(jù)權利要求1所述的內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于對已 安裝客戶端程序、通過802. IX認證且安檢符合系統(tǒng)安全策略要求的終端，此時交換機端口 屬于工作區(qū)，即網(wǎng)絡給予放行，可以訪問內網(wǎng)的服務器群或資源。
全文摘要
本發(fā)明涉及一種內網(wǎng)安全綜合管理的網(wǎng)絡接入控制方法，其特征在于通過內網(wǎng)綜合安全管理系統(tǒng)、交換機和Radius服務器之間的聯(lián)動實現(xiàn)對網(wǎng)絡接入終端的安全控制，包括以下步驟實現(xiàn)首先具有802.1X接入認證功能的交換機將802.1X認證服務器指向Radius服務器，并劃分為工作區(qū)、來訪區(qū)及修復區(qū)三個vlan；然后在Radius服務器上配置各個vlan的訪問控制策略以及和內網(wǎng)安全管理系統(tǒng)的聯(lián)動配置；本發(fā)明能夠實現(xiàn)終端安全的管控，無需采用“不斷的掃描”方式進行檢測，節(jié)省了網(wǎng)絡資源。
文檔編號H04L29/06GK101714927SQ201010300360
公開日2010年5月26日 申請日期2010年1月15日 優(yōu)先權日2010年1月15日
發(fā)明者吳濱華, 楊小焰, 肖健, 許元進, 黃聰泉 申請人:福建伊時代信息科技股份有限公司