本发明涉及网络安全技术,特别涉及一种按照终端安全级别将违规终端置入相应隔离区的方法,是一种能将接入网络的终端,因为终端安全原因,或者接入信息不合法等因素,根据终端安全级别或者终端使用人的安全级别将终端置入相应隔离区的方法。
背景技术:
当前被国家安全领域合法定义的网络准入技术为802.1x技术,大部分网络准入控制类系统都使用的此技术,在802.1x技术中,有一项技术为隔离Vlan技术,就是当终端认证失败时,会被交换机自动置入隔离Vlan,也叫Guest Vlan。
所有网络准入控制类系统都使用隔离Vlan的技术来解决终端违规的问题,可是此类技术存在严重的不足:就是当终端因为违反定义的入网策略,违规入网后,将被置到同一个隔离区内,此时这个隔离区内可能存在较低安全级别的终端,也可能存在较高安全级别的终端,按规定,不同安全级别的终端是不能进行互访的,但是他们因为在一个隔离区内,所以他们之间可以直接互访,造成严重的违规行为。
技术实现要素:
为了解决上述存在的问题,我们专门研发了一种能够根据终端安全级别或者终端使用人的安全级别将违规终端置入相应隔离区的方法。各种安全级别的终端在各自对应的安全级别的隔离区内,不能夸隔离区互访,杜绝了不同安全级别的终端在隔离区能够互访的严重问题。
本发明提供了多种隔离区的设置,可对任何单位中自定义的安全级别进行设置,比如分别设置普通隔离区、内部隔离区、秘密隔离区、机密隔离区、绝密隔离区等。
本发明提供终端安全级别与人员安全级别列表,可由接口直接同步终端与人员安全级别或进行人工维护。
本发明提供一种隔离方法,可将入违规终端使用动态Vlan推送的方式,将违规终端置入对应密级的隔离区。
附图说明
图1为现有802.1x处理违规终端逻辑图。
图2为本发明处理违规终端逻辑图。
图3为本发明处理违规终端流程图。
具体实施方式
为了使本发明的创作特征、技术手段与达成目的易于明白理解,以下结合具体实施例进一步阐述本发明:
实施例:
本发明中涉及一项关键技术为动态Vlan技术。此技术是根据终端用户的MAC地址,决定终端数据哪一个Vlan,而以前的静态Vlan是根据交换机的端口划分Vlan:
step1:一台终端开机连接网线进入网络S01
step2:此终端先进性标准的802.1x认证,交换机将其终端信息发送至验证服务器。S02
step3:验证服务器验证其用户身份的正确性。当身份合法后,验证其入网策略与终端策略,并获取数据库中此终端的安全级别。S03
step4:判断当前终端的入网策略与终端策略是否有任一项违规。S04
step5:如未违规,此时向交换机发送认证成功的指令,并根据此终端的对应的Vlan,向交换机推送动态Vlan,终端进入正常Vlan。S05
step6:若此终端违规,则向交换机发送认证成功指令,一并推送此终端的隔离Vlan信息。S06
step7:终端进入对应安全级别的隔离Vlan中。S07