专利名称:一种内网pc访问外网的控制方法和装置的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种内网PC访问外网的控制方法和装置。
背景技术:
随着科学技术的进步,越来越多的企业开始意识到内网PC (Personal Computer, 个人计算机)的非法外联给企业带来严重的安全隐患,从而使用各种各样的方法来杜绝非法外联,防患于未然。
其中的一种方法为在交换机或防火墙等网络设备中进行配置,即配置能够访问外网或者限制访问外网的PC列表,这样,当PC访问外网的数据报文到达该网络设备时,根据所述配置判断该PC是否有权限访问外网,若是,则将数据报文发送到外网,否则,丢失该数据报文。
但是,上述方法存在安全隐患,当没有访问外网权限的用户登录有访问外网权限的内网PC后,该用户便可通过该内网PC访问外网。发明内容
有鉴于此,本发明的目的是提供一种内网PC访问外网的控制方法和装置,能够提高内网的安全性。
为实现上述目的,本发明提供技术方案如下
一种内网PC访问外网的控制方法,应用于与内网PC连接的网络设备上,所述控制方法包括
接收到用户通过内网PC发送的认证请求报文时,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP地址;
接收到用户通过内网PC发送的访问外网的数据报文时,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址;
当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网。
上述的控制方法,其中,还包括
当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时,丢弃所述数据报文。
上述的控制方法,其中,还包括
当用户退出时,在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。
一种内网PC访问外网的控制装置,应用于与内网PC连接的网络设备上,所述控制装置包括
认证单元,用于接收到用户通过内网PC发送的认证请求报文时,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP
判断单元,用于接收到用户通过内网PC发送的访问外网的数据报文时,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址;
转发单元,用于当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网。
上述的控制装置,其中,还包括
丢弃单元,用于当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时, 丢弃所述数据报文。
上述的控制装置,其中,所述认证单元还用于
当用户退出时,在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。
本发明对试图通过内网PC访问外网的用户进行身份认证,在认证通过时,在网卡驱动中记录该内网PC的MAC地址和IP地址,这样,在接收到内网PC访问外网的数据报文时,就可以根据网卡驱动中是否存在对应的MAC地址和IP地址来确定是否将该数据报文转发到外网,从而提高了内网的安全性。
图I是本发明实施例中的组网环境示意图2是本发明实施例的内网PC访问外网的控制方法流程图。
具体实施方式
以下结合附图对本发明进行详细描述。
图I是本发明实施例中的组网环境示意图。参照图1,在内网中存在多个PC,图中仅示出两个,即PCl和PC2,所述多个PC均连接至网络设备,所述网络设备可以是防火墙、交换机或路由器等,所述网络设备与外网连接。
图2是本发明实施例的内网PC访问外网的控制方法流程图。参照图2,所述控制方法应用于与内网PC连接的网络设备上,所述控制方法可以包括如下步骤
步骤201,接收用户通过内网PC发送的认证请求报文;
具体地,可以在内网PC中设置认证客户端,在网路设备中设置认证服务器,当用户需要通过内网PC访问外网时,启动所述认证客户端,通过所述认证客户端发送认证请求报文到所述认证服务器。
步骤202,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP地址;
网络设备中的认证服务器接收到认证客户端发送的认证请求报文时,对用户进行身份认证。其中,根据用户身份或者接入方式的不同,可以有多种不同的认证方式。例如, 可以直接基于用户输入的用户名和密码进行认证,也可以基于密钥的方式进行认证。具体采用哪种认证方式,本领域技术人员可以根据需要进行选择,本发明对此不做限制,
当认证成功后,认证请求报文对应内网PC的MAC地址和IP地址成为这个用户身份的唯一标识,这些信息会放进网络设备的网卡驱动中,网络设备可以为该用户建立一条合法通道,认证成功的用户可以通过这条合法通道访问外网。
例如,图I中的PCl通过了认证,则网络设备的网卡驱动中记录有PCl的MAC地址和IP地址,图I中的PC2未如果认证,则网络设备的网卡驱动中未记录PC2的MAC地址和 IP地址。
步骤203,接收用户通过内网PC发送的访问外网的数据报文;
步骤204,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址,若是,进入步骤205,若否,进入步骤206 ;
步骤205,当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网;
例如,从PCl发送的访问外网的数据报文到达网络设备时,由于网卡驱动中存在与PCl对应的MAC地址和IP地址,从而可以将所述数据报文转发到外网,实现了 PCl对外网的访问。
步骤206,当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时,丢弃所述数据报文。
例如,从PC2发送的访问外网的数据报文到达网络设备时,由于网卡驱动中不存在与PC2对应的MAC地址和IP地址,从而丢弃所述数据报文,从而实现了对PC2访问外网的限制。
进一步,所述控制方法还可以包括当用户退出时,在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。具体地,用户退出时,通过认证客户端发送退出消息到网络服务器,网络服务器收到该退出消息时,便可以在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。
根据本发明实施例的上述方法,具有访问外网权限的用户可以从内网中的任何一台PC访问外网,而不具有访问外网权限的用户无论通过哪台内网PC都不能访问外网,从而提高了内网的安全性和用户访问外网的灵活性。
对应于上述方法,本发明还提供一种内网PC访问外网的控制装置,应用于与内网 PC连接的网络设备上,所述控制装置可以包括
认证单元,用于接收到用户通过内网PC发送的认证请求报文时,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP 地址;
判断单元,用于接收到用户通过内网PC发送的访问外网的数据报文时,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址;
转发单元,用于当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网。
进一步,所述控制装置还可以包括丢弃单元,用于当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时,丢弃所述数据报文。另外,所述认证单元还可以用于 当用户退出时,在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。
综上所述,本发明对试图通过内网PC访问外网的用户进行身份认证,在认证通过时,在网卡驱动中记录该内网PC的MAC地址和IP地址,这样,在接收到内网PC访问外网的数据报文时,就可以根据网卡驱动中是否存在对应的MAC地址和IP地址来确定是否将该数据报文转发到外网,从而提高了内网的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种内网PC访问外网的控制方法,应用于与内网PC连接的网络设备上,其特征在于,所述控制方法包括 接收到用户通过内网PC发送的认证请求报文时,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP地址; 接收到用户通过内网PC发送的访问外网的数据报文时,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址; 当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网。
2.如权利要求I所述的控制方法,其特征在于,还包括 当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时,丢弃所述数据报文。
3.如权利要求I或2所述的控制方法,其特征在于,还包括 当用户退出时,在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。
4.一种内网PC访问外网的控制装置,应用于与内网PC连接的网络设备上,其特征在于,所述控制装置包括 认证单元,用于接收到用户通过内网PC发送的认证请求报文时,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP地址; 判断单元,用于接收到用户通过内网PC发送的访问外网的数据报文时,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址; 转发单元,用于当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网。
5.如权利要求4所述的控制装置,其特征在于,还包括 丢弃单元,用于当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时,丢弃所述数据报文。
6.如权利要求4或5所述的控制装置,其特征在于,所述认证单元还用于 当用户退出时,在所述网卡驱动中删除所述内网PC的MAC地址和IP地址。
全文摘要
本发明提供一种内网PC访问外网的控制方法和装置,属于网络通信技术领域。所述控制方法包括接收到用户通过内网PC发送的认证请求报文时,根据所述认证请求报文对用户进行身份认证,认证通过时在网卡驱动中记录所述内网PC的MAC地址和IP地址;接收到用户通过内网PC发送的访问外网的数据报文时,判断网卡驱动中是否存在与所述内网PC对应的MAC地址和IP地址;当网卡驱动中存在与所述内网PC对应的MAC地址和IP地址时,将所述数据报文转发到外网;当网卡驱动中不存在与所述内网PC对应的MAC地址和IP地址时,丢弃所述数据报文。本发明能够提高内网的安全性。
文档编号H04L29/06GK102932363SQ20121044813
公开日2013年2月13日 申请日期2012年11月8日 优先权日2012年11月8日
发明者么学佳 申请人:杭州迪普科技有限公司