一種接入控制方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域���,特別是涉及一種接入控制方法和一種接入控制裝置�。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的迅速普及��,局域網(wǎng)已成為企業(yè)發(fā)展中必不可少的一部分��。然而,在為企業(yè)帶來(lái)便利的同時(shí)����,局域網(wǎng)也面臨著各種各樣的進(jìn)攻和威脅,如機(jī)密泄漏�、數(shù)據(jù)丟失�、網(wǎng)絡(luò)濫用、身份冒用��、非法入侵等����。例如,當(dāng)外來(lái)人員攜帶筆記本電腦進(jìn)入企業(yè)�����,在未經(jīng)許可的情況下���,通過(guò)有線或者無(wú)線的方式接入公司的局域網(wǎng)��,將容易導(dǎo)致企業(yè)內(nèi)部資源存在被非法拷貝的風(fēng)險(xiǎn)�。又如����,當(dāng)企業(yè)內(nèi)部員工的計(jì)算機(jī)感染病毒時(shí)����,其通過(guò)有線或者無(wú)線的方式接入公司的局域網(wǎng)����,將容易導(dǎo)致病毒的傳播。因此��,局域網(wǎng)內(nèi)的接入控制變得尤為重要�。
[0003]現(xiàn)有的一種接入控制方案具體可以包括:在交換機(jī)側(cè)對(duì)局域網(wǎng)內(nèi)的上行數(shù)據(jù)包進(jìn)行過(guò)濾,并在該上行數(shù)據(jù)包不符合過(guò)濾規(guī)則時(shí)��,向該上行數(shù)據(jù)包對(duì)應(yīng)的接收端發(fā)送RST (復(fù)位�����,Reset)包����,由此可以斷開(kāi)該上行數(shù)據(jù)包對(duì)應(yīng)的發(fā)送端與接收端之間的TCP連接。
[0004]然而��,上述RST僅僅適用于HTTP (超文本傳輸協(xié)議,Hypertext TransferProtocol)的上行數(shù)據(jù)包�,而無(wú)法適用于UDP(用戶數(shù)據(jù)報(bào)協(xié)議,User Datagram Protocol)���、ARP(地址解析協(xié)議���,Address Resolut1n Protocol)、SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議���,SimpleNetwork Management Protocol)等協(xié)議的上行數(shù)據(jù)包���,因此�,現(xiàn)有方案具有適用范圍有限的缺點(diǎn)。
[0005]另外���,現(xiàn)有方案通常依據(jù)白名單設(shè)置對(duì)應(yīng)的過(guò)濾規(guī)則��,例如�,上述過(guò)濾規(guī)則放行用戶終端命中白名單的上行數(shù)據(jù)包���,以及阻斷用戶終端不在白名單中的上行數(shù)據(jù)包等�����,這樣���,對(duì)于不在白名單中的用戶終端而言����,將無(wú)法訪問(wèn)局域網(wǎng)����,而對(duì)命中白名單的用戶終端而言,即使其存在安全隱患�����,也無(wú)法阻斷其對(duì)于局域網(wǎng)的訪問(wèn)����;因此,現(xiàn)有方案還具有安全性差和靈活性差的缺點(diǎn)���。
【發(fā)明內(nèi)容】
[0006]鑒于上述問(wèn)題��,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的一種接入控制方法和一種接入控制裝置��。
[0007]依據(jù)本發(fā)明的一個(gè)方面����,提供了一種接入控制方法,應(yīng)用于用戶終端����,包括:
[0008]監(jiān)測(cè)到達(dá)網(wǎng)卡的數(shù)據(jù)包;
[0009]對(duì)所述數(shù)據(jù)包進(jìn)行解析���,以得到對(duì)應(yīng)的五元組信息����;
[0010]在所述五元組信息符合預(yù)置的五元組阻斷規(guī)則時(shí)�����,阻斷所述數(shù)據(jù)包���;其中,所述預(yù)置的五元組阻斷規(guī)則為控制終端所提供����。
[0011]可選地,所述五元組信息包括:源IP地址、源端口�、目的IP、目的端口和傳輸層協(xié)議��,則所述預(yù)置的五元組阻斷規(guī)則包括:目的IP地址所屬的網(wǎng)段�����、目的端口和傳輸層協(xié)議中至少一項(xiàng)對(duì)應(yīng)的阻斷規(guī)則����。
[0012]可選地,所述方法還包括:
[0013]對(duì)所述用戶終端進(jìn)行基線檢查����;
[0014]在基線檢查結(jié)果符合預(yù)置的基線阻斷規(guī)則、且所述五元組信息符合預(yù)置的五元組阻斷規(guī)則時(shí)�����,阻斷所述數(shù)據(jù)包����;其中,所述預(yù)置的基線阻斷規(guī)則為控制終端所提供��。
[0015]可選地,所述對(duì)所述用戶終端進(jìn)行基線檢查的步驟�,包括:
[0016]對(duì)所述用戶終端上的已安裝應(yīng)用、已運(yùn)行應(yīng)用�����、已運(yùn)行服務(wù)�、已運(yùn)行進(jìn)程、密碼強(qiáng)度和已運(yùn)行組件中的至少一項(xiàng)進(jìn)行檢測(cè)�,以判斷所述用戶終端上是否存在所述控制終端提供的預(yù)置項(xiàng)目;
[0017]所述基線檢查結(jié)果符合預(yù)置的基線阻斷規(guī)則���,包括:所述單個(gè)預(yù)置項(xiàng)目或者預(yù)置項(xiàng)目的組合對(duì)應(yīng)的規(guī)則�����。
[0018]可選地����,所述對(duì)所述用戶終端進(jìn)行基線檢查的步驟���,包括:
[0019]對(duì)所述用戶終端上的已安裝應(yīng)用、已運(yùn)行應(yīng)用�、已運(yùn)行服務(wù)����、已運(yùn)行進(jìn)程�、密碼強(qiáng)度和已運(yùn)行組件中的至少一項(xiàng)進(jìn)行檢測(cè),以得到所述用戶終端的得分��;
[0020]所述基線檢查結(jié)果符合預(yù)置的基線阻斷規(guī)則�����,包括:所述用戶終端的得分小于得分閾值�����。
[0021]可選地���,所述預(yù)置項(xiàng)目包括如下項(xiàng)目中的至少一項(xiàng):
[0022]未安裝防火墻組件���、未安裝反病毒應(yīng)用、存在不符合第一預(yù)置條件的反病毒應(yīng)用��、存在被禁止的應(yīng)用��、及運(yùn)行被禁止的應(yīng)用�、進(jìn)程和服務(wù)�。
[0023]可選地����,所述方法還包括:
[0024]在所述五元組信息不符合預(yù)置的五元組阻斷規(guī)則時(shí),放行所述數(shù)據(jù)包���。
[0025]可選地����,所述方法還包括:
[0026]在基線檢查結(jié)果不符合預(yù)置的基線阻斷規(guī)則時(shí)�,放行所述數(shù)據(jù)包。
[0027]可選地�����,所述監(jiān)測(cè)到達(dá)網(wǎng)卡的數(shù)據(jù)包的步驟�,包括:
[0028]通過(guò)網(wǎng)卡驅(qū)動(dòng)程序,從網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范NDIS中間層抓取到達(dá)網(wǎng)卡的數(shù)據(jù)包����。
[0029]根據(jù)本發(fā)明的另一方面,提供了一種接入控制裝置����,包括:
[0030]監(jiān)測(cè)模塊,用于監(jiān)測(cè)到達(dá)網(wǎng)卡的數(shù)據(jù)包����;
[0031]解析模塊,用于對(duì)所述數(shù)據(jù)包進(jìn)行解析�,以得到對(duì)應(yīng)的五元組信息;及
[0032]第一阻斷模塊��,用于在所述五元組信息符合預(yù)置的五元組阻斷規(guī)則時(shí)��,阻斷所述數(shù)據(jù)包���;其中�����,所述預(yù)置的五元組阻斷規(guī)則為控制終端所提供�����。
[0033]根據(jù)本發(fā)明實(shí)施例的一種接入控制方法和裝置�����,在到達(dá)網(wǎng)卡的數(shù)據(jù)包的五元組信息符合預(yù)置的五元組阻斷規(guī)則時(shí)�����,阻斷所述數(shù)據(jù)包�;由于所述五元組信息具體可以包括:源IP地址、源端口�、目的IP、目的端口和傳輸層協(xié)議�,且上述五元組信息中傳輸層協(xié)議可以適用于HTTP、UDP����、ARP、SNMP等任意協(xié)議��,因此相對(duì)于現(xiàn)有方案中RST協(xié)議僅適用于HTTP協(xié)議����,本發(fā)明實(shí)施例能夠增加數(shù)據(jù)包的適用范圍。
[0034]并且���,相對(duì)于現(xiàn)有方案一味地阻斷或者放行用戶終端接入網(wǎng)絡(luò)���、導(dǎo)致的安全性差和靈活性差的問(wèn)題,本發(fā)明實(shí)施例可以依據(jù)安全需求,靈活地預(yù)置針對(duì)數(shù)據(jù)包的五元組阻斷規(guī)則����,例如,在某個(gè)網(wǎng)段對(duì)應(yīng)服務(wù)器用于提供敏感數(shù)據(jù)時(shí)�,可以依據(jù)該網(wǎng)段預(yù)置目的IP對(duì)應(yīng)的五元組阻斷規(guī)則��,也即可以依據(jù)安全需求靈活地針對(duì)五元組信息中的至少一元信息預(yù)置對(duì)應(yīng)的五元組阻斷規(guī)則����,因此本發(fā)明實(shí)施例能夠提高接入控制的靈活性、以及能夠提高局域網(wǎng)的安全性��。
[0035]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述����,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施���,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點(diǎn)能夠更明顯易懂��,以下特舉本發(fā)明的【具體實(shí)施方式】���。
【附圖說(shuō)明】
[0036]通過(guò)閱讀下文可選實(shí)施方式的詳細(xì)描述����,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了���。附圖僅用于示出可選實(shí)施方式的目的����,而并不認(rèn)為是對(duì)本發(fā)明的限制�。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件�。在附圖中:
[0037]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種接入控制方法的步驟流程示意圖;
[0038]圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種接入控制方法的步驟流程示意圖�;
[0039]圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種接入控制方法的步驟流程示意圖;以及
[0040]圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種接入控制裝置的結(jié)構(gòu)示意�����。
【具體實(shí)施方式】
[0041]下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例�����。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解�����,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制����。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)�,并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。
[0042]本發(fā)明實(shí)施例的核心構(gòu)思之一在于,利用到達(dá)網(wǎng)卡的數(shù)據(jù)包的五元組信息進(jìn)行網(wǎng)絡(luò)的接入控制��,具體地�����,在所述數(shù)據(jù)包的五元組信息符合預(yù)置的五元組阻斷規(guī)則時(shí)����,阻斷所述數(shù)據(jù)包;由于所述五元組信息具體可以包括:源IP地址����、源端口�、目的IP���、目的端口和傳輸層協(xié)議����,且上述五元組信息中傳輸層協(xié)議可以適用于HTTP���、UDP��、ARP�、SNMP等任意傳輸層協(xié)議�����,因此相對(duì)于現(xiàn)有方案中RST協(xié)議僅適用于HTTP協(xié)議�,本發(fā)明實(shí)施例能夠增加數(shù)據(jù)包的適用范圍。
[0043]并且�,相對(duì)于現(xiàn)有方案一味地阻斷或者放行用戶終端接入網(wǎng)絡(luò)、導(dǎo)致的安全性差和靈活性差的問(wèn)題�����,本發(fā)明實(shí)施例可以依據(jù)安全需求,靈活地預(yù)置針對(duì)數(shù)據(jù)包的五元組阻斷規(guī)則��,例如��,在某個(gè)網(wǎng)段對(duì)應(yīng)服務(wù)器用于提供敏感數(shù)據(jù)時(shí)�����,可以依據(jù)該網(wǎng)段預(yù)置目的IP對(duì)應(yīng)的五元組阻斷規(guī)則���,也即可以依據(jù)安全需求靈活地針對(duì)五元組信息中的至少一元信息預(yù)置對(duì)應(yīng)的五元組阻斷規(guī)則����,因此本發(fā)明實(shí)施例能夠提高接入控制的靈活性�、以及能夠提高局域網(wǎng)的安全性����。
[0044]參照?qǐng)D1,示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種接入控制方法的步驟流程圖��,應(yīng)用于用戶終端�,具體可以包括如下步驟:
[0045]步驟101、監(jiān)測(cè)到達(dá)網(wǎng)卡的數(shù)據(jù)包����;
[0046]本發(fā)明實(shí)施例可以應(yīng)用于企業(yè)網(wǎng)�、政府網(wǎng)�����、校園網(wǎng)等局域網(wǎng)中����;在上述局域網(wǎng)中,控制終端是指局域網(wǎng)內(nèi)用于管理用戶終端的終端�����,所述用戶終端是指局域網(wǎng)內(nèi)響應(yīng)控制終端的指令�����,與控制終端進(jìn)行數(shù)據(jù)交互的終端�,其可以響應(yīng)控制終端的指令或者數(shù)據(jù),也可以向控制終端發(fā)送指令或者數(shù)據(jù)�����。
[0047]在實(shí)際應(yīng)用中�����,可以在控制終端部署服務(wù)器代理模塊,在用戶終端部署軟件客戶端模塊�����,以類似c/s(客戶端/服務(wù)器)的架構(gòu)�,實(shí)現(xiàn)局域網(wǎng)內(nèi)控制終端對(duì)用戶終端的控制功能,以及����,用戶終端的控制響應(yīng)及通信功能。其中�����,上述控制終端和上述用戶終端之間可以通過(guò)標(biāo)準(zhǔn)協(xié)議或者私有協(xié)議進(jìn)行通信����,其中��,私有協(xié)議具有封閉性和安全性高的優(yōu)點(diǎn)�;可以理解,本發(fā)明實(shí)施例對(duì)于控制終端與用戶終端之間的具體通信方式不加以限制���。
[0048]在本發(fā)明的一種可選實(shí)施例中���,上述監(jiān)測(cè)到達(dá)網(wǎng)卡的數(shù)據(jù)包的步驟��,具體可以包括:通過(guò)網(wǎng)卡驅(qū)動(dòng)程序����,從NDIS (網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范���,Network Driver InterfaceSpecificat1n)中間層抓取