一种接入控制方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别是涉及一种接入控制方法和一种接入控制装置。
【背景技术】
[0002]随着互联网的迅速普及,局域网已成为企业发展中必不可少的一部分。然而,在为企业带来便利的同时,局域网也面临着各种各样的进攻和威胁,如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。例如,当外来人员携带笔记本电脑进入企业,在未经许可的情况下,通过有线或者无线的方式接入公司的局域网,将容易导致企业内部资源存在被非法拷贝的风险。又如,当企业内部员工的计算机感染病毒时,其通过有线或者无线的方式接入公司的局域网,将容易导致病毒的传播。因此,局域网内的接入控制变得尤为重要。
[0003]现有的一种接入控制方案具体可以包括:在交换机侧对局域网内的上行数据包进行过滤,并在该上行数据包不符合过滤规则时,向该上行数据包对应的接收端发送RST (复位,Reset)包,由此可以断开该上行数据包对应的发送端与接收端之间的TCP连接。
[0004]然而,上述RST仅仅适用于HTTP (超文本传输协议,Hypertext TransferProtocol)的上行数据包,而无法适用于UDP(用户数据报协议,User Datagram Protocol)、ARP(地址解析协议,Address Resolut1n Protocol)、SNMP(简单网络管理协议,SimpleNetwork Management Protocol)等协议的上行数据包,因此,现有方案具有适用范围有限的缺点。
[0005]另外,现有方案通常依据白名单设置对应的过滤规则,例如,上述过滤规则放行用户终端命中白名单的上行数据包,以及阻断用户终端不在白名单中的上行数据包等,这样,对于不在白名单中的用户终端而言,将无法访问局域网,而对命中白名单的用户终端而言,即使其存在安全隐患,也无法阻断其对于局域网的访问;因此,现有方案还具有安全性差和灵活性差的缺点。
【发明内容】
[0006]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种接入控制方法和一种接入控制装置。
[0007]依据本发明的一个方面,提供了一种接入控制方法,应用于用户终端,包括:
[0008]监测到达网卡的数据包;
[0009]对所述数据包进行解析,以得到对应的五元组信息;
[0010]在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
[0011]可选地,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
[0012]可选地,所述方法还包括:
[0013]对所述用户终端进行基线检查;
[0014]在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
[0015]可选地,所述对所述用户终端进行基线检查的步骤,包括:
[0016]对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
[0017]所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
[0018]可选地,所述对所述用户终端进行基线检查的步骤,包括:
[0019]对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
[0020]所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
[0021]可选地,所述预置项目包括如下项目中的至少一项:
[0022]未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
[0023]可选地,所述方法还包括:
[0024]在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
[0025]可选地,所述方法还包括:
[0026]在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
[0027]可选地,所述监测到达网卡的数据包的步骤,包括:
[0028]通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
[0029]根据本发明的另一方面,提供了一种接入控制装置,包括:
[0030]监测模块,用于监测到达网卡的数据包;
[0031]解析模块,用于对所述数据包进行解析,以得到对应的五元组信息;及
[0032]第一阻断模块,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
[0033]根据本发明实施例的一种接入控制方法和装置,在到达网卡的数据包的五元组信息符合预置的五元组阻断规则时,阻断所述数据包;由于所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,且上述五元组信息中传输层协议可以适用于HTTP、UDP、ARP、SNMP等任意协议,因此相对于现有方案中RST协议仅适用于HTTP协议,本发明实施例能够增加数据包的适用范围。
[0034]并且,相对于现有方案一味地阻断或者放行用户终端接入网络、导致的安全性差和灵活性差的问题,本发明实施例可以依据安全需求,灵活地预置针对数据包的五元组阻断规则,例如,在某个网段对应服务器用于提供敏感数据时,可以依据该网段预置目的IP对应的五元组阻断规则,也即可以依据安全需求灵活地针对五元组信息中的至少一元信息预置对应的五元组阻断规则,因此本发明实施例能够提高接入控制的灵活性、以及能够提高局域网的安全性。
[0035]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0036]通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0037]图1示出了根据本发明一个实施例的一种接入控制方法的步骤流程示意图;
[0038]图2示出了根据本发明一个实施例的一种接入控制方法的步骤流程示意图;
[0039]图3示出了根据本发明一个实施例的一种接入控制方法的步骤流程示意图;以及
[0040]图4示出了根据本发明一个实施例的一种接入控制装置的结构示意。
【具体实施方式】
[0041]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0042]本发明实施例的核心构思之一在于,利用到达网卡的数据包的五元组信息进行网络的接入控制,具体地,在所述数据包的五元组信息符合预置的五元组阻断规则时,阻断所述数据包;由于所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,且上述五元组信息中传输层协议可以适用于HTTP、UDP、ARP、SNMP等任意传输层协议,因此相对于现有方案中RST协议仅适用于HTTP协议,本发明实施例能够增加数据包的适用范围。
[0043]并且,相对于现有方案一味地阻断或者放行用户终端接入网络、导致的安全性差和灵活性差的问题,本发明实施例可以依据安全需求,灵活地预置针对数据包的五元组阻断规则,例如,在某个网段对应服务器用于提供敏感数据时,可以依据该网段预置目的IP对应的五元组阻断规则,也即可以依据安全需求灵活地针对五元组信息中的至少一元信息预置对应的五元组阻断规则,因此本发明实施例能够提高接入控制的灵活性、以及能够提高局域网的安全性。
[0044]参照图1,示出了根据本发明一个实施例的一种接入控制方法的步骤流程图,应用于用户终端,具体可以包括如下步骤:
[0045]步骤101、监测到达网卡的数据包;
[0046]本发明实施例可以应用于企业网、政府网、校园网等局域网中;在上述局域网中,控制终端是指局域网内用于管理用户终端的终端,所述用户终端是指局域网内响应控制终端的指令,与控制终端进行数据交互的终端,其可以响应控制终端的指令或者数据,也可以向控制终端发送指令或者数据。
[0047]在实际应用中,可以在控制终端部署服务器代理模块,在用户终端部署软件客户端模块,以类似c/s(客户端/服务器)的架构,实现局域网内控制终端对用户终端的控制功能,以及,用户终端的控制响应及通信功能。其中,上述控制终端和上述用户终端之间可以通过标准协议或者私有协议进行通信,其中,私有协议具有封闭性和安全性高的优点;可以理解,本发明实施例对于控制终端与用户终端之间的具体通信方式不加以限制。
[0048]在本发明的一种可选实施例中,上述监测到达网卡的数据包的步骤,具体可以包括:通过网卡驱动程序,从NDIS (网络驱动程序接口规范,Network Driver InterfaceSpecificat1n)中间层抓取