专利名称:网络监控设备的制作方法
技术领域:
本实用新型系关于一种网络监控设备,特别是关于一种根据网络装置所输出的位置信号而导接网络装置的网络监控设备。
背景技术:
现今网络受到普遍使用,增进了信息交流的便利性。然而,藉由网络交流信息也带了许多风险。例如,网络的电子商务中的个人金融认证数据遭盗取,或是计算机系统被网络黑客入侵,进一步导致数据外流、计算机中毒、重要档案受损、甚至计算机系统故障,而影响到个人或企业的权益。接收网络封包有其风险,特别是来自一危险网络装置的封包,例如外部计算机经由网络所传送来封包,而以各种方式危害他人计算机,包括窃听(wiretapping)、窜改(tampering)、恶意攻击(malicious attack)、阻断服务(denial of service)、及网络钓鱼(phishing)等,使得网络使用者防不慎防。诸如此类的网络危害的防范实为相当重要,如何拟定网络信息安全的策略方法并予以执行,实为一项重要的课题。网络风险与封包来源的网络装置有关,若能对于网络装置作出准确的判断评估将有助于网络安全的提升。
实用新型内容本实用新型的主要目的系在于提供一种网络监控设备,用于对于封包来源的网络装置作出判断评估,并进一步阻挡不合法的网络装置,以改善习知技术的问题。本实用新型为解决习知技术的问题所采用的技术手段为一种网络监控设备,包含一监控装置、一输入接线、及一输出接线,监控装置连接一网络装置,监控装置具有一导接构件。输入接线连接于监控装置与网络装置之间。输出接线连接于监控装置。其中导接构件根据网络装置所输出的位置信号而将输入接线导接于或不导接于输出接线。在本实用新型的一实施例中,位置信号为关于网络装置于一位置空间中的信号。在本实用新型的一实施例中,监控装置具有一比对构件,比对构件连接导接构件。在本实用新型的一实施例中,位置信号为网络装置于一网络中的IP地址且/或媒体存取控制地址。在本实用新型的一实施例中,比对构件具有一比对信号,比对信号包括一 IP地址且/或一媒体存取控制地址。本实用新型具有以下有益技术效果:经由本实用新型所采用的技术手段,可管制一网络允许清单外的网络装置,藉此确保信息交流的机密性、完整性、及可用性,并保护网络系统,进一步提升网络使用的安全性。本实用新型所提供方法严谨而有效,且相当适合于应用于个人以及企业所使用的网络系统。
图1系显示本实用新型的一实施例的网络监控设备的架构图。图2系显示本实用新型的一实施例的网络监控设备的方块图之一。图3系显示本实用新型的一实施例的网络监控设备的方块图之二。图4系显示本实用新型的一实施例的网络监控设备的应用图。图5系显示本实用新型的一实施例的网络监控设备的运作流程图。图6系显示本实用新型的一实施例的重导网页的示意图。图7系显示本实用新型的一实施例的GARP判断子步骤的方法的流程图。图8系显示本实用新型的一实施例的允许清单保护步骤的方法的流程图。图9系显示本实用新型的一实施例的ARP查询判断子步骤的方法的流程图。主要组件符号说明 100 网络监控设备 I 监控装置 11 比对构件 12 导接构件 13 撷取构件 14 网页重导构 件 15 封包归类构件 2 决策装置 21 允许清单卸载构件 22 事件记录构件 3 输入接线 4 输出接线 D 网络装置 L、L1、L2 允许清单 Ml、M2 内存 N1、N2 网络 P1、P2 处理单元 S 屏幕 SI 比对信号 S2 位置信号 T 目标装置具体实施方式
本实用新型所采用的具体实施例,将藉由以下的实施例及附呈图式作进一步的说明。同时参阅图1及图2所示,图1系显示本实用新型的一实施例的网络监控设备的架构图,图2系显示本实用新型的一实施例的网络监控设备的方块图之一。本实用新型提供一种网络监控设备100,为监控在一网络中的一网络装置D,并根据监控而阻挡网络装置D的连接。网络监控设备100包含一监控装置1、一输入接线3、及一输出接线4。监控装置I藉由输入接线3连接网络装置D。监控装置I具有一导接构件12。输入接线3连接于监控装置I与网络装置D之间。输出接线4连接于监控装置I与一目标装置T之间。在本实施例中,监控装置I具有一比对构件11,比对构件11具有一比对信号SI,比对信号SI包括一 IP地址且/或一媒体存取控制地址。网络装置D具有一位置信号S2,位置信号S2为关于网络装置D于一位置空间中的信号。例如,在本实施例中,位置信号S2为网络装置D于一网络中的IP地址且/或媒体存取控制地址。其中,比对构件11连接导接构件12,使导接构件12根据比对构件11所输出的比对信号SI以及网络装置D所输出的位置信号S2而将输入接线3导接于或不导接于输出接线4,而使网络装置D导接于或不导接于目标装置T。如图3所示,本实用新型的一实施例的网络监控设备100的监控装置I除了包括比对构件11及导接构件12外,还包括一撷取构件13。撷取构件13藉由一处理单元Pl而通过网络NI收受网络装置D的ARP封包并储存于一内存Ml。比对构件11藉由处理单元Pl自内存Ml读取网络装置D的ARP (Address Resolution Protocol)封包中的IP地址(Internet Protocol Address)及媒体存取控制地址(Media Access Control Address, MACAddress)而比对一允许清单L而将结果导接回内存Ml。导接构件12根据导接回内存Ml的结果而导接或是不导接网络装置D于网络NI中的连接。在本实施例中,网络监控设备100还包括一决策装置2,通过网络N2连接监控装置I。监控装置I设置于决策装置2与网络装置D之间,而允许清单L为储存于决策装置2的一内存M2中。然而,本实用新型不以此为限,允许清单L也可储存于监控装置I的内存Ml中。如图4所示,在实际应用时,监控装置I及决策装置2为分别为一计算机或其它类似装置。单一个决策装置2藉由网络N2连接于多个监控装置1,而监控装置I通过网络NI连接多个网络装置D。网络装置D可为计算机、智能型手机、个人数字助理(PDA)等任何藉由网络卡、无线网络卡、或无线网络基地台连接至网络NI的装置。以下请配合参阅图5至图9对本实用新型的一实施例的网络监控设备100作一说明如后。详细而言,如图5所示,撷取构件13藉由处理单元Pl而进行收受网络NI中的网络装置D的ARP封包并储存于内存Ml (步骤S10)。然后,比对构件11藉由处理单元Pl自内存Ml读取网络装置D的ARP封包中的IP地址及Mac地址而比对允许清单L判断网络装置D是否为合法并将结果导接回内存Ml (步骤S21),根据导接回内存Ml的结果,若为不合法则导接构件12不导接网络装置D于该网络NI中的连接(步骤S22),若为合法则导接构件12准许网络装置D连接至网络NI (步骤S23)。监控装置I还包括一网页重导构件14,当比对构件11判断网络装置D的ARP封包为不合法时,除了导接构件12阻挡该网络装置D对该网络NI的ARP封包传送外,网页重导构件14也藉由处理单元Pl将一重导网页信息导接至不合法的网络装置D而可于其所连接的屏幕S显示出一重导网页。重导网页可为一倡导网页,如图6所示,藉此以提醒被阻挡的网络装置D的使用者其网络装置D发送ARP封包的行为违反决策装置2所订定的使用政策。重导网页也可为一注册网页,以提供不合法网络装置经由注册而成为合法网络装置。其中,允许清单L为选自以:单一 MAC地址、一 MAC地址与一动态IP地址、一 MAC地址与一固定IP地址、单一 IP地址搭配多个MAC地址、以及单MAC地址搭配多个IP地址所构成的群组中的一个或多个。再者,允许清单L分为暂时性允许清单LI以及永久性允许清单L2。监控装置I根据暂时性允许清单LI以及永久性允许清单L2而决定网络装置D于网络NI中的使用时间以及权限。详细而言,当一特定的网络装置D的IP地址及MAC地址系对应于暂时性允许清单LI,监控装置I系供该特定的网络装置D仅能于一特定时间传送ARP封包至该监控装置I所监测的网络NI内。而当另一的网络装置D的IP地址及MAC地址系对应于决策装置2中的永久性允许清单L2,监控装置I系不限制该网络装置D传送ARP封包至该监控装置I所监测的网络NI内的时间。在本实施例中,决策装置2具有一允许清单卸载构件21,在监控装置I的撷取构件13于一设定时间内未侦测到该网络装置D传送ARP封包时,监控装置I会发送一包括撷取构件13的一撷取纪录的使用状态信号至决策装置2,而使允许清单卸载构件21藉由决策装置2的处理单元P2清除一特定时间内没有对应撷取纪录的允许清单L,而将该网络装置D的IP地址及MAC地址自永久性允许清单L2中卸离,藉此网络监控设备100的使用者不需耗费过多时间维护永久性允许清单L2。本实用新型的网络监控设备100在实际应用于一公司时,暂时性允许清单LI可供临时使用者,诸如访客、短期驻点人员使用,而永久性允许清单L2可供如公司管理者、正式员工使用。决策装置2还具有一事件记录构件22,藉由决策装置2的处理单元P2而通过网络N2将比对构件11所判断的一网络装置发生事件储存至内存M2中。网络装置发生事件包括合法事件与不合法事件,而不合法事件又可分为诸如外部抢IP的不合法事件、外部连结的不合法事件、或非法动态IP服务器IP的不合法事件等事件。此外,监控装置I还包括一封包归类构件15,藉由处理单元Pl将ARP封包予以归类为GARP封包、ARP查询封包、及ARP回应封包之一(步骤S30),使网络监控设备100对于GARP封包与ARP查询封包分别进行GARP判断子步骤与(步骤S31 )ARP查询判断子步骤(步骤 S32)。如图7所示,GARP判断子步骤(步骤S31)的详细步骤如下:比对构件11检查GARP封包的IP地址是否于允许清单L中(步骤S311)。若是,比对构件11检查决策装置2中的动态功能是否启用(步骤S312)。若是,比对构件11检查该IP地址是否为自固定IP地址改为动态IP地址(步骤S313)。当GARP封包的IP地址于允许清单L中且决策装置2中的动态功能有启用,且该IP地址为自固定IP地址改为动态IP地址,则比对构件11判断该GARP封包的发生事件为抢IP事件,然后决策装置2并将该GARP封包的IP型态设定为DHCP型态(步骤S314)。而当GARP封包的IP地址于允许清单L中且决策装置2中的动态功能没有启用,则比对构件11判断该GARP封包的发生事件为抢IP事件。其中若比对构件11判断该GARP封包的发生事件为抢IP事件,进行一允许清单保护步骤(步骤S33)。如图8所示,允许清单保护步骤的详细步骤如下:导接构件12发出一GARP回应封包至网络NI (步骤S331),以避免该抢IP事件的GARP封包的来源的网络装置D使用允许清单L中的IP地址。然后,比对构件11取得与该GARP封包的IP地址对应的允许清单L (步骤S332)。当该GARP封包的MAC地址于允许清单L,则比对构件11判断该GARP封包IP地址与MAC地址是否对应于允许清单L的暂时允许清单LI (步骤S333)。然后,当GARP封包IP地址与MAC地址对应于允许清单L的暂时性允许清单LI,则比对构件11检查决策装置2是否限制暂时允许清单LI的网络装置D只能联机外部网段而不能联机内部网段(步骤S334)。其中,当决策装置2没有限制暂时允许清单LI的网络装置D只能联机外部网段而不能联机内部网段,或当该GARP封包IP地址与MAC地址不对应于暂时允许清单LI,导接构件12找出正确的允许清单L的IP地址与MAC地址并予以广播至该网络NI(步骤 S335)。如图9所示,ARP查询判断子步骤(步骤S32)的详细步骤如下:比对构件11判断该ARP查询封包的来源网络装置或目的网络装置是否合法(步骤S321)。若合法,则比对构件11判断该ARP查询封包的目的网络装置是否为监控装置I (步骤S322)。若ARP查询封包的目的网络装置为监控装置1,则监控装置I回传一 ARP回应封包(步骤S323)。若ARP查询封包的目的网络装置不为监控装置1,则监控装置I假冒一来源网络装置对于该ARP查询封包的目的网络装置发出封包,并假冒该ARP查询封包的目的网络装置对于该ARP查询封包的来源网络装置发出封包(步骤S324 )。以上的叙述仅为本实用新型的较佳实施例说明,凡精于此项技艺者当可依据上述的说明而作其它种种的改良,然而这些改变仍属于本实用新型的创作精神及所界定的专利范围中。
权利要求1.一种网络监控设备,其特征在于,包含: 一监控装置,连接一网络装置,该监控装置具有一导接构件; 一输入接线,连接于该监控装置与该网络装置之间; 一输出接线,连接于该监控装置; 其中该导接构件根据该网络装置所输出的位置信号而将该输入接线导接于或不导接于该输出接线。
2.如权利要求1所述的网络监控设备,其特征在于,该监控装置具有一比对构件,该比对构件连接该导接构件。
专利摘要本实用新型系提供一种网络监控设备,为监控在一网络中的一网络装置,并根据监控而阻挡网络装置的连接,网络监控设备包含一监控装置、一输入接线、及一输出接线,监控装置连接网络装置,监控装置具有一导接构件,输入接线连接于监控装置与网络装置之间,输出接线连接于监控装置,其中导接构件根据网络装置所输出的位置信号而将输入接线导接于或不导接于输出接线,以阻挡不合法的网络装置,藉此保护网络系统,提高网络使用的安全性。
文档编号H04L12/26GK203027278SQ20132000305
公开日2013年6月26日 申请日期2013年1月4日 优先权日2013年1月4日
发明者李坤荣 申请人:台众计算机股份有限公司